セキュリティニュース

【週間まとめ】2026年1月第1週のサイバーセキュリティニュース ランサムウェア攻撃と不正アクセスが続発

2026年1月3日から1月10日までの1週間に報道されたサイバーセキュリティインシデントをまとめた。年始早々、ランサムウェア攻撃や不正アクセスが相次いで発生し、企業や教育機関、医療機関など幅広い組織が被害を受けた。特に、サプライチェーン攻撃による広範囲な影響や、個人アカウントの業務利用によるリスクが浮き彫りになった1週間だった。

今週の傾向

見出し

今週は以下のような傾向が見られた。

第一に、ランサムウェア攻撃が複数の組織で発生した。カンバス、興和江守、沖縄県立看護大学、関西総合システムなど、業種を問わず被害が報告されている。年末年始の休暇期間を狙った攻撃も確認された。

第二に、サプライチェーン攻撃による間接的な被害が目立った。スマレジ連携外部アプリベンダーからの流出により、複数の事業者が影響を受けた。サイクルヒーローもスマレジ経由で被害を受けている。

第三に、個人アカウントの業務利用によるインシデントが発生した。東京都立大学の教員が個人Googleアカウントで大学業務を行っていたところ、不正アクセスを受け423件の個人情報が流出した可能性がある。

第四に、辞書攻撃など古典的な手法による侵入も確認された。ローレルバンクマシンのAI-OCRサービスは辞書攻撃でデータベースに侵入され、約22.3万帳票分のデータが流出した可能性がある。

インシデント種別統計

攻撃種別 件数 主な事例
ランサムウェア攻撃 5件 カンバス、興和江守、沖縄県立看護大学、関西総合システム、大日精化工業ベトナム子会社
サプライチェーン攻撃 2件 スマレジ連携外部アプリ、サイクルヒーロー(スマレジ経由)
認証情報窃取・不正利用 4件 東京都立大学(個人Googleアカウント)、ownCloud(MFA未設定)、ダイワロイネットホテルズ(Booking.com)、いまきいれ総合病院(メールアカウント)
データベース侵入(辞書攻撃等) 1件 ローレルバンクマシン(AI-OCRサービス)
Web改ざん 2件 EmEditor(WordPress脆弱性悪用)、東京都教職員組合(不正転送)
脆弱性 2件 お名前.com WordPressプラグイン、Google Chrome(WebViewタグ)
その他の不正アクセス 5件 みずほリース、シーエーシー、TOKYO FM、原子力規制庁(スマホ紛失)

業種別統計

業種 件数 主な組織
教育機関 2件 東京都立大学、沖縄県立看護大学
IT・ソフトウェア 6件 カンバス、スマレジ、ローレルバンクマシン、EmEditor、シーエーシー、関西総合システム
小売・サービス 4件 サイクルヒーロー、興和江守、ダイワロイネットホテルズ、協同乳業
金融・リース 1件 みずほリース
医療 1件 いまきいれ総合病院
メディア・放送 1件 TOKYO FM
製造業 1件 大日精化工業(ベトナム子会社)
団体・組合 1件 東京都教職員組合
政府機関 1件 原子力規制庁

ランサムウェア攻撃

カンバス 認証サーバー攻撃で中間報告

字幕制作ソフト大手のカンバスは、1月6日未明に認証サーバーがランサムウェア攻撃を受けた。NetSSTG1など認証制ソフトのチケット・ライセンス販売システムが影響を受け、マイページアクセス、新規登録、購入、ダウンロードが不可能になった。9日の中間報告では、顧客情報は攻撃を受けたサーバー内に保存されていたが、現時点でコピーされた形跡は確認されていないという。ソフトウェア利用自体には影響なし。クレジットカード情報は非保管。

漏えい状況:未確認(コピーされた形跡なし)|影響範囲:企業(顧客情報)|ステータス:調査中

カンバス ランサムウェア攻撃で中間報告(中間報告)
カンバス 認証サーバにランサムウェア攻撃(第1報)
一次ソース: 当社へのランサムウェア攻撃に関する中間報告(カンバス公式)

興和江守 システム障害で業務遅滞

興和江守は7日、ランサムウェア感染によりシステム障害が発生したと発表した。同日発生し、受注・出荷業務に遅滞が生じている。メールが使用できない状態となっており、取引先には電話またはFAXでの連絡を求めている。

漏えい状況:未確認|影響範囲:企業(業務システム)|ステータス:調査中

興和江守 ランサムウェア感染でシステム障害

沖縄県立看護大学 教務支援システム攻撃

沖縄県立看護大学は8日、2025年12月22日に教務支援システムが外部からの不正アクセスを受け、ランサムウェアによるファイル暗号化被害が発生したと発表した。現時点で個人情報の漏洩は確認されていないが、当該システムでは学生情報を取り扱っているため、漏洩可能性を否定できないという。

漏えい状況:可能性あり(否定できず)|影響範囲:個人(学生情報)|ステータス:調査中

沖縄県立看護大学 ランサムウェア攻撃

関西総合システム 一部サーバー感染

国際物流システムを手がける関西総合システムは、2025年12月26日に一部サーバーなどに対して外部からの不正アクセスがあり、ランサムウェアに感染したと発表した。緊急対策本部を設置して対応している。

漏えい状況:未確認|影響範囲:企業(業務システム)|ステータス:調査中

関西総合システム ランサムウェア攻撃

大日精化工業のベトナム子会社 財務・税務データ暗号化

大日精化工業は7日、ベトナム現地法人がランサムウェア攻撃を受けた件について、調査結果の続報を発表した。財務・税務データや行政機関への報告書類など、顧客情報を含まないデータが暗号化された。外部流出は未確認。

漏えい状況:未確認|影響範囲:企業(内部データのみ)|ステータス:調査中

大日精化工業ベトナム子会社 ランサムウェア被害

サプライチェーン攻撃

スマレジ連携外部アプリベンダーから会員データ流出

クラウド型POSレジサービスのスマレジは8日、同社と連携する特定の外部アプリにおいて、その提供元である外部アプリベンダーが保有する会員データが流出したことが判明したと発表した。スマレジ本体のシステムは侵害されておらず、連携する外部アプリベンダー側からの流出だという。この外部アプリを利用していた複数の事業者に影響が出ている。

漏えい状況:確認|影響範囲:企業・個人(複数事業者の顧客)|ステータス:調査中

スマレジ 連携外部アプリベンダーから会員データ流出
一次ソース: 外部アプリベンダーへの不正アクセスによる会員データ流出に関するお詫びとお知らせ(スマレジ公式)

サイクルヒーロー スマレジ連携アプリ経由で流出

自転車販売店サイクルヒーローを展開するサカイサイクルは9日、同社が利用するPOSシステム(スマレジ)と連携する外部アプリで不正アクセスが発生し、同社が預託した顧客の個人情報が流出したと発表した。1月8日にスマレジから報告を受けた。流出した情報の範囲や件数は現在調査中。サイクルヒーロー独自システムは安全。クレジットカード情報は非保管。

漏えい状況:確認(範囲・件数は調査中)|影響範囲:個人(顧客情報)|ステータス:調査中

サイクルヒーロー 外部アプリ不正アクセスで顧客情報流出
一次ソース: 外部アプリの不正アクセスによる個人情報流出に関するお知らせとお詫び(サイクルヒーロー公式)

個人アカウント・認証情報の不正利用

東京都立大学 個人Googleアカウント不正アクセスで第2報

東京都公立大学法人は8日、東京都立大学経営学研究科の教員が個人で取得したGoogleアカウントへの不正アクセスに関する第2報を発表した。流出可能性があるのは、イベント申込者等180件(実数)、入試関連情報249件の計423件。入試関連情報249件の内訳は、2020-2021年の入学予定者向けプログラム参加者61件と2022-2025年の入試合格者188件だ。2025年12月2日にフィッシングメールでアカウント情報が窃取され、2026年1月7日に不正メール送信により発覚した。

漏えい状況:可能性あり(423件)|影響範囲:個人(学生・参加者)|ステータス:調査中

東京都立大学 Googleアカウント不正アクセスで第2報(第2報)
東京都立大学 Googleアカウント不正アクセス(第1報)
一次ソース: 教員の個人Googleアカウントへの不正アクセスについて(第2報)(東京都立大学公式)

ownCloud MFA未設定が原因の認証情報窃取

ownCloudは7日、脅威インテリジェンス企業Hudson Rockのレポートで、同社のファイル共有プラットフォームを使用する組織で認証情報窃取インシデントが発生していたことを明らかにした。ただし、ownCloudプラットフォームの脆弱性は関与しておらず、多要素認証(MFA)が設定されていなかったことが原因だという。

漏えい状況:確認(認証情報)|影響範囲:企業(利用組織)|ステータス:公表済み

ownCloud 認証情報窃取インシデント MFA未設定が原因

辞書攻撃・データベース侵入

ローレルバンクマシン AI-OCRサービスに辞書攻撃

ローレルバンクマシンは9日、同社が提供するAI-OCRサービス「Jijilla」のサーバーに対する不正アクセスにより、個人情報が流出した可能性があると発表した。2025年9月25日にサービスが利用できないとの顧客連絡で発覚。外部専門業者によるフォレンジック調査の結果、第三者が辞書攻撃等によりデータベースに不正侵入してデータを削除・窃取した可能性が高いことが判明した。流出可能性があるのは、利用顧客社員18件、アンケート回答データ約22.3万帳票分、トライアル利用者361件。アンケートは無記名で直接的な個人情報記入項目なし。クレジットカード情報は含まれず。現時点で被害の発生は確認されていない。

漏えい状況:可能性あり(約22.3万帳票分等)|影響範囲:個人・企業(利用者・アンケート回答者)|ステータス:最終報告

ローレルバンクマシン AI-OCRサービスに不正アクセス
一次ソース: 不正アクセスによる個人情報漏えいに関するご報告とお詫び(ローレルバンクマシン公式)

Booking.com関連の不正アクセス

ダイワロイネットホテルズ 管理システムに不正アクセス

大和ハウスリアルティマネジメントとダイワロイネットホテルズは、両社が運営するダイワロイネットホテルズで利用しているBooking.com社の宿泊予約情報管理システムのアカウントが第三者による不正アクセスを受け、予約者情報が流出した可能性があると発表した。フィッシング詐欺メールも確認されている。

漏えい状況:可能性あり|影響範囲:個人(予約者)|ステータス:調査中

ダイワロイネットホテルズ Booking.com管理システムに不正アクセス

脆弱性

お名前.com WordPressプラグインに重大な脆弱性

GMOインターネットが運営するお名前.comレンタルサーバーは6日、同サービスで提供している「かんたんお引越し」機能で使用されるWordPressプラグイン「かんたんお引越し for お名前.com」に重大な脆弱性が発見されたと発表した。CSRF攻撃によりWebシェルをアップロードされる恐れがある。早急な対応を呼びかけている。

漏えい状況:脆弱性(悪用は未確認)|影響範囲:企業(プラグイン利用者)|ステータス:修正版公開

お名前.com WordPressプラグインに重大な脆弱性

Google Chrome デスクトップ版とAndroid版で緊急アップデート

Googleは6日、デスクトップ版およびAndroid版Google Chromeの安定版をアップデートしたと発表した。WebViewタグの脆弱性を修正している。

漏えい状況:脆弱性(悪用は未確認)|影響範囲:個人・企業(Chrome利用者)|ステータス:修正版公開

Google Chrome デスクトップ版とAndroid版で緊急アップデート

Web改ざん

EmEditor 年末年始にマルウェア含むインストーラー配布

テキストエディター「EmEditor」を開発するEmurasoftは4日、2025年12月31日から2026年1月2日にかけて日本語版ウェブサイトが不正アクセスを受け、マルウェアを含むインストーラーが配布されていたと発表した。WordPressの脆弱性が悪用されたとみられる。年末年始の休暇期間を狙った攻撃だ。

漏えい状況:確認(マルウェア配布)|影響範囲:個人(ダウンロード者)|ステータス:復旧済み

EmEditor 年末年始に不正アクセス マルウェア含むインストーラー配布

東京都教職員組合 不正転送被害

東京都教職員組合は7日、公式サイトと組合員専用サイトにおいて、一時的に不適切なページへ転送される事象が発生していたと発表した。2025年12月23日から24日にかけて発生。現在は原因箇所の特定とクリーンアップによる応急措置を完了している。個人情報漏洩なし。パスワード変更を呼びかけている。

漏えい状況:なし|影響範囲:-|ステータス:復旧済み

東京都教職員組合 公式サイトで不正転送被害

その他の不正アクセス

みずほリース 発電事業システムに不正アクセス

みずほリースは6日、2025年12月14日に一部のシステムが不正アクセスを受けたことを確認したと発表した。不正アクセスを受けたのは発電事業投資に関するシステムで、基幹システムとは異なる外部のインフラ環境で独立して稼働していた。情報流出なし。

漏えい状況:なし|影響範囲:-|ステータス:最終報告

みずほリース 発電事業システムに不正アクセス

シーエーシー 寄附金申請サービスに不正アクセス

CAC Holdingsは6日、グループ会社のシーエーシーが提供する寄附金Web申請クラウドサービス「Academic Support Navi」に不正アクセスが確認されたため、サービスを一時停止したと発表した。2025年12月25日に検知。

漏えい状況:未確認|影響範囲:企業・個人(利用者)|ステータス:調査中

シーエーシー 寄附金申請サービスに不正アクセス

TOKYO FM 外部クラウドサービスからユーザー情報流出

エフエム東京(TOKYO FM)は6日、年初よりSNS上で同社のサーバーがサイバー攻撃を受けて大量の個人データが流出したとの投稿がなされていたことについて、調査の結果を発表した。同社が運用するサーバーへの不正アクセスはなかったが、一部のコンテンツ制作で使用していた外部クラウドサービスからユーザー情報が流出していた。

漏えい状況:確認(外部サービスから)|影響範囲:個人(ユーザー)|ステータス:公表済み

TOKYO FM 外部クラウドサービスからユーザー情報流出

いまきいれ総合病院 メールアカウント不正利用で第2報

いまきいれ総合病院は、2025年8月19日に同院のメールアカウントが第三者により不正利用され、スパムメール送信の踏み台として使用されていたことが判明した件について、外部専門機関による調査結果を公表した。8月19日以前の直近1カ月のやり取りが閲覧された可能性がある。

漏えい状況:可能性あり(メール閲覧)|影響範囲:個人・企業(メール相手先)|ステータス:最終報告

いまきいれ総合病院 メールアカウント不正利用で第2報

原子力規制庁職員が中国でスマホ紛失

共同通信は6日、原子力規制庁の職員が2025年11月に私用で訪問した中国で業務用スマートフォンを紛失し、核セキュリティー担当部署の職員名や連絡先が漏洩した可能性があると報じた。同庁は「情報漏洩の可能性が否定できない」としている。

漏えい状況:可能性あり(紛失)|影響範囲:個人(職員情報)|ステータス:公表済み

原子力規制庁職員が中国でスマホ紛失

サービス再開

協同乳業 オンラインショップを約2カ月ぶり再開

協同乳業は7日、通販公式サイト「メイトーオンラインショップ」を再開したと発表した。同社が利用するECカートシステム提供会社のサーバーで2025年10月28日に第三者による不正アクセスの痕跡が確認され、安全確保のため停止していた。

漏えい状況:未確認|影響範囲:-|ステータス:復旧済み

協同乳業 オンラインショップを約2カ月ぶり再開

今週の注目トピック

年始のランサムウェア攻撃

カンバスの攻撃は1月6日未明、つまり正月明けの月曜日未明に発生している。EmEditorは年末年始(12月31日~1月2日)に攻撃を受けた。年末年始は多くの企業でセキュリティ担当者が不在となり、監視体制が手薄になる時期だ。攻撃者はこのような時期を狙って攻撃を仕掛けることが多い。

サプライチェーン攻撃の拡大

スマレジの連携外部アプリベンダーからの流出により、サイクルヒーローなど複数の事業者が影響を受けた。大手プラットフォーム事業者は通常、高度なセキュリティ対策を講じているため、攻撃者はより脆弱な連携先を標的とすることが増えている。外部サービスとの連携時は、連携先のセキュリティ対策状況も確認する必要がある。

個人アカウントの業務利用リスク

東京都立大学の事案では、教員が個人で取得したGoogleアカウントで大学業務(イベント申込者情報、入試関連情報)を管理していた。個人アカウントの利用は、大学の組織的なセキュリティ対策が及びにくく、多要素認証の未設定、パスワード管理の不徹底、セキュリティアップデートの遅れなどのリスクがある。組織が提供する公式アカウントを使用し、適切なセキュリティ対策を講じることが求められる。

辞書攻撃への対策

ローレルバンクマシンの事案では、辞書攻撃等によりデータベースへの不正侵入が行われた。対策としては、多要素認証(MFA)の必須化が最優先となる。その他、ログイン試行のレート制限やロックアウト機能、異常なログイン試行の検知とアラート、弱いパスワードや既知の漏えいパスワードのブロックリスト運用などが有効だ。

今週の対策ポイント

今週のインシデントから学べる対策ポイントをまとめる。

第一に、多要素認証(MFA)の必須化だ。ownCloudの事案では、MFA未設定が原因だった。ローレルバンクマシンの辞書攻撃も、MFAがあれば防げた可能性が高い。

第二に、個人アカウントでの業務情報管理の禁止だ。東京都立大学の事案のように、個人アカウントでは組織的なセキュリティ対策が及びにくい。組織が提供する公式アカウントを使用すべきだ。

第三に、外部サービス・連携先のセキュリティ確認だ。スマレジの事案のように、外部ベンダーからの流出で間接的に被害を受けることがある。外部サービスとの連携時は、APIキーや連携トークンの管理、データ提供範囲の確認が必要だ。

第四に、年末年始のセキュリティ監視体制の強化だ。カンバスやEmEditorの事案のように、休暇期間を狙った攻撃が確認されている。休暇期間中も最低限の監視体制を維持すべきだ。

第五に、WordPressなどCMSの脆弱性対策だ。EmEditorの事案ではWordPressの脆弱性が悪用された。お名前.comのWordPressプラグインにも重大な脆弱性が発見されている。定期的なアップデートとプラグインの見直しが必要だ。

来週への注目点

今週発生したインシデントのうち、カンバス、サイクルヒーロー、ローレルバンクマシンなどは調査が継続中だ。来週以降、詳細な調査結果や流出範囲の確定が発表される可能性がある。

また、スマレジ連携外部アプリベンダーからの流出については、該当する外部アプリの特定や、他にどの事業者が影響を受けているかについて、追加情報が出る可能性がある。

引き続き、セキュリティインシデントの動向に注意が必要だ。

集計ルール(メソドロジー)

集計対象:2026年1月3日~1月10日にCCSIで掲載したセキュリティニュース記事

1件の定義:同一組織・同一事案は第1報/続報を「1件」に統合(例:カンバスは第1報と中間報告で1件、東京都立大学は第1報と第2報で1件)

分類基準:攻撃種別が重複する場合は主因で分類。例えば、ランサムウェア攻撃による情報流出は「ランサムウェア攻撃」に分類。Web改ざんによる認証情報窃取は「Web改ざん」に分類

不明点の扱い:流出範囲や件数が「調査中」のものは統計には含めるが、ステータスを「調査中」と明記

業種分類:主要事業または被害を受けた部門で分類。子会社の被害は親会社の業種で計上

※本まとめは、2026年1月3日~1月10日にCCSIで報道されたセキュリティニュースを基に作成しています。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,