【2026年4月】注目のインシデントニュース｜不正アクセス5選

サイバーセキュリティラボでは、サイバーセキュリティに関する事件や事故のニュースを日々取り上げています。2026年4月も様々な種類のインシデントが発生しました。今月は不正アクセスのインシデント事例を5つピックアップしてまとめています。

^{※本記事の内容は各社・各団体の発表当時の情報です。
※本記事はサイバーセキュリティに関する啓発や考察を目的としています。特定の企業・団体を批判する意図は一切ありません。}

千葉大学は2026年4月17日、学生等の Microsoft 365 アカウント計4件に対し、不正アクセスが発生したと公表しました。1月30日に短時間で大量のメール送信を検知し、調査した結果発覚したものです。原因はフィッシングサイトや他サービスから流出したパスワードの悪用と考えられています。この被害により、迷惑メールが送信されたほか、共有フォルダ内のデータが第三者に閲覧され、学生47名と教員1名の氏名が漏えいした可能性があります。同大学は発覚時にアカウントを緊急停止し、該当者へ個別連絡を実施しました。また、再発防止策として4月1日から全利用者に多要素認証（MFA）を導入し、情報リテラシー教育を強化する方針です。

リゼクリニックを経営する医療法人社団風林会は2026年4月17日、利用中のLINE配信システムが第三者による不正アクセスを受け、患者情報の一部が漏えいした可能性があると公表しました。同年4月9日に不正ログインが発生し、1アカウントにつき4〜5通の不審なメッセージが配信されたとのことです。

調査の結果、LINEの表示名や登録院名、キャンペーン情報、トーク履歴の一部が流出した可能性があります。一方、氏名や住所、クレジットカード情報などの重要データはシステム内に保存されておらず、流出の心配はないとしています。同社はシステムへのIPアクセス制限などの必要な対応をすでに実施しており、個人情報保護委員会等の関係機関には報告済みです。今後は全社的なセキュリティ強化を図るとともに、警察への被害申告や捜査への協力を進める方針です。

市立奈良病院は2026年4月22日、同病院に対するサイバー攻撃が疑われる異常通信を検知し、診療制限を実施したことを公表しました。4月21日深夜の検知直後、電子カルテや関連サーバーをネットワークから物理的に切り離す初動対応が機能し、個人情報漏えいなどの被害は確認されていないとのことです。この影響で外来や救急受け入れが一時停止しましたが、端末の安全性を確認し、4月24日には通常診療を再開しました。その後も専門家等と連携して調査と段階的な復旧作業を継続した結果、5月13日午後にはオンライン資格確認を含むすべての院内システムが完全復旧しました。今後は再発防止に向けたセキュリティ対策の強化に取り組む方針を示しています。

イエローハットは2026年4月23日、子会社の２りんかんイエローハットが管理するサーバーが不正アクセスを受け、会員情報が漏えいした可能性があると公表しました。4月20日に不正アクセスを検知した直後、ネットワークの遮断などの緊急措置を講じ、外部専門家による調査を進めています。漏えいした可能性があるのは、「２りんかん」会員の氏名、住所、電話番号、アプリのパスワードや車両情報などです。なお、クレジットカード情報は当該サーバーに保管されておらず、イエローハット店舗の顧客サーバーとも独立しているため影響はないとしています。同社は専用の顧客相談窓口の設置準備を進めるとともに、グループ全体でセキュリティ体制の抜本的な見直しと再発防止に取り組む方針です。

アルプスアルパイン株式会社は2026年4月27日、利用中の外部VPNシステムが不正アクセスを受け、個人情報が外部から閲覧された可能性を完全には否定できないと公表しました。同年3月18日に委託先から不正アクセスの痕跡について連絡を受け、その後の調査で判明したものです。

影響を受けた可能性があるのは、役員や退職者を含む従業員、委託先従業員の一部に関する氏名、会社メールアドレス等の情報です。クレジットカードやマイナンバー等の機微情報、顧客情報の保存はなく、パスワードも暗号化されているため閲覧等の事実は確認されていません。同社はシステムの利用停止や専門機関による調査を実施しており、今後はセキュリティ対策や監視体制の強化に取り組む方針を示しています。