2026年3月は、企業・大学・金融機関・官公庁・著名人など幅広い対象を狙ったサイバー攻撃の公表が相次ぎました。ビジネスチャット上のなりすましによる不正送金、TikTokビジネスアカウントの乗っ取り、国家機関を標的としたハッカーの攻撃主張など、攻撃の手口と目的は多様化しています。また、月末にかけてはiPhoneを標的とするハッキングツールの流出や、開発ツールを悪用したサプライチェーン攻撃も確認されており、組織のシステム・アカウント・利用ツールのすべてが攻撃対象となり得ることを改めて示した月となりました。
目次
2026年3月 サイバー攻撃被害インシデント一覧
下表は、本記事で取り上げる主要なインシデントを公表日順にまとめたものです。
| 公表日 | 組織・対象名 | 被害の概要(手口) | 影響規模・特記事項 |
|---|---|---|---|
| 2026年3月31日 | axios(npm) | npmパッケージ乗っ取りによるサプライチェーン攻撃 | RAT投下確認、週3億DLのライブラリが標的 |
| 2026年3月31日 | ZUU | ビジネスチャット上のなりすまし送金指示 | 9600万円が流出 |
| 2026年3月31日 | イランのハッカー(Handala) | FBI長官の個人メールアカウントへの不正アクセスを主張 | 国家系ハクティビストによる攻撃主張 |
| 2026年3月31日 | TikTok ビジネスアカウント | アカウント乗っ取りによるマルバタイジング悪用 | マーケティング担当者が標的 |
| 2026年3月30日 | JAXA | ハッカーがサイバー攻撃を主張・公開データ窃取と偽装 | ALP-001グループが犯行声明 |
| 2026年3月30日 | ゼットン | 旧メールシステムへの不正アクセス | 1万8553件の個人情報流出の恐れ |
| 2026年3月22日 | RB大宮アルディージャWOMEN | Xアカウント乗っ取り | 浜田芽来選手の公式アカウントが被害 |
| 2026年3月22日 | MR.FRIENDLY | Instagramアカウント乗っ取り | 旧アカウントからの不審DM・投稿に注意 |
| 2026年3月19日 | マツダ | 倉庫業務システムへの不正アクセス | 従業員情報に影響(海外拠点経由) |
| 2026年3月19日 | 神戸大学 | 研究科サーバーへの不正アクセス | 外部システムを踏み台とした攻撃 |
| 2026年3月19日 | ホテル日航プリンセス京都 | Expedia管理者アカウントの不正利用 | 予約客情報が閲覧された恐れ |
| 2026年3月19日 | 中村学園大学 | 不正アクセス(終報) | 個人情報漏洩の可能性は非常に低い |
| 2026年3月19日 | Trivy(Aqua Security) | GitHub Actions改ざんによるサプライチェーン攻撃 | CI/CDシークレット流出リスク |
| 2026年3月18日 | 国際武道大学 | 委託先経由の不正アクセス | 卒業生の個人情報が漏洩 |
| 2026年3月18日 | 名古屋短期大学 | Webサイト改ざん | 不適切なページが表示される被害 |
| 2026年3月17日 | テーオーシー | ネットワークへの不正アクセス(調査完了) | 情報流出は確認されず |
| 2026年3月17日 | コスモスイニシア | 特定メールアカウントへの不正アクセス | 認証情報流出の疑い |
| 2026年3月16日 | 岩谷産業 | グループ会社システムへの不正アクセス | 顧客情報の流出は現時点で未確認 |
| 2026年2〜3月 | Cisco Catalyst(CISA通知) | KEVリスト掲載の脆弱性が実攻撃に悪用 | 早急なパッチ適用が必要 |
サプライチェーン攻撃・開発環境への侵害
axios npmパッケージが乗っ取られRATが投下、侵害前提での対応が必要
JavaScriptの代表的HTTPクライアントであるaxiosのnpm配布パッケージが改ざんされるサプライチェーン攻撃が2026年3月31日に確認されました。攻撃者はaxiosの主要メンテナーのnpm資格情報を奪い、GitHub Actionsによる通常の公開フローを迂回してnpm CLIから直接悪意あるバージョン(1.14.1および0.30.4)を公開しました。これらのバージョンをインストールすると、Windows・macOS・Linux向けのクロスプラットフォームRAT(遠隔操作トロイの木馬)がシステムに投下されます。さらに、スクリプトは実行後に自らの痕跡を削除して「クリーンなファイル」に偽装するという巧妙な隠蔽工作が施されており、事後の目視確認では発見が困難です。axiosは週3億回超ダウンロードされる広範な利用基盤を持つため影響範囲は非常に大きく、該当バージョンをインストールした環境は侵害済みとみなして対応することが求められます。
▶ 詳細記事:JavaScript ライブラリ axiosのnpmが乗っ取られる-1.14.1と0.30.4は導入済みなら侵害前提で対応が必要
Trivyへのサプライチェーン攻撃が再発、GitHub Actionsが改ざんされCI/CDシークレット流出リスク
Aqua SecurityとTrivyメンテナーは2026年3月19日、Trivyエコシステムに対するソフトウェアサプライチェーン攻撃の発生を公表しました。攻撃者はGitHub Actionsを改ざんし、CI/CDパイプライン上のシークレット情報が流出するリスクを生じさせました。セキュリティ診断ツール自体が攻撃の踏み台に使われるという、開発者・セキュリティ担当者にとって深刻な事例です。
▶ 詳細記事:Trivyへのソフトウェア サプライチェーン攻撃が再発-GitHub Actions改ざんでCI/CD シークレット流出リスク
ビジネスチャット・メールを悪用した詐欺・不正送金
ZUU、ビジネスチャット上のなりすまし送金指示で9600万円が流出
金融情報メディアを運営する株式会社ZUUは2026年3月27日、ビジネスチャット上でなりすました第三者からの送金指示により9600万円が外部に流出したと公表しました。BEC(ビジネスメール詐欺)がチャットツールに波及したケースで、メール以外のコミュニケーションチャネルでも送金指示の正当性を口頭・電話などの別経路で確認する二重確認プロセスの徹底が求められます。
▶ 詳細記事:金融情報メディア運営のZUU、ビジネスチャット上のなりすまし送金指示で9600万円が流出
国家系ハクティビストによる攻撃
イランのハッカー集団HandalaがFBI長官の個人メールアカウントへの不正アクセスを主張
イランの情報機関と連携するハクティビスト集団「Handala」は2026年3月27日、FBI長官カシュ・パテル氏の個人GmailアカウントへのアクセスおよびデータのダウンロードをSNS上で主張しました。地政学的緊張が高まる中で国家系脅威アクターが政府要人の個人アカウントを標的にするケースは増加しており、公私問わずアカウントセキュリティ管理の徹底が求められます。
▶ 詳細記事:イランのハッカーがFBI長官の個人メールアカウントへの不正アクセスを主張
ハッカーがJAXAへのサイバー攻撃を主張も実態は公開データの窃取と偽装
2026年3月27日、ランサムウェアおよびデータ恐喝を行うサイバー犯罪グループ「ALP-001」が、JAXAのネットワークへの侵入とデータ窃取を主張しました。しかし調査の結果、実態は公開されているデータを収集して侵害したかのように偽装したものと判断されています。犯行声明の真偽を見極める調査対応の重要性を示す事例です。
▶ 詳細記事:ハッカーが宇宙航空研究開発機構(JAXA)へのサイバー攻撃を主張も公開データを窃取と偽装
SNSアカウント・ビジネスアカウントの乗っ取り
TikTokビジネスアカウントを狙うサイバー攻撃、乗っ取りでマルバタイジングに悪用
セキュリティ企業Push Securityは2026年3月26日、企業のマーケティング担当者が利用するTikTok for Businessアカウントを標的とした攻撃キャンペーンを公表しました。乗っ取ったアカウントをマルバタイジング(悪意ある広告配信)や不正広告に悪用するもので、広告運用アカウントへのMFA設定と定期的なログイン確認が不可欠です。
▶ 詳細記事:TikTok ビジネスアカウントを狙うサイバー攻撃-アカウント乗っ取りでマルバタイジングや不正広告に悪用される恐れ
RB大宮アルディージャWOMEN、浜田芽来選手のXアカウントが乗っ取り被害
RB大宮アルディージャWOMENは2026年3月21日、浜田芽来選手のX(旧Twitter)アカウントが第三者による不正アクセスを受けていると公表しました。スポーツ選手や著名人のSNSアカウントは乗っ取り後に詐欺投稿や偽情報の拡散に悪用されるケースが多く、早期の公表と注意喚起が被害拡大の防止に直結します。
▶ 詳細記事:RB大宮アルディージャWOMEN、浜田芽来選手のXアカウント 乗っ取り 被害
MR.FRIENDLY、Instagramアカウントへの不正アクセス・乗っ取り被害
MR.FRIENDLY OFFICIALは、同社のInstagramアカウントが第三者による不正アクセスを受け乗っ取られたと公表しました。旧アカウントから不審なDMや投稿が行われる可能性があるとして注意を呼びかけています。ブランドの公式SNSが乗っ取られるとフォロワーへの二次被害にもつながるため、公式SNSへのMFA設定と定期的なログイン履歴の確認が必要です。
▶ 詳細記事:MR.FRIENDLY、Instagramアカウントが不正アクセスで乗っ取り 被害 旧アカウントからのDMや投稿に注意呼びかけ
不正アクセスによる情報漏洩・システム侵害
ゼットン、旧メールシステムへの不正アクセスで1万8553件の個人情報流出の恐れ
株式会社ゼットンは2026年3月27日、過去に使用していた旧メールシステムのアカウントに外部から不正アクセスが行われ、1万8553件の個人情報が流出した恐れがあると公表しました。使用停止済みの旧システムアカウントが攻撃の入口となった点は、廃止したシステムのアカウント管理・無効化の重要性を示す事例です。
▶ 詳細記事:ゼットン、旧メールシステムへの不正アクセスで1万8553件の個人情報流出の恐れ
岩谷産業、グループ会社のシステムへの不正アクセスを公表
岩谷産業は2026年3月16日、同社およびグループ会社のシステムの一部で第三者による不正アクセスを確認したと公表しました。公表時点では顧客情報の不正流出は確認されていないとしており、専門機関と連携して調査を継続しています。エネルギー関連の大手企業が標的となったケースとして注目されます。
▶ 詳細記事:岩谷産業、システムへの不正アクセスを公表
マツダ、倉庫業務システムへの不正アクセスで従業員情報に影響
マツダは2026年3月19日、タイからの調達部品の倉庫業務管理システムへの不正アクセスを公表しました。同社・グループ会社・取引先の従業員情報が影響を受けた可能性があるとしています。海外拠点のシステムが侵入経路となった点が特徴的であり、グローバル展開する企業における海外システム管理の難しさを示す事例です。
▶ 詳細記事:マツダ、倉庫業務システムへの不正アクセスで従業員の個人情報漏洩の恐れ
神戸大学、研究科サーバーへの踏み台攻撃による不正アクセス
神戸大学は2026年3月19日、本学研究科のサーバーが不正アクセスを受けたと公表しました。まず別機関のサーバーが侵害され、そのサーバーを踏み台として本学への攻撃が行われた点が特徴です。自組織とは無関係な第三者のサーバーが攻撃の起点となる「踏み台攻撃」の典型的な事例であり、外部からの通信監視の重要性を示しています。
▶ 詳細記事:神戸大学 研究科サーバーに不正アクセス
国際武道大学、委託先への不正アクセスで卒業生の個人情報が漏洩
国際武道大学は2026年3月18日、IT業務およびネットワークシステム保守を委託している事業者の社内ネットワークが外部からの不正アクセスを受け、卒業生の個人情報が漏洩したと公表しました。委託先が侵害されることで情報が流出するパターンで、委託先の管理体制の確認が改めて求められます。
▶ 詳細記事:国際武道大学、委託先への不正アクセスで卒業生の個人情報が漏洩
中村学園大学、不正アクセス被害の終報を公表・個人情報漏洩の可能性は非常に低い
中村学園大学・中村学園大学短期大学部は2026年3月19日、2025年9月に発生した不正アクセスに伴うネットワーク障害について終報を公表しました。外部専門機関による調査の結果、個人情報漏洩の可能性は非常に低いと結論づけられています。発生から約半年をかけて調査が完了した本事例は、インシデント対応が長期化する現実を示しています。
▶ 詳細記事:中村学園大学・中村学園大学短期大学部、不正アクセスでの個人情報漏洩の可能性は非常に低い
テーオーシー、不正アクセスの調査完了・情報流出は確認されず
株式会社テーオーシーは2026年3月17日、2025年12月に発生したネットワークへの不正アクセスについて、外部専門家による調査が完了し、データの外部流出は確認されなかったと公表しました。早期の外部専門家起用と透明性のある情報公開は、インシデント対応の好事例といえます。
▶ 詳細記事:テーオーシー、不正アクセスの調査完了を公表 情報流出は確認されず
メールアカウントへの不正ログイン
コスモスイニシア、特定メールアカウントへの不正アクセスを公表
株式会社コスモスイニシアは2026年3月17日、同社の特定のメールアドレスに対し、第三者による不正アクセスを確認したと公表しました。メールアカウントへの不正ログインは、フィッシングや認証情報の流出をきっかけに発生するケースが多く、多要素認証が未導入の組織にとって依然として高リスクな攻撃ベクターです。
▶ 詳細記事:コスモスイニシア、特定メールアドレス(メールアカウント)への不正アクセスを公表
ホテル日航プリンセス京都、Expedia管理者アカウントの不正利用で予約客情報が閲覧される
ホテル日航プリンセス京都を運営する株式会社ホテルプリンセス京都は2026年3月19日、Expedia経由で宿泊予約した一部顧客の個人情報が、管理者アカウントへの不正アクセスにより閲覧された可能性があると公表しました。OTA(オンライン旅行代理店)の管理アカウントが悪用されたという点で、第三者プラットフォーム経由のリスクとして注目すべき事例です。
▶ 詳細記事:ホテル日航プリンセス京都、Expediaの管理者アカウントの不正利用で予約客情報が閲覧された恐れ
Webサイト改ざん
名古屋短期大学、サイバー攻撃によるWebサイト改ざん被害を公表
名古屋短期大学は2026年3月12日、同学のWebサイトが改ざんされ不適切なページが表示されていた事案を公表しました。発覚は2026年2月25日で、攻撃者にWebサーバーの脆弱性を悪用された形です。CMSやプラグインの更新が滞りがちな教育機関のWebサイトは改ざん被害を受けやすく、定期的な更新と改ざん検知の仕組みの導入が求められます。
▶ 詳細記事:名古屋短期大学がサイバー攻撃(Webサイト改ざん) 被害を公表
実悪用が確認されたサイバー攻撃
CISAがCiscoの脆弱性(CVE-2026-20127)を悪用確認済みリストに追加、早急なパッチ適用を通知
CISAは2026年2月、Cisco CatalystスイッチシリーズのCVE-2026-20127をKnown Exploited Vulnerabilities(KEV)リストに追加しました。KEVへの追加は実際の攻撃での悪用が確認されたことを意味します。3月にはさらに早急なパッチ適用の通知が出ており、該当機器を運用する組織は即時対応が必要です。
▶ 詳細記事:CISA、シスコの深刻な脆弱性を早急に対応するよう通知(CVE-2026-20127)
まとめと対策のポイント
オープンソースライブラリ・ツールのサプライチェーンリスクを管理する axiosとTrivyの事例が示すとおり、広く使われているオープンソースパッケージ自体が攻撃の標的となっています。ロックファイルの定期確認・SBOMの管理・依存関係の自動スキャン(SCAツール)の導入を開発チームと情シスが連携して進めることが急務です。
チャットツールを含むすべての送金指示に二重確認を徹底する ZUUの事例のように、BEC詐欺はメールからチャットツールへと攻撃ベクターを拡大しています。送金指示はチャット・メールの内容だけで承認せず、電話など別経路での確認を必須とするプロセスの整備が重要です。
悪用が確認された脆弱性への即時対応と廃止システムの完全無効化を徹底する CISAのKEVリスト掲載脆弱性はすでに実攻撃に使われています。またゼットンの事例のように廃止した旧システムのアカウントが侵入口となるケースも発生しており、使用停止後のシステム・アカウントの完全無効化を確実に実施することが求められます。








