Weekly Security Digest
今週のセキュリティ動向
2026年5月25日(月)〜5月31日(日)
🇯🇵 国内インシデントの内訳
国内インシデント
偽警告被害、ファイル共有サービス利用時に誘導 - 北九州市立大
北九州市立大学の職員が偽の警告画面(サポート詐欺)にだまされてPCを遠隔操作され、個人情報が漏洩した可能性がある。偽警告からのサポート詐欺は中小企業の従業員も狙われるケースが増えて…
元記事を読む →ランサムウェア被害が発生、受発注や出荷に影響 - 松沢書店
楽譜・音楽書籍卸の松沢書店がランサムウェア攻撃を受け、受発注や出荷業務に影響が生じた。中小企業でもランサムウェア被害は実際に発生しており、業務停止リスクを認識する必要がある。バック…
元記事を読む →問合管理システムがランサム被害、学習システムなどは影響なし - CKCグループ
教育事業者CKCグループが運用する問い合わせ情報管理システムがランサムウェア攻撃を受け、顧客情報が漏洩した可能性がある。学習システムなどへの影響はないとのことだが、顧客への通知対応…
元記事を読む →メルアカに不正アクセス、総当り攻撃受け - エスペック
環境試験機器メーカーのエスペックで、従業員1名のメールアカウントが総当り攻撃(ブルートフォース攻撃)により不正アクセスを受けた。メールアカウントへの不正アクセスは情報漏洩や内部への…
元記事を読む →ファイルサーバでランサム被害を確認 - ダイヤモンド関連企業
オリエンタルダイヤモンド(ゴードン・ブラザーズ・ジャパン子会社)がサイバー攻撃を受け、ファイルサーバーでランサムウェア被害が確認された。宝飾・ダイヤモンド業界でも標的型ランサムウェ…
元記事を読む →一部サーバでランサムウェア被害 - キャンディルグループ会社
キャンディルグループのキャンディルパートナーズが、一部サーバへのランサムウェア攻撃被害を公表した。住宅メンテナンスサービスを展開する企業で、情報漏えいや業務停止リスクが生じている…
元記事を読む →住民の個人情報含むデータを福祉事業所に誤送信 - 鷹栖町
北海道鷹栖町が住民の個人情報を含むデータを誤って福祉事業所に送信したことを公表した。誤送信による個人情報漏洩は行政機関でも多発しており、送信前の確認手順の徹底が重要だ。自組織でもメ…
元記事を読む →クラファン支援者情報が流出の可能性 - 横浜DeNAベイスターズ
横浜DeNAベイスターズが利用するクラウドファンディングサービス「CAMPFIRE」が侵害され、球団への支援者の個人情報が外部へ流出した可能性がある。外部サービスへの依存によるサプ…
元記事を読む →乗っ取り被害を受けた在日米海軍の公式X、ユーザー名も取り戻し“完全復活”
在日米海軍の公式Xアカウントが不正アクセスにより乗っ取られ、その後完全に復旧した。公式SNSアカウントの乗っ取り被害は組織の信頼性に直結するリスクがある。自社SNSアカウントのセキ…
元記事を読む →在日米海軍、公式Xが乗っ取り被害 プロフィールなど復旧するもIDは現時点で戻らず
在日米海軍司令部(CNFJ)の公式Xアカウントが乗っ取り被害に遭い、プロフィール等は復旧したものの公式IDは未回復の状態が続いている。公的機関のSNSアカウント乗っ取りは偽情報拡散…
元記事を読む →公開報告書に個人情報、マスキング処理に不備 - 名古屋市
名古屋市が内閣府のNPO法人ポータルサイトに公開した事業報告書で、マスキング処理の不備により個人情報が閲覧可能な状態になっていた。PDFのマスキングはビューア上で隠れていても実デー…
元記事を読む →インスタアカが乗っ取り被害、復旧後も不正アクセス - 南知多町観光協会
愛知県南知多町観光協会のInstagramアカウントが乗っ取り被害に遭い、復旧後も再度不正アクセスを受けてアカウントが停止状態となった。SNSアカウントの乗っ取りは情報拡散・詐欺へ…
元記事を読む →災害ボランティア登録者宛のメールで誤送信 - 氷見市社会福祉協議会
氷見市社会福祉協議会がボランティア募集メールの送信ミスにより、登録者の個人情報(メールアドレス等)を流出させた。BCCとCCの誤用や一括送信の設定ミスが原因とみられる。メール送信時…
元記事を読む →ロッキング・オン・ジャパン、元従業員が個人情報をUSBメモリで持ち出し 退職時に
ロッキング・オン・ジャパンの元従業員が退職時に個人情報をUSBメモリで不正持ち出しをしていたことが判明した。一般ユーザー情報は含まれず二次利用の形跡もないとしているが、退職者による…
元記事を読む →システム障害が発生、サイバー攻撃の可能性 - 精電舎電子工業
精電舎電子工業でシステム障害が発生し、サイバー攻撃の可能性があるとして調査・復旧を進めている。製造業を狙ったサイバー攻撃が続いており、同業種への注意が必要。被害の詳細は続報を待つ状…
元記事を読む →ランサムウェア攻撃が「持続可能なビジネス」に 侵入コスト6万6000円、復旧に2億3000万円
ランサムウェア攻撃の侵入コストが約6万6000円であるのに対し、被害企業の復旧コストは約2億3000万円と約3500倍の差があり、ランサムウェアが「持続可能なビジネス」となっている…
元記事を読む →米子会社にサイバー攻撃か、影響など詳細を調査 - 河合楽器
河合楽器製作所の米国子会社がサイバー攻撃による侵害を受けた可能性があり、現在影響範囲を調査中。グローバル展開する企業において海外拠点がセキュリティの弱点になるケースが続いている。自…
元記事を読む →SNSにおける情報漏えい、企業の7割で社内ルール「なし」 企業規模の違いで対応に格差か
企業の約7割がSNSからの情報漏えいに関する社内ルールを策定していないという実態が明らかになった。企業規模によって対応に格差があり、中小企業ほどルール未整備の傾向がある。SNSを通…
元記事を読む →「情報セキュリティ10大脅威 2026」の個人編ハンドブックが公開
IPA(情報処理推進機構)が「情報セキュリティ10大脅威2026 個人編」のハンドブックを公開した。フィッシング詐欺やSNS上の脅威など個人が直面しやすいリスクがわかりやすくまとめ…
元記事を読む →住宅相談者の個人情報含む書類が所在不明に - 港区
東京都港区で住宅相談者の個人情報を含む書類が所在不明となり、誤廃棄の可能性があると発表された。紙媒体の個人情報管理の不備による情報漏洩リスクは行政・民間問わず発生している。書類の管…
元記事を読む →海外インシデント
重要度HIGH のみ掲載
WP Maps Pro bug exploited to create admin accounts on WordPress sites
WordPressプラグイン「WP Maps Pro」の脆弱性を悪用し、認証なしで管理者アカウントを不正作成する攻撃が確認されています。攻撃者がサイトを乗っ取るリスクがあり、WP…
元記事を読む →ChatGPT share links abused to host fake outage pages to deliver malware
攻撃者がChatGPTのコンテンツ共有機能を悪用し、偽のOpenAI障害ページを作成してマルウェアを配布している。ユーザーはChatGPTデスクトップアプリに偽装したマルウェアをダ…
元記事を読む →Malicious Sicoob NuGet Steals Banking Credentials as npm Packages Target Cloud Secrets
NuGetパッケージにブラジルの金融機関Sicoobを装った悪意あるパッケージが発見され、バンキング認証情報を窃取することが確認された。またnpmパッケージでもクラウドの機密情報を…
元記事を読む →BTMOB Android malware service generates custom phishing payloads
「BTMOB」というAndroid向けRAT(遠隔操作型マルウェア)がサービスとして提供されており、攻撃者が独自のフィッシング用マルウェアを簡単に生成できる環境が整っている。業務用…
元記事を読む →Threat Actors Exploit Critical FortiClient EMS Flaw to Deploy Credential Stealer
FortiClient EMSの重大な既知脆弱性が引き続き攻撃者に悪用され、資格情報を盗むマルウェアが展開されている。パッチは公開済みだが、未適用の組織が攻撃対象になっている。Fo…
元記事を読む →GPU mining malware spreads via SEO poisoning, AI chatbots
SEOポイズニングとAIチャットボットの回答を悪用し、高性能PCを狙った暗号通貨マイニングマルウェア(クリプトジャッキング)が拡散している。AIチャットボットが悪意あるダウンロード…
元記事を読む →Malicious npm Package Stole Files From Claude AI User Directory via GitHub
npmレジストリに悪意あるパッケージ「mouse5212-super-」が発見され、Claude AIのユーザーディレクトリからファイルを窃取してGitHubに送信する機能を持つ…
元記事を読む →AI Chatbot Recommendations Redirect Users to Cryptojacking Malware Sites
MicrosoftがAIチャットボットの回答を悪用してクリプトジャッキング用マルウェアサイトへ誘導するキャンペーンを警告した。ユーザーがAIに尋ねた回答内に悪意あるダウンロードリン…
元記事を読む →政策・フレームワーク動向
How Varonis Atlas integrates Claude Compliance API for AI governance
Varonis AtlasプラットフォームがClaude Compliance APIを統合し、企業内のAIツール利用状況を可視化・リスク監視する機能を提供している。AIツールの企業データへのアクセス…
総務省、海底ケーブルの防御対策、骨子案を取りまとめ 地方分散で多ルート化
総務省が国際海底ケーブルの防御強化に向けた骨子案を了承し、陸揚局の地方分散・多ルート化・官民連携による防御策をまとめる方針を示した。インターネットインフラの冗長性強化を国が推進する方向性で、今夏に報告…