【2026年3月】注目のインシデントニュース｜不正アクセス5選

サイバーセキュリティラボでは、サイバーセキュリティに関する事件や事故のニュースを日々取り上げています。2026年3月も様々な種類のインシデントが発生しました。今月は不正アクセスのインシデント事例を5つピックアップしてまとめています。

^{※本記事の内容は各社・各団体の発表当時の情報です。
※本記事はサイバーセキュリティに関する啓発や考察を目的としています。特定の企業・団体を批判する意図は一切ありません。}

マツダ株式会社は2026年3月19日、タイからの調達部品の倉庫業務に利用している管理システムが不正アクセスを受け、個人情報が流出した可能性があると公表しました。この事案は2025年12月中旬に発覚し、社内及び外部専門機関の調査により、システムに存在したセキュリティ上の不備が第三者に悪用されたことが原因と判明しています。流出の懸念がある情報は、同社やグループ会社、取引先の従業員に関するユーザーID、氏名、メールアドレス、会社名、取引先IDの計692件です。なお、当該システムに一般顧客の情報は登録されておらず、顧客情報の流出はありません。同社は事象把握後、速やかに個人情報保護委員会へ報告して調査を進めました。今後の再発防止策として、インターネット通信の最小限化、アクセス接続元の限定、修正プログラムの迅速な適用、およびアクセス状況の監視強化などを進める方針です。

東山産業株式会社は2026年3月18日、同社サーバーに対するランサムウェア攻撃により、情報が漏えいした可能性があることを公表しました（3月10日の第1報に続く続報）。被害拡大を防ぐため、障害発生直後から該当サーバーと外部ネットワークとの接続を遮断する措置を講じています。公表時点において社内システムは利用できない状況ですが、受発注業務については通常通り受け付けを継続しています。現在は外部専門家の支援を受けながら原因特定や影響範囲の調査を行っており、各種クラウドサービスのパスワード変更や、ウイルスチェックで安全が確認されたパソコンのみを使用するなどの対策を実施しています。同社は、被害範囲などが判明次第、速やかに報告する方針を示しています。

株式会社ホテルプリンセス京都は2026年3月19日、利用中の予約サイト「Expedia」の管理者用アカウントへの不正アクセスにより、情報漏えいとフィッシングメッセージの送信が発生したと公表しました。同年3月2日に第三者が従業員になりすまし、WhatsApp 経由でクレジットカード情報の入力を求める偽メッセージを送信したことが原因です。漏えいした可能性のある情報は、一部の宿泊予約顧客の氏名や電話番号、宿泊日等で、クレジットカード情報は含まれていません。同ホテルは不正ログイン検知後に直ちにアクセスを遮断し、パスワード変更等を行いアカウントを復旧済みです。対象顧客への注意喚起のメール配信を行っており、今後は Expedia や外部専門家と連携してセキュリティ対策を強化し、再発防止を図る方針です。

株式会社サインドは2026年3月24日、同社のクラウド型予約管理システム「BeautyMerit」への不正アクセスにより、利用者の氏名や電話番号、メールアドレス等の個人情報の一部が漏えいした可能性があると公表しました。同年3月10日に不正アクセスを検知後、直ちにネットワークを遮断して経路を特定・遮断したため、システムへの影響はなく通常通り稼働しています。なお、システム内でクレジットカード情報などは保持していないため流出の懸念はなく、個人情報の不正利用も確認されていません。同社は現在、外部の専門機関へフォレンジック調査を依頼しており、ネットワーク監視の強化やアクセス制限措置を講じつつ、調査結果を踏まえた実効性のある再発防止策を実施する方針です。

株式会社ザイナスは2026年3月26日、株式会社ジョイフルからの受託業務に関連し、サイバー攻撃による不正アクセスでジョイフルの従業員や求職者ら約23,585名分の個人情報が漏えいした可能性があることを公表しました。同年1月29日、同社が用意していた再委託先へのデータ受渡用サーバーが不正アクセスを受け、データベースの一部が削除されたことで発覚しました。漏えいした可能性があるのは、面接や入社関連の書類データ（氏名、住所、生年月日、給与口座など）です。同社は株式会社ジョイフル及び個人情報保護委員会へ報告のうえ、連絡可能な対象者へ通知を実施しました。現在のところ二次被害やダークウェブ上での情報公開は確認されておらず、同社は今後株式会社ジョイフルと緊密に連携して再発防止に努める方針を示しています。