横浜ベイスターズも河合楽器もやられた、本社だけ守っても防げない不正アクセス5選
5月下旬も不正アクセスやサイバー攻撃に関する情報が相次いで公表された。自社サーバへの侵入だけでなく、外部サービスや海外子会社、メールシステム、予約管理システムを通じて影響が及ぶ事案も含まれる。
企業のIT環境は、自社で管理するサーバや社内ネットワークだけで成り立っているわけではない。クラウドサービスや委託先システム、海外拠点、メール基盤など、日常業務を支える周辺領域でインシデントが起きた場合も、利用者や取引先への説明、影響範囲の確認、復旧対応が求められる。5月下旬のインシデントを見ても、侵害や影響確認の対象は、自社サーバや外部サービス、海外子会社、Webサイト、メールシステム、予約管理システムと幅広い。
本稿で取り上げるのは以下の5つだ。
- ソディック:サーバへの不正アクセスを確認
- 横浜DeNAベイスターズ:利用中の「CAMPFIRE」で個人情報漏えいの可能性
- 河合楽器製作所:米国子会社で不正アクセスの可能性
- アイコムソフト:Webサイト・メールシステム用サーバに不正アクセス
- アソビュー:予約管理システムへのサイバー攻撃で一部情報流出
1.ソディック:サーバへの不正アクセスを確認
ソディックは2026年5月21日、同社サーバに対する第三者による不正アクセスを公表した。2026年5月15日に一部システムで不審な挙動を検知し、その後の調査でサーバへの侵入の形跡を確認したという。公表時点で、同社の業務に重大な支障は確認されておらず、同社グループの海外拠点への影響も確認されていないとしている。一方で、サーバ内情報へのアクセスの有無や外部への影響の有無については、「外部のセキュリティ専門会社と連携して調査中」としている。
出典:当社サーバーへの不正アクセスに関するお知らせ(ソディック)
2.横浜DeNAベイスターズ:「CAMPFIRE」で個人情報漏えいの可能性
横浜DeNAベイスターズは2026年5月22日、業務で利用しているクラウドファンディングサービス「CAMPFIRE」において第三者による不正アクセスが発生し、同サービス利用者の個人情報が漏えいした可能性があると公表した。対象となる可能性があるのは、「『ファンと共に作る』横浜DeNAベイスターズ日本一 優勝パレード2024」の支援者のうち、特定期間にPayPal決済やこんど払い、CAMPFIREからの口座送金による返金を利用した人。漏えいした可能性がある情報は、氏名や住所、電話番号、メールアドレス、口座情報で、クレジットカードなどの決済情報は当該サーバには保存されていないとしている。公表時点で、本件に起因する情報の不正利用などの被害は報告されていないという。
出典:【重要】弊社が利用する外部サービスへの不正アクセスによる個人情報漏洩の可能性に関する注意喚起のお知らせ(横浜DeNAベイスターズ)
3.河合楽器製作所:米国子会社で不正アクセスの可能性
河合楽器製作所は2026年5月22日、米国子会社のカワイ アメリカで、2026年5月6日(米国太平洋時間)に不正アクセスの可能性を確認したと公表した。インシデントが判明した時点でネットワーク接続を遮断。追加のセキュリティ対策と監視体制の強化を実施した上で、通常通り業務を再開しているという。公表時点で情報漏えいの事実は確認されていないが、調査は継続中としている。国内システムについては海外拠点のネットワークと分離されており、把握している範囲では影響は確認されていないとしている。
出典:当社米国子会社における不正アクセスの可能性について(河合楽器製作所)
4.アイコムソフト:Webサイト・メールシステム用サーバに不正アクセス
アイコムソフトは2026年5月27日、同社サーバが外部から不正アクセスを受けたことを公表した。同社によると、2026年5月1日にWebページならびにメールシステムを構築するサーバへの不正アクセスを確認し、被害拡大防止のためネットワーク遮断などを実施した。不正アクセスが確認されたサーバは、社内ネットワークから分離された独立環境で運用していたため、同社ネットワークへの影響はないとしている。Webページとメールシステムは別環境で新規構築し、復旧作業を進めている。併せて、同社からのメールで心当たりのない内容や業務に無関係な内容を受信した場合、添付ファイルの参照やURLクリックを行わず削除するよう注意を呼び掛けている。
出典:【重要なお知らせ】弊社サーバーへの不正アクセスに関するお知らせ(アイコムソフト)
5.アソビュー:予約管理システムへのサイバー攻撃で一部情報流出
アソビューは、同社システムへのサイバー攻撃により情報が流出したことを公表した。同社によると、2026年5月20日に予約管理システム「satsuki」に対して外部からの不審なアクセスを検知した。調査の結果、外部からのサイバー攻撃による不正アクセスと判断し、satsukiを経由した一部の予約者情報が外部に流出したことを確認したとしている。アソビューは個人情報保護委員会への報告や警察当局への相談を実施したと説明している。
出典:【お客様各位】弊社システムへのサイバー攻撃による情報流出に関するお詫びとお知らせ(アソビュー)
見落としやすい“入り口”をどう見るか
今回の5件では、自社サーバや外部サービス、海外子会社、Webサイト、メール基盤、予約管理システムと、影響が確認された領域が分散している。情シス部門では、社内システムだけでなく、SaaSや委託先、海外拠点との接続、メール基盤の復旧手順を含めて点検したい。特に外部サービス経由の事案では、自社が直接侵害を受けていなくても、顧客や利用者への注意喚起、問い合わせ対応、対象者の把握が必要になる場合がある。平時から、利用中のクラウドサービスや委託先の一覧、障害、インシデント発生時の連絡ルート、社内外への告知手順を確認しておきたい。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
委託先のクラウド、メール乗っ取り、NASへの不正アクセス――5月初週のインシデントまとめ
5月初週に公表された事案では、大学のNASや不動産業務のクラウド、従業員のメールアカウント、外部サービス基盤を起点とするインシデントが目立った。情シスは自社システムだけでなく、委託先や連携サービス、業務アカウントの管理状況を点検する材料として確認したい。
結局、“チェックシート”が最強だった 179人が明かした、サプライチェーン攻撃対策の現場
サプライチェーン攻撃対策では、取引先や委託先への確認をどう定着させるか、自社側の認証や接続管理をどこまで見直すかが大きな論点になる。一度きりのチェックで終わらせるのか、契約や運用にどう組み込むのかで対応の質は変わってくる。
ランサムウェア攻撃で業務委託先から個人情報流出 自治体や金融機関が持つ150万件
2024年7月1日週に起きた国内や海外の主要セキュリティニュースを中心に紹介する。