Webサイト、チャット、クラウド――直近1週間のインシデントに見る"日常運用"の落とし穴
2026年6月第3週に確認されたセキュリティインシデントでは、ECサイト改ざんによる個人情報・クレジットカード情報漏えいや業務チャットアカウントの乗っ取り、DDoS攻撃、委託先作業ミスによる業務データ消失が確認された。いずれも、情シス部門が日常的に管理するWebサイトやID、クラウドサービス、委託先運用に関わる事案だ。
今週はWebサイトや業務チャット、クラウド環境など、日常業務で使われるシステムに関するセキュリティ事案が相次いだ。攻撃による情報漏えいの可能性だけでなく、委託先作業ミスによるデータ消失も含まれており、運用管理の観点でも確認しておきたい内容だ。
1.佐嘉平川屋、ECサイト改ざんで個人情報とカード情報漏えいの可能性
豆腐製品などを販売する佐嘉平川屋は2026年6月15日、同社が運営する「佐嘉平川屋オンラインショップ」に第三者による不正アクセスがあり、個人情報7万3213件およびクレジットカード情報6303件が漏えいした可能性があると公表した。
同社によると、2026年3月9日に一部カード会社からカード情報漏えい懸念の連絡を受け、同日、同ショップでのカード決済を停止した。その後、第三者調査機関による調査を実施し、オンラインショップのシステムの一部の脆弱(ぜいじゃく)性を突いた不正アクセスにより、ペイメントアプリケーションが改ざんされたことが判明したとしている。
クレジットカード情報が漏えいした可能性があるのは、2025年3月21日〜2026年3月10日に同ショップでカード決済した顧客5783人の情報だという。対象情報はカード名義人名とカード番号、有効期限、セキュリティコードだ。その他の個人情報については、2021年4月6日〜2026年3月10日に同ショップで顧客情報を入力したことがある3万170人が対象で、氏名や生年月日、住所、電話番号、メールアドレスが含まれる可能性がある。
同社は、対象者に電子メールまたは書状で個別に連絡するとともに、カード会社と連携して漏えいした可能性のあるカードによる取引のモニタリングを継続していると説明している。
出典:不正アクセスによる個人情報漏えいのお詫びとご報告(株式会社佐嘉平川屋)
2.ファクトリージャパングループ、サーバへの不正アクセスを公表
整体サロン「カラダファクトリー」などを展開するファクトリージャパングループは2026年6月15日、同社サーバに対して第三者による不正アクセスが発生したと公表した。不正アクセスを確認したのは2026年6月11日としている。
同社は、外部のセキュリティ専門機関と連携し、不正アクセスの範囲や原因、情報への影響の有無について調査を進めていると説明している。公表時点では、個人情報漏えいの有無や影響範囲、件数などは明らかにされていない。調査により詳細が判明次第、Webサイトなどを通じて知らせるとしている。
出典:弊社サーバーへの不正アクセスに関するお詫びとお知らせ(株式会社ファクトリージャパングループ)
3.MAP経営、Chatworkアカウントの不正利用を公表
経営計画支援サービスを手掛けるMAP経営は2026年6月15日、ビジネスチャットサービス「Chatwork」の同社アカウントが第三者に不正利用されたと公表した。
同社によると不正利用が判明したのは2026年6月15日13時ごろ。乗っ取られたアカウントから招待された第三者アカウントによって複数のグループチャットに不審なURLを含むメッセージが自動送信され、一部グループチャットが削除されたとされる。
同社は、関係するグループチャットのメンバーへの個別連絡とChatwork運営元への削除申請と通報、パスワード変更、二段階認証の設定、社内セキュリティ教育などを実施したとしている。二次被害は現時点で確認されていないと説明している。
出典:弊社Chatworkアカウントの不正利用についてのお詫びと復旧のご報告(株式会社MAP経営)
4.神姫バス、WebサイトへのDDoS攻撃で閲覧障害
兵庫県を中心にバス事業を展開する神姫バスは2026年6月15日、同社Webサイトで接続障害が発生していたことを公表した。同社によると、2026年6月12日20時ごろから6月13日終日にかけて、外部からのアクセス集中によりサーバ負荷が上昇し、Webサイトを閲覧できない状態が発生した。
6月15日時点で復旧作業は完了し、Webサイトは正常に利用できる状態になったとされる。同社は、今回の事象はサーバに負荷をかける攻撃であり、顧客の個人情報漏えい等の事実は確認されていないとしており、今後、セキュリティ体制の監視・強化に努めると説明している。
出典:【お詫び】当社ウェブサイトへの接続障害について(神姫バス株式会社)
5.厚労省LANシステムでTeamsチャットデータの一部が消失
厚生労働省は2026年6月12日、厚生労働省LANシステム内で、職員間の業務に使用する「Microsoft Teams」のチャットデータなどの一部が消失したと公表した。削除が発生したのは2026年4月25日で、対象は2023年1月4日から2025年10月29日までに作成されたTeamsチャットデータと共有ファイル、個人ファイルだ。
厚労省は「削除されたデータの復元を指示したが、行政文書に該当するものが含まれるチャットデータの一部が復元困難であることが判明した」としている。データは完全に消去されているため、個人情報を含む情報の漏えい可能性はないという。
原因について、厚労省は、LANシステム更改作業の中で委託事業者が誤った設定をしたためと説明している。委託先である東芝も同日、「Microsoft 365」環境の更改作業において、データの復元要件を守るための設定を誤ったことにより、Teams上のチャットデータ、共有ファイル、個人ファイルが削除され、一部チャットデータが復元困難になったと公表した。
出典:委託事業者による職員間で業務上使用するチャットデータの一部消失事案について(厚生労働省)
見落としやすい“入り口”をどう見るか
今回取り上げた事案は、いずれも特別なシステムだけで起きたものではない。ECサイトやサーバ、業務チャット、企業サイト、Microsoft 365のようなクラウドサービスは、多くの企業が日常的に利用している。攻撃者に狙われる入り口だけでなく、日常運用や設定変更の中にもリスクがある。
情シスでは、公開情報を踏まえ、自社の外部公開システムや業務チャット、クラウドサービス、委託先作業の管理状況を確認したい。特に、アカウント管理や多要素認証、Webサイト障害時の連絡手段、クラウド設定変更時のレビューや復元手順は、少人数体制の企業でも点検しやすい項目だ。
攻撃による情報漏えいだけでなく、運用や設定変更によるデータ消失も業務に影響を及ぼす可能性がある。インシデント対応では、発生時の初動だけでなく、平時の管理ルールや委託先との役割分担を確認しておくことが重要になる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
横浜ベイスターズも河合楽器もやられた、本社だけ守っても防げない不正アクセス5選
5月下旬も不正アクセスやサイバー攻撃に関する情報が相次いで公表された。自社サーバへの侵入だけでなく、外部サービスや海外子会社、メールシステム、予約管理システムを通じて影響が及ぶ事案も含まれる。
できるだけお金を掛けない「春のセキュリティ総点検」 新年度に見直すべき10項目を解説
新年度は、情シスにとって新しい施策を始める時期である一方、退職者アカウントの削除漏れや異動者の権限残存、古いPCや機器の使い残しなど、ありがちな抜けが表面化しやすい時期でもある。IPAの「情報セキュリティ10大脅威 2026」を基に、新年度に確認しておきたいセキュリティ項目を編集部が整理する。
ID管理の穴を突かれて大規模な医療情報漏えい 【セキュリティニュースまとめ】
2024年8月26日週は、フランスに本社を置くサノフィが医療従事者の情報漏えいについて発表した。無許可で接続用IDを保存していたノートPCがマルウェア感染したことが原因だ。