委託先のクラウド、メール乗っ取り、NASへの不正アクセス――5月初週のインシデントまとめ

5月初週に公表された事案では、大学のNASや不動産業務のクラウド、従業員のメールアカウント、外部サービス基盤を起点とするインシデントが目立った。情シスは自社システムだけでなく、委託先や連携サービス、業務アカウントの管理状況を点検する材料として確認したい。

[中村篤志，キーマンズネット]

　不正アクセスの影響は自社サーバだけでなく、委託先クラウドや連携サービス、従業員の業務アカウントにも広がる。2026年5月初週（5月1日〜5月8日）に公表されたセキュリティ関連事案でも外部サービス基盤を起点とする影響が確認された。本稿では、公式発表を基に主な5件のインシデントを整理する。

　本稿で取り上げるのは以下の5つだ。

1. 東北大学、東北大学病院：サーバとNASに不正アクセス、患者情報漏えいの可能性
2. 大英産業：委託先のクラウドへの不正アクセスで顧客情報漏えいの可能性
3. ECC：従業員メールアカウントが乗っ取り、迷惑メールが大量送信
4. アットホーム：いえらぶGROUPの不正アクセス事案に伴う影響を公表
5. メディアジーン：CAMPFIRE不正アクセスに伴う「マチヤ」利用者情報に影響の可能性

1．東北大学、東北大学病院：不正アクセスで個人情報流出の可能性

　東北大学は2026年5月1日、同大学が管理するサーバへの不正アクセスを4月16日に確認したと公表した。調査の過程で、東北大学病院の治験業務に関する資料を保管していたNASにも不正アクセスがあり、患者の個人情報などが漏えいした可能性が4月23日に判明したとしている。教員のPCが不正利用され、情報機器へアクセスされたことも確認された。大学は4月24日に一部業務システムのパスワードリセットと学内ネットワークの一部セグメント切り離しを実施した。不正アクセスのあったNASはネットワークから切り離され、5月1日時点で他の医療情報システムへの影響は確認されていないとしている。

出典：本学への不正アクセスについてのご報告とお詫び（東北大学）

2．大英産業：委託先クラウドへの不正アクセスで顧客情報漏えい？

　大英産業は2026年5月1日、同社が利用するポータルサイト「建売ナビ」の不動産業務クラウドシステムで第三者による不正アクセスが発生し、顧客の個人情報の一部が漏えいした可能性があると公表した。システム管理の委託先はいえらぶGROUPで、同社は不動産会社向けの業務支援システムやWebサービスなどを提供している。漏えいの可能性がある情報は氏名や住所、電話番号、メールアドレス、希望エリアなどの条件で、クレジットカード情報やマイナンバー情報、金融情報は含まれていないとしている。原因については、委託先でセキュリティ上の脆弱（ぜいじゃく）性を突かれたことによるものと説明しており、対象の脆弱性に関する修正と再発防止措置は実施済みだという。

出典：個人情報漏えいに関するお詫びとお知らせ（大英産業）

3．ECC：従業員のメールアカウントが乗っ取られる

　ECCは2026年5月1日、同社従業員のメールアカウントに第三者による不正アクセス、いわゆる乗っ取りが発生したことを発表した。乗っ取られたメールアカウントからは迷惑メールが大量に送信されていた。同社は、迷惑メールは従業員本人が送信したものではなく、同社の情報漏えいに起因するものでもない（つまり、「情報漏えいの結果として迷惑メールが送られたわけではなく、乗っ取られたメールアカウントが悪用された」）と説明している。現在は対象のメールアカウントを削除し、セキュリティ対策を実施したとしている。メールを受信した利用者などに対しては、記載されたリンクのクリックや添付ファイルの開封、メールへの返信を控え、そのまま削除するよう呼びかけている。

出典：当社従業員メールアカウントの不正アクセスに関するお詫びと注意喚起（ECC）

4．アットホーム：いえらぶGROUP不正アクセスに伴う影響を発表

　アットホームは2026年5月1日、他社サービスにおける個人情報漏えいと自社サービスへの影響について公表した。同社は、4月30日にデータ連携先であるいえらぶGROUPがクラウドサービスへの不正アクセスについて発表したことを受け、自社サービスへの影響を説明している。アットホームは、自社システムが不正アクセスを受けた事実、自社が保有、管理する個人情報の漏えい、サービス停止などの影響はいずれも確認されていないとしている。一方で、いえらぶGROUPのクラウドサービスを通じ、アットホームを含む連携各社のサービスに問い合わせた一部顧客情報が漏えいした可能性があるとしている。

出典：他社サービスにおける個人情報の漏えいと弊社サービスへの影響について（アットホーム）

5．メディアジーン：CAMPFIRE不正アクセス事案に伴う影響発表

　メディアジーンは2026年5月1日、CAMPFIREの不正アクセス事案に伴い、同社と新東通信が共同で運営するクラウドファンディングサービス「マチヤ」（machi-ya）の利用者情報に漏えいの可能性があると公表した。マチヤはCAMPFIREのシステム基盤上で運営され、会員情報や決済情報などはCAMPFIREが管理している。CAMPFIREでは、ソースコード管理サービス上の認証情報を経由し、顧客情報を保有するデータベースへ第三者からアクセスが発生した可能性が確認されたという。漏えいの可能性がある情報は氏名と住所、電話番号、メールアドレス、口座情報などで、クレジットカード情報とログインパスワードは対象に含まれていないとしている。データが外部に持ち出された事実までは確認されておらず、具体的な対象範囲はCAMPFIREで精査中としている。

出典：CAMPFIRE社における不正アクセス事案に伴う、「マチヤ（machi-ya）」ご利用者さまの個人情報漏えい可能性について（メディアジーン）

見落としやすい“入り口”をどう見るか

　今回の5件では、サーバやNAS、委託先クラウド、従業員メールアカウント、外部サービスのシステム基盤など、情報の保管場所や運用主体が分散していた。自社が直接侵害されたケースだけでなく、委託先や連携サービスの不正アクセスにより、自社の顧客や利用者に影響が及ぶ可能性がある点も見落とせない。

　これらのインシデントを参考に、情報システム部門は、委託先のセキュリティ対策状況や連携サービスのインシデント報告手順、NASなどの部門管理サーバのアクセス制御、メールアカウントの多要素認証、業務メール経由の不審リンク、添付ファイル対策などを点検しておきたい。