今週のセキュリティニュース - 2026年2月27日

フィッシング対策協議会は2026年2月20日、1月のフィッシング報告状況を発表しました。

今回公開された情報によると、1月の報告件数は約20万件に上り、前月比で約6.2%増加していることがわかります。悪用されたブランドは大手ECサイトやクレジットカードなどが多く、業種別でもEC系や信販系が上位を占めているとのことです。また、サポート詐欺や経営層を騙るCEO詐欺なども急増していると言います。

同協議会は、万が一IDやパスワードが漏洩してしまっても第三者のログインを防げるようパスキーなどの多要素認証を活用するなど継続的な警戒を呼びかけています。

2月中旬、学校法人は昨年11月に公表した業務委託先サーバへの不正アクセスに関するお知らせについて、続報を公開しました。

本事案により、学生や保護者、職員などの個人情報が約19万人分漏洩したことが判明、また、当該委託先は定められたルールとは異なる対応で個人情報を取り扱っていたことが発覚したと言います。

同学校法人も委託先への個人情報の安全管理が徹底されていなかったとしており、ネットワークへのアクセス管理の強化や情報セキュリティ体制を見直す等再発防止に努めるとしています。

米国の医療診断企業Vikor Scientific（現Vanta Diagnostics）および関連会社（KorPath、Korgene）において、計142,752人分の個人情報流出が発生しました。

ランサムウェアグループ「Everest」により、患者の氏名、生年月日、カード情報、医療記録、健康保険情報などが窃取されました。今回の情報漏洩は、Vikor社への直接攻撃ではなく、委託先からの情報流出に起因するものです。実際に被害に遭ったのは、同社らに医療請求業務などを提供していた「Catalyst RCM」で、同社システムの侵害により、預託されていた顧客データが流出しました。

事後調査により、ハッカーは有効なログインIDとパスワードを悪用してシステムへ不正アクセスし、データをコピーしていたことが判明しています。

フランス経済・財務省は2月18日、何者かが国が管理する銀行口座の名義人データベースに侵入し、約120万件の口座情報にアクセスしたと発表しました。1月末から、盗まれた公務員の認証情報が悪用されていたとのことです。

流出した情報には、口座番号や名義人の氏名、住所、一部の納税番号が含まれます。当局は、口座残高や取引履歴へのアクセス、およびデータの持ち出しについては否定しており、侵入検知後すぐにアクセスを遮断したとしています。

当局は刑事告訴を行うとともに、データ保護機関へ通知しました。フランスでは昨年12月にも郵便局や内務省でサイバー攻撃が相次いでおり、今回の事件についても犯行の動機や背後関係の特定に向けた調査が続けられています。