2026年4月25日〜27日に報告された国内外のセキュリティ事案を整理。医療・小売・製造業まで業種を問わず被害が拡大する中、自社で今週中に取るべき具体的なアクションをまとめました。
「うちは大丈夫」と言い切れますか?
先週1週間、あなたのサイトや社内システムは安全でしたか?
医療機関、バイク用品チェーン、電子部品メーカー、学生服ブランド、鉄道会社——2026年4月最終週だけでも、これだけ多様な業種でセキュリティインシデントが公表されました。「自分たちは大企業じゃないから」「有名なサービスじゃないから」という安心感は、残念ながらもう通用しません。
Fivenine Designでは、神奈川を中心にWeb制作・システム開発を20年以上手がける中で、クライアント様のサーバー管理やセキュリティ対策にも日常的に向き合っています。今週報告された各インシデントは、私たちが関わるLaravel・WordPress・Next.jsサイトにとっても決して他人事ではありません。
この記事では、2026年4月24日〜27日前後に公表された主要なインシデント・脆弱性情報を一本にまとめ、それぞれに「自社で今すぐ確認すべきこと」を添えて解説します。被害企業を責めるつもりは一切ありません。同じ状況はどの組織にも起こり得ます。大切なのは「明日は我が身」として読み、月曜の朝に動き出すことです。
あわせて読みたい
今週のインシデント全体像:3つの攻撃ベクタが同時多発
まず全体傾向を把握しておきましょう。今週報告された案件を攻撃手口の観点で分類すると、大きく3つのパターンに集約されます。
技術的な侵害だけでなく、物理的なPC管理 や メール誤送信 といった人的・運用上のミスも同数レベルで発生しています。「セキュリティ=ウイルス対策ソフト」という認識では、もはや守り切れない時代です。
国内インシデント詳細
1. 市立奈良病院 — 電子カルテ停止(4/24公表)
概要: サイバー攻撃を受け、電子カルテシステムが停止。公表時点で外来診療は再開済みとされています。医療機関へのサイバー攻撃は2021年の徳島県つるぎ町立半田病院以降、継続的に報告されており、電子カルテの停止は診療業務に直結する深刻な被害です。
🔍 自社チェック項目
- 重要システムのオフライン・バックアップ体制はあるか? クラウド連携のみに依存していると、侵害時に復旧手段がなくなります。
- ランサムウェア感染を想定した事業継続計画(BCP)を策定しているか? 「どこを止めても最低限の業務を続けられるか」を事前に設計しておくことが重要です。
- ネットワークセグメンテーションを実施しているか? 基幹システムを他のネットワークから分離することで、感染拡大を抑制できます。
2. 山一電機 海外グループ会社 — ランサムウェア被害(4/24公表)
概要: 海外グループ会社がランサムウェア被害を受け、詳細を調査中と公表。国内親会社への影響については公表時点では確認中とされています。グローバルに展開する企業では、セキュリティ基準の低い海外拠点が侵入経路になるケースが相次いでいます(推測:VPN経由での侵入が疑われますが、公式発表はありません)。
🔍 自社チェック項目
- グループ会社・業務委託先のセキュリティ基準を確認しているか? 自社が厳重でも、連携先が弱ければそこから侵入される「サプライチェーンリスク」があります。
- VPNの多要素認証(MFA)は有効化されているか? ID・パスワードだけでは不十分です。
- 海外拠点との接続経路に不審なアクセスがないか、ログを確認できるか?
3. 2りんかん — サーバー侵害・顧客情報流出の可能性(4/24公表)
概要: バイク用品チェーンの2りんかんを運営する企業がサーバーへの不正アクセスを公表。顧客情報が流出した可能性があるとしています。ECサイトや会員管理システムを持つ小売業が標的になったケースで、顧客の個人情報・決済情報保護の観点から重大なインシデントです。
🔍 自社チェック項目
- ECサイトのサーバーに不審なファイルや不正なコードが埋め込まれていないか定期的に確認しているか?
- 顧客情報へのアクセスログを取得・監視しているか?
- Webアプリケーションファイアウォール(WAF)を導入しているか? WordPressやLaravelで構築したECサイトでは、WAFによる防御が有効な最初のラインになります。
# Webサーバーのアクセスログから不審なPOSTリクエストを抽出する例(Apache)
grep 'POST' /var/log/apache2/access.log | grep -v '200' | awk '{print $1, $7, $9}' | sort | uniq -c | sort -rn | head -20
4. カンコー学生服 — 制服受け渡し連絡メールで誤送信
概要: 顧客への連絡メールで誤送信が発生したと公表。詳細な件数・内容については公表情報の範囲で確認中ですが、宛先ミスや一斉送信設定のミスが原因とみられます。
🔍 自社チェック項目
- 顧客向けメール送信時に「宛先確認→第三者確認→送信」の3ステップフローを定めているか?
- メーラーやCRMの「全員に返信」「BCC→TO誤設定」が起こりにくい運用ルールがあるか?
- 大量送信にはメール配信専用ツール(SendGrid・Amazon SES等)を使用し、宛先リストの確認フローを自動化しているか?
5. 東京モノレール — 廃棄予定PCが約8ヶ月間紛失(公表)
概要: 廃棄予定のPCが倉庫に保管された後、約8ヶ月が経過した時点で所在不明であることが判明。データが残存していた場合、情報漏えいのリスクがあります。「廃棄予定」と「廃棄完了」の管理が分離していたことが問題の核心と考えられます。
🔍 自社チェック項目
- PC・スマホ・HDD等のIT機器廃棄フローに「データ消去証明書の取得」が含まれているか?
- 廃棄予定機器の保管場所・台数を台帳で管理しているか?
- 廃棄業者へ引き渡した後の証跡(引き渡し書・消去証明)を保管しているか?
6. 熊本市 — 心理相談予約簿が所在不明
概要: 心理相談に関する予約簿が所在不明になったと公表。紙媒体の管理不備で、機微な個人情報を含む可能性がある記録が行方不明になったケースです。
🔍 自社チェック項目
- 紙の書類(特に個人情報を含むもの)の管理ルール・保管場所・廃棄方法を明文化しているか?
- デジタル化できる情報は電子化し、アクセス制御・バックアップを適用しているか?
7. CAMPFIRE 第四報 — 最大22.5万件の個人情報漏えい(4/24公表)
概要: クラウドファンディングプラットフォームのCAMPFIREが第四報として、最大約22.5万件の個人情報が漏えいした可能性を公表。本インシデントは今週の国内最重要案件として位置づけられます。詳細は別記事でも解説予定ですが、不正アクセスによる大規模漏えいの典型事例として注目すべき案件です。
🔍 自社チェック項目
- 会員情報・決済情報を扱うシステムの脆弱性スキャンを直近6ヶ月以内に実施しているか?
- 侵害発生時の「インシデントレスポンス手順書」は整備されているか?
グローバル動向
8. 中国系APT — ルーター侵害に日本含む10カ国が共同アドバイザリ(4/24)
概要: 日本を含む10カ国の政府・セキュリティ機関が共同で、中国系とされるAPTグループによるルーター・ネットワーク機器への侵害に関するアドバイザリを公表しました。攻撃者はエッジデバイス(VPN機器・ルーター等)の脆弱性を悪用し、標的ネットワークへの侵入足がかりを確保しているとされています。
🔍 自社チェック項目
- 使用中のルーター・VPN機器のファームウェアを最新版に更新しているか?
- EOL(サポート終了)機器を継続使用していないか?
- 管理画面をインターネットに公開していないか? 管理IPを社内IPに制限することが最低限の対策です。
- Syslogやフロー情報を記録・監視しているか?
9. Chrome セキュリティアップデート — 19件の修正
概要: Googleが Chrome の安定版アップデートをリリースし、19件のセキュリティ脆弱性を修正しました。修正内容にはメモリ安全性に関わる問題が含まれます。社内で使用するブラウザが旧版のままでは、ドライブバイダウンロード等の攻撃リスクが高まります。
🔍 自社チェック項目
- 社内全端末のChromeバージョンを確認し、最新版への更新を促しているか?
- MDM(モバイルデバイス管理)やグループポリシーで強制更新の仕組みがあるか?
# macOSでChromeのバージョンを確認
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --version
# Windowsでの確認(PowerShell)
(Get-Item "C:\Program Files\Google\Chrome\Application\chrome.exe").VersionInfo.FileVersion
10. Apache ActiveMQ — MQTTパケット検証不備の脆弱性
概要: Apache ActiveMQにおいて、MQTTプロトコルのパケット検証不備による脆弱性が報告されています。ActiveMQは多くのJava系エンタープライズシステムで利用されるメッセージキュー基盤であり、IoT連携システムやバックエンドサービスを運用している組織は確認が必要です。
🔍 自社チェック項目
- ActiveMQを使用しているか確認し、使用している場合は修正バージョンへのアップデートを計画しているか?
- ActiveMQの管理ポートをインターネットへ公開していないか?
- 不要なプロトコル(MQTT等)を無効化しているか?
今週の脆弱性ハイライト
11. Microsoft 365 Copilot — オープンリダイレクト脆弱性(4/27修正済み)
概要: Microsoft 365 Copilotにオープンリダイレクトの脆弱性が確認され、4月27日時点で修正済みとMicrosoftが公表しています。オープンリダイレクトはフィッシング攻撃の踏み台として悪用されるケースがあり、ユーザーを正規ドメインに見せかけた悪意あるURLへ誘導することが可能になります。Microsoftがサーバーサイドで修正済みのため、ユーザー側での特別な対応は不要ですが、類似の実装が自社サービスに存在しないか確認する機会として捉えてください。
🔍 自社チェック項目
- 自社のWebアプリケーションにリダイレクト処理がある場合、リダイレクト先URLをホワイトリストで制御しているか?
// Laravel: リダイレクト先を許可リストで制限する例
$allowedDomains = ['example.com', 'trusted-partner.com'];
$url = request()->input('redirect_to');
$host = parse_url($url, PHP_URL_HOST);
if (!in_array($host, $allowedDomains)) {
// 許可されていないドメインへのリダイレクトはブロック
abort(400, 'Invalid redirect destination');
}
return redirect($url);
- ユーザー入力値をそのままリダイレクトURLに使用していないか、コードレビューで確認しているか?
4月月例パッチ:今すぐ対応必須の2件
12. CVE-2026-32201 — SharePoint Server なりすまし脆弱性(悪用確認済み)
概要: Microsoft SharePoint Serverになりすまし攻撃を可能にする脆弱性で、実際の悪用が確認済みです。Microsoftは緊急対応を推奨しています。SharePointを社内ポータルや文書管理基盤として使用している組織は最優先で対応が必要です。
⚠️ 悪用確認済み(Exploited in the Wild) の脆弱性です。パッチ未適用の場合、既に攻撃者のターゲットになっている可能性があります。
🔍 自社チェック項目
- SharePoint Serverのバージョンを確認し、4月の月例パッチを適用済みか確認する
- SharePoint管理画面へのアクセスをVPN経由に限定しているか?
- 適用後に動作確認(権限設定・外部共有設定の変化がないか)を実施しているか?
13. CVE-2026-33824 — Windows IKEサーバー RCE(CVSS 9.8・認証不要)
概要: WindowsのIKE(Internet Key Exchange)プロトコルサービスにリモートコード実行(RCE)の脆弱性が存在します。CVSSスコア9.8・認証不要という組み合わせは最高クラスの危険度であり、インターネットに露出したWindowsサーバーが対象になります。
⚠️ CVSS 9.8・認証不要・RCE の3条件が揃っています。インターネットからアクセス可能なWindowsサーバーを持つ組織は即座にパッチ適用を検討してください。
🔍 自社チェック項目
- Windowsサーバーに4月の月例更新プログラムを適用しているか?
- IKEサービス(UDP 500/4500番ポート)をインターネットへ不必要に公開していないか?
- 適用前に影響範囲を確認し、検証環境でテストしてからの本番適用を推奨
# Windowsの月例更新の適用状況を確認(PowerShell)
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10
# Windows Updateを強制実行(管理者権限)
usoclient StartScan
usoclient StartDownload
usoclient StartInstall
インシデント種別サマリー
特定の業種に集中するのではなく、あらゆる業種・規模の組織が被害を受けている点が今週の最大の特徴です。
今週中に必ずやること:チェックリスト
以下を月曜日の朝イチで担当者に確認してもらうことを推奨します。
サーバー管理、丸ごとお任せください
サーバー保守・運用
監視・障害対応・パフォーマンス改善まで、安定稼働をサポートします
※ 通常1営業日以内にご返信します
まとめ:「対応できる体制」があるかどうかが分かれ目
今週報告されたインシデントを振り返ると、共通点が浮かび上がります。それは「高度な攻撃技術だけが原因ではない」という事実です。VPN機器のファームウェア未更新、廃棄PC管理の形骸化、メール送信の確認フロー不足——どれも「知っていれば防げた」内容です。
Fivenine Designでは、お客様のWebサイトやシステムの脆弱性診断・セキュリティ設定のレビュー、WordPressやLaravelアプリケーションのセキュリティ強化にも対応しています。「うちのサイト、ちゃんと守れているか確認したい」「自社のセキュリティ運用を見直したい」という方は、まずはお気軽にご相談ください。
本記事は公表済みの情報のみを基に作成しています。各インシデントの詳細・被害範囲については、各組織の公式発表を参照してください。「推測」と記載した箇所は公式に確認された情報ではありません。
