1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. 日本医業経営コンサルタント協会・岩手県支部のメールアカウントが不正アクセスの被害

日本医業経営コンサルタント協会・岩手県支部のメールアカウントが不正アクセスの被害

セキュリティニュース

投稿日時: 更新日時:

日本医業経営コンサルタント協会・岩手県支部のメールアカウントが不正アクセスの被害

2026年6月4日、公益社団法人日本医業経営コンサルタント協会(以下JAHMC、東京都千代田区)は、岩手県支部が使用していたメールアカウント(ドメイン:jahmc.or.jp)が外部からの不正アクセスを受け、そのアカウントから迷惑メールが一斉送信されるとともに、過去に岩手県支部とメールのやり取りがあった1,051件のアカウントに関するメールアドレス・氏名・所属先が第三者に閲覧された可能性があると公表しました。

最大のリスクは二次被害の広がりにあります。JAHMCは医療機関・介護事業所・歯科医院などを対象とする医業経営コンサルタントの資格認定団体であり、岩手県支部との連絡先には病院管理者・医師・介護事業者・医療関連企業担当者が含まれている可能性があります。

漏洩したメールアドレス・氏名・所属先の組み合わせは、医療機関の経営責任者を狙った標的型攻撃メール(スピアフィッシング)や、ビジネスメール詐欺(BEC)に悪用されるリスクがあります。不正アクセスはアカウントを使用する端末にウイルス感染の形跡がなく、メールアカウントの認証情報が何らかの手段で窃取された可能性が高いとされています。再発防止策として「二段階認証の徹底」が明記されており、MFAが設定されていなかったことが一因であった可能性が示唆されています。本記事では事案の詳細・JAHMCとはどのような組織か・漏洩情報の内容・二次被害への対応を解説します。

サマリー

  • 2026年6月4日、日本医業経営コンサルタント協会(JAHMC)が岩手県支部メールアカウントへの不正アクセスを公表
  • 発生:令和8年4月17日(金)午前4時頃(発覚:同日午前10時頃)。攻撃者がアカウントを使用して迷惑メールを一斉送信したことで発覚
  • 漏洩のおそれがある個人情報:1,051件(過去に岩手県支部とメールのやり取りがあったアカウント)。種類:メールアドレス・氏名・所属先
  • 原因:jahmc.or.jpドメインのメールサービスにおける不正アクセス。当該端末にウイルス感染の形跡なし → 認証情報の窃取による不正ログインの可能性
  • 現時点で本件に起因する情報の不正利用は報告されていないが、標的型攻撃メール・迷惑メールへの悪用リスクが継続
  • 発覚後の対応:アカウント利用停止・外部機関への調査依頼・個人情報事故調査委員会の設置・個人情報保護委員会への報告済み
  • 再発防止策:二段階認証の徹底(MFAが未設定だった可能性を示唆)・協会全体での情報セキュリティ運用の見直し・関係者への注意喚起

JAHMCとは—医療機関経営を支える専門家の資格認定団体

今回の事案を理解する上で、JAHMCがどのような組織でどのような情報を保有しているかを把握しておくことが重要です。

公益社団法人日本医業経営コンサルタント協会(JAHMC)は、1990年に旧厚生省の主導のもと、日本医師会・日本歯科医師会・日本病院会・全日本病院協会・日本医療法人協会・日本精神科病院協会等の賛同を得て設立された公益社団法人です。医療・介護・福祉機関の経営管理を専門的に支援する「認定登録 医業経営コンサルタント」の資格認定・育成・管理を行う唯一の認定機関です。

全国に支部を持ち、北海道から沖縄まで都道府県・地域ごとに会員が活動しています。岩手県支部はその地方支部の一つです。会員には税理士・会計士・中小企業診断士・社会保険労務士・弁護士・医療コンサルタントなど多様な専門家が含まれており、これら会員が病院・診療所・歯科医院・介護事業所等の経営者・管理者と日常的に連絡を取り合っています。

この性質上、岩手県支部が過去にメールのやり取りをした相手には、地域の医療機関の院長・事務長・医療法人の理事長・介護施設の管理者・行政機関担当者等が含まれている可能性が高く、これらの人物のメールアドレス・氏名・所属先が漏洩したとすれば、医療業界を標的にした攻撃に転用されるリスクがあります。

事案の詳細—午前4時の攻撃・6時間後に迷惑メール送信で発覚

JAHMCの公式発表によれば、事案の経緯は次のとおりです。

令和8年4月17日(金)午前4時頃:何者かがJAHMC岩手県支部のメールアカウント(jahmc.or.jpドメイン)に不正アクセスを行い、そのアカウントから迷惑メールを一斉送信しました。

令和8年4月17日(金)午前10時頃:迷惑メールの一斉送信が確認され、不正アクセスが発覚しました。発生から発覚まで約6時間を要しています。

原因として確認されている事実:当該アカウントを使用していた端末にウイルス感染の形跡は確認されていません。これはマルウェアによる認証情報の窃取ではなく、フィッシングサイトへの誘導・リスト型攻撃(使いまわしパスワードの悪用)・その他の手段によってメールアカウントのパスワードが攻撃者に知られていた可能性を示唆しています。

二段階認証が再発防止策の筆頭に挙げられていることは、本件発生時にMFA(多要素認証)が設定されていなかった可能性が高いことを示しています。メールアカウントにMFAが設定されていれば、パスワードが漏洩していても不正ログインを防げた可能性があります。

漏洩のおそれがある個人情報の内容

公式発表が示す漏洩対象は以下のとおりです。

項目 内容
対象件数 1,051件
対象の定義 過去に岩手県支部とメールのやり取りがあったアカウント
情報の種類 メールアドレス・氏名・所属先

メールアドレス単体の漏洩とは異なり、「氏名」「所属先(医療機関名・企業名等)」が組み合わさって漏洩している点が特に注意を要します。この組み合わせは、攻撃者が「〇〇病院 院長 △△ 様」という個人名宛の標的型フィッシングメールを作成するために直接利用できる情報です。JAHMCのメールアドレスが詐称された(From:アドレスを偽装した)なりすましメールが届く可能性もあります。

二次被害のリスク—医療業界を標的にした標的型攻撃への転用

JAHMCが明示した二次被害のリスクは次のとおりです。

標的型攻撃メール(スピアフィッシング)への悪用:氏名・所属先・メールアドレスの組み合わせは、受信者を信頼させやすい高精度なフィッシングメールの作成に使用されます。医療機関の院長や事務長を名指しした「医療報酬改定に関する重要なお知らせ」「厚生労働省からの通知」「JAHMCからのご案内」を装ったメールが届いた場合には、内容をよく確認してください。

なりすましメールへの注意:攻撃者が岩手県支部のメールアドレスや類似ドメインを使用して正規の連絡に見せかけたメールを送付する可能性があります。JAHMCから届いたと思われるメールであっても、添付ファイルやURLのクリックには慎重に対応してください。

JAHMCは「不審なメールを受信した場合は、開封・URLクリック・添付ファイルの実行を行わないよう十分ご注意ください」と呼びかけています。

対象者が取るべき対応

岩手県支部との過去のメールのやり取りがある方(医療関係者・コンサルタント・関連企業担当者等)は以下の対応を推奨します。

JAHMCから連絡が届いた旨の個別通知の有無を確認してください(発表では対象者への個別連絡について明記されていませんが、調査が進むにつれて通知が届く可能性があります)。

受信ボックスに届く不審なメール——特に医療関連の重要事項を装ったもの、JAHMCや岩手県支部を名乗るもの、厚生労働省・行政機関を装うもの——に対して通常より高い警戒を維持してください。

情報システム担当者が学ぶべき教訓

今回の事案はメールアカウントのMFA(多要素認証)未設定という基礎的なセキュリティ対策の欠如が原因の可能性が高い事案です。

医療・福祉・介護業界では、比較的小規模な支部事務局や地方事務所のメールアカウントでMFAが設定されていないケースが依然として多く見られます。法人本部は対応済みでも、支部や関連団体の末端アカウントが未対応のまま放置されているという「セキュリティの連鎖の弱点」が今回の事案で顕在化しました。

業務で使用するすべてのメールアカウント(本部・支部・関連団体を含む)へのMFAの徹底は、最も費用対効果の高いサイバー攻撃対策の一つです。特にMicrosoft 365やGoogle Workspaceを使用している組織は、管理者コンソールからMFAを全アカウントに強制適用する設定を確認してください。

FAQ

Q. 岩手県支部との過去のやり取りがあったかどうか確認する方法はありますか? A. メールの送受信履歴で「@jahmc.or.jp」または「岩手県支部」からのメールが届いていたかを検索することで確認できます。対象者への個別通知については、JAHMCの総務部(TEL. 03-5275-6996)にお問い合わせください。

Q. 端末にウイルスがなかったのに不正アクセスされた理由は何ですか? A. メールアカウントのパスワードが何らかの形で攻撃者に知られていた可能性があります。代表的な経路としてはフィッシングサイトへの誘導によるパスワード入力、他のサービスで使いまわしていたパスワードがリスト攻撃に悪用されたケース、パスワードが推測しやすいものだった場合などが挙げられます。MFA(多要素認証)が設定されていれば、パスワードが漏洩していても不正ログインを防げた可能性があります。

Q. 今後JAHMCからメールが届いた場合、どう対応すればよいですか? A. 不審な点がある場合(予期しない添付ファイル・緊急性を煽るURL・通常とは異なる依頼内容など)は、メールに返信せず、JAHMCの公式電話番号(03-5275-6996)に直接確認することを推奨します。

参考情報

関連記事

GitHubが内部リポジトリへの不正アクセスを調査中、顧客情報への影響を示す証拠は確認されずGitHubの内部リポジトリへの不正アクセス、VS Code 拡張機能から侵害される オスカープロモーションが「SNSへの不正アクセスにはあたらない」と声明—尾碕 真花 退所騒動で浮上した「事務所によるSNSへの権限なきログイン」疑惑オスカープロモーションが「SNSへの不正アクセスにはあたらない」と声明—尾碕 真花 退所騒動で浮上した「事務所によるSNSへの権限なきログイン」疑惑 ビジュアルアーツ、クラウドストレージ認証情報の窃取で最大約1万3,000件超の個人情報漏洩の恐れ-未発売ゲーム「anemoi」の海外流出、マイナンバー・従業員の本人確認書類画像も漏洩かビジュアルアーツ、クラウドストレージへの不正アクセスで最大約1万3,000件超の個人情報漏洩の恐れ-未発売ゲーム「anemoi」の海外流出、マイナンバー・従業員の本人確認書類画像も漏洩か Default Thumbnailタカラベルモントが不正アクセスとフィッシングメール送信の踏み台にされていた事を公表 Google、Chromeの悪用確認済み ゼロデイ 脆弱性(CVE-2026-5281)含む21件を修正Google、Chromeの悪用確認済み ゼロデイ 脆弱性(CVE-2026-5281)含む21件を修正 標的型攻撃メールとは標的型攻撃メールとは マニュライフ生命が業務委託先のイセトーのランサムウェア被害により個人情報漏洩|ランサムウェア 事例マニュライフ生命が業務委託先のイセトーのランサムウェア被害により個人情報漏洩|ランサムウェア 事例 東北大学・東北大学病院、教員PCを踏み台とした不正アクセスで治験患者の個人情報が漏洩のおそれ東北大学・東北大学病院、教員PCを踏み台とした不正アクセスで治験患者の個人情報が漏洩のおそれ ハッカーグループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスかハッカー グループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスか