サイバー攻撃関連
今週のセキュリティニュース - 2026年05月22日
セキュリティニュース一覧に戻る
ポストはじめに
今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。ぜひご覧ください。
業界
損害保険
医療
攻撃分類
ランサムウェア
不正アクセス
目次
専門家が解説!今週のサイバーセキュリティの脅威と対策のポイント
今週のハイライト
- 国内でサイバー攻撃が急増し、教育機関などが標的に
- 国内外の委託先やベンダーを起点とした情報流出が多発
- 米政府機関の請負業者による人為的な機密情報の露出が判明
セキュリティ企業のCheck Point Researchの調査報告によると、世界的なサイバー攻撃が再加速しており、日本への攻撃は前年同月比73%増と急激な増加を記録しています。 特に顕著なのが、委託先や請負業者を起点とした被害です。国内の大手損保委託先における約3万件の情報漏洩や、米国の医療機関でベンダーを経由して生体情報が流出した事件など、サプライチェーンの脆弱性が突かれています。生体情報はパスワードと異なり生涯変更できないため、漏洩した場合の被害は極めて重大で取り返しがつきません。さらに、米国政府機関の請負業者が内部情報を公開してしまった事例が示すように、人為的ミスによる情報露出も深刻なリスクです。
クラウド利用が前提の現代では、「あらゆるアクセスを信用しない」考え方が不可欠です。特に漏洩リスクが致命的となる生体情報においては、パターンデータをネットワーク上に流さず、手元の認証器内だけで安全に管理するFIDO認証(パスキー)の仕様が極めて有効です。
CloudGate UNOはこのFIDO認証に標準対応しており、生体情報の安全性を確保しながら、アクセスごとに端末や環境をリアルタイムで検証する多層防御を提供します。自社だけでなく委託先も含め、アクセスの都度「誰が・どの端末で」利用しているかを厳密に判定し、ゼロトラストに基づく強固な認証基盤を整備することが、今後の企業防衛の要となります。
認証セキュリティの強化をご検討中でしたら、ぜひ弊社までご相談ください。クラウドサービスへの多要素認証(MFA)導入やパスワードレス認証に関するオンライン無料相談を受け付けております。
国内の主なインシデント
損保大手の委託先機関へのランサムウェア攻撃、3万件超のデータ流出
損保大手から事故調査業務などの委託を受けている外部機関は2026年5月、2025年11月に発生したサイバー攻撃に関する最終報告を公表しました。
本事象は昨年11月下旬にサーバーのデータ暗号化として発覚。攻撃者はネットワーク機器の脆弱性を悪用して内部ネットワークに侵入しました。その後、ドメイン管理者権限を不正に取得してネットワーク全体を支配し、データを窃取した上でランサムウェアを実行するという典型的な「二重脅迫型」の攻撃を行いました。調査の結果、業務関係者や従業員、採用候補者など計3万件を超える個人データが外部へ流出した可能性が高いと判断されました。
同機関は、国際貿易や事故調査の検定機関として約70社から業務を委託されているため、この報告を受けて、委託元である複数の大手損害保険会社が顧客情報の漏洩可能性を一斉に公表する事態へと発展しました。多くの取引先が絡むインシデントにおいて、影響の大きさが改めて浮き彫りになりました。
サイバー攻撃が世界規模で再加速、日本への攻撃は前年比73%増と急増
セキュリティ企業のCheck Point Researchは、2026年4月の世界的なサイバー脅威インテリジェンスの分析結果を公表しました。3月に一時的な鎮静化が見られたものの、4月に入りサイバー攻撃は再び加速へと転じています。
2026年4月、世界では1組織あたり週平均2,201件のサイバー攻撃が確認されました。この時期日本は1組織あたり週平均2,048件を記録しています。これは前年同月比で73%の大幅な増加であり、3月の週平均1,723件からも急加速しています。世界的な脅威の波が日本にも本格的に押し寄せており、アジア太平洋(APAC)地域内でも5番目に高い攻撃数となっています。
2026年4月、「教育・研究」分野が再び最も多く標的とされ、次いで「政府・軍関係」、「通信」と続きました。特に教育分野は個人のデバイスを持ち込むなどネットワークが分散している一方で、セキュリティに割ける予算が限られているため、攻撃者にとって侵入しやすい「防御の薄い環境」として標的となっています。このようにサイバー脅威が国内外で再び活発化する中、組織は「常にリスクが存在すること」を前提に、複数の対策を組み合わせた多層防御の徹底が急務となっています。
国外の主なインシデント
米CISAの委託業者がGitHubに政府専用クラウドの特権キーを露出
米サイバーセキュリティ・インフラセキュリティ庁(CISA)の委託業者が、GitHubの公開リポジトリ上に機密情報を誤って露出させていたことが判明しました。
対象には政府専用のクラウドの特権アカウント認証情報や、内部システムの平文パスワードが含まれており、現在CISAがデータの悪用や侵害の有無を調査しています。
この事象は、検知機能を無効化したリポジトリを私的なデータ同期目的で利用したことが原因とみられます。専門メディアらによるCISAへの通報直後に該当アカウントは閉鎖されたものの、露出したAWSキーはその後48時間も有効なままだったとのことです。
ハッカーが医療データと指紋データを窃取、影響は180万人以上に
米国の公的医療機関NYC Health + Hospitalsで180万人以上に影響するデータ流出が発生しました。外部ベンダー経由で侵入したハッカーが数カ月間にわたりネットワークにアクセスし、ファイルをコピーしたと報告されています。
流出した情報には個人情報や医療記録、保険情報のほか、指紋や手のひらの紋様といった生涯変更不可能な生体認証データが含まれます。同機関のウェブサイトが一時オフラインになるなどの影響も確認されました。
FBIの2025年報告書でも医療分野はランサムウェアの主要な標的とされており、今回の事案は今年最大規模の医療データ流出の一つとなりました。現時点で攻撃者からの金銭要求の有無などは明らかになっていません。
