2026年4月最新サイバー攻撃の被害事例まとめ|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年05月07日更新日時: 2026年05月31日

2026年4月は、病院へのサイバー攻撃による救急停止・診療制限、開発プラットフォームVercelへの内部不正アクセスによるNext.jsサプライチェーン攻撃リスクの浮上、不動産業界向けクラウドサービス「いえらぶCLOUD」を起点とした業界横断型の侵害、そして上場企業を標的にした最大約11億円規模のBEC詐欺と、攻撃の規模・手口・対象が多様化した月となりました。世界最大手の電子部品メーカー・村田製作所では約8.8万件の個人情報漏洩が確定し、axiosのnpmパッケージ乗っ取りによるサプライチェーン攻撃も確認されるなど、開発インフラそのものが標的となる局面が続いています。自組織のシステムだけでなく、利用しているツール・プラットフォーム・委託先・サードパーティAIツールのセキュリティ状況まで把握することの重要性が改めて問われた月です。

1 2026年4月サイバー攻撃被害インシデント一覧
2 医療機関へのサイバー攻撃
- 2.1 市立奈良病院、サイバー攻撃で救急を全面停止・手書き運用で診療継続（第1報）
- 2.2 市立奈良病院、4月24日から救急と通常診療を再開・個人情報漏洩やデータ破損なし確認（第2報）
3 不正アクセスによる情報漏洩・システム侵害
4 サプライチェーン攻撃・開発環境への侵害
- 4.1 Vercel、サードパーティAIツール経由の内部不正アクセス・Next.jsへのサプライチェーン攻撃リスクが浮上
- 4.2 axios npmパッケージが乗っ取られRATが投下、導入済み環境は侵害前提で対応が必要
5 不動産業界を狙ったサイバー攻撃・プラットフォーム侵害
- 5.1 いえらぶCLOUDへの不正アクセスが不動産業界全体に波及・複数の利用企業が個人情報漏洩の恐れを公表
6 ビジネスチャット・メールを悪用した詐欺・不正送金
- 6.1 はてな、なりすましによる不正送金指示で最大約11億円が流出
7 悪意ある拡張機能を利用したサイバー攻撃
- 7.1 ChromeとEdgeのTikTok動画ダウンロード拡張機能でサイバー攻撃キャンペーン
8 SNSアカウント乗っ取り
- 8.1 明星食品、公式Instagramアカウントの不正アクセスから復旧・不正投稿等は確認されず
9 ハッカーグループの動向・摘発
- 9.1 Scattered Spider主要メンバーが米連邦裁判所で有罪・仮想通貨800万ドル超を窃取
10 まとめと対策のポイント

2026年4月サイバー攻撃被害インシデント一覧

下表は、本記事で取り上げる主要なインシデントを公表日順にまとめたものです。

公表日	組織・対象名	被害の概要（手口）	影響規模・特記事項
2026年4月27日	村田製作所	IT環境への不正アクセスで約8.8万件の個人情報漏洩の恐れ	東証プライム上場・電子部品世界最大手、3月初報から4月で被害確定
2026年4月24日	明星食品	Instagram公式アカウントの不正アクセス・復旧	不正投稿・不正DM送信は確認されず
2026年4月24日	市立奈良病院	サイバー攻撃による診療制限（第2報・復旧）	個人情報漏洩・データ破損なし確認
2026年4月24日	CAMPFIRE	GitHubへの不正アクセスで顧客情報管理システムに痕跡	第3報、影響範囲を調査中
2026年4月24日	Chrome・Edge拡張機能	TikTok動画DL拡張機能を装ったサイバー攻撃	LayerX Securityが攻撃キャンペーンを公表
2026年4月24日	はてな	なりすましによる不正送金指示（BEC）	最大約11億円が流出・通期営業利益予想の約8.1倍
2026年4月23日	市立奈良病院	サイバー攻撃で救急を全面停止・手書き運用（第1報）	4月22日午前3時より救急全面停止
2026年4月23日	Scattered Spider	主要メンバーが米連邦裁判所で有罪	SMSフィッシング・仮想通貨800万ドル超を窃取
2026年4月19日	Vercel	サードパーティAIツール経由の内部システム不正アクセス	Next.jsへのサプライチェーン攻撃リスクが浮上
2026年4月8日	いえらぶCLOUD（いえらぶGROUP）	クラウドサービスへの不正アクセス・複数利用企業に被害が波及	不動産業界横断型・被害企業5社以上
2026年4月公表	ウチヤマホールディングス	不正アクセス（調査完了）	情報流出は確認されず
2026年4月公表	がんばる舎	不正アクセス（調査完了）	保護者・児童の個人情報漏洩は確認されず
2026年3月31日	axios（npm）	npmパッケージ乗っ取りによるサプライチェーン攻撃・RAT投下	週3億DLのライブラリが標的・侵害前提での対応が必要

関連：【2026年】サイバー攻撃・情報漏洩の最新事例

医療機関へのサイバー攻撃

市立奈良病院、サイバー攻撃で救急を全面停止・手書き運用で診療継続（第1報）

市立奈良病院は2026年4月22日、サイバー攻撃に伴うシステム障害により、同日午前3時より救急受け入れ（ER）を全面停止したと公表しました。外来診療も原則制限し、電子カルテなどのシステムが使用できなくなったことで手書き運用で診療を継続しました。医療機関へのサイバー攻撃は患者の生命に直結するリスクをはらんでおり、社会インフラとしての病院が攻撃対象となっていることを改めて示す深刻な事案です。

▶ 詳細記事：市立奈良病院、サイバー攻撃で救急を4月22日午前3時より全面停止、外来は原則制限、手書き運用で診療継続

市立奈良病院、4月24日から救急と通常診療を再開・個人情報漏洩やデータ破損なし確認（第2報）

2026年4月23日、奈良市は市立奈良病院へのサイバー攻撃に関する第2報を公表し、4月24日8時30分より救急受け入れを含む通常診療を再開すると発表しました。外部専門機関による調査の結果、個人情報の漏洩とデータの破損は確認されなかったとしています。約2日間という比較的短期間での復旧は評価できますが、医療機関における事業継続計画（BCP）の整備と定期的な訓練の重要性を示す事例です。

▶ 詳細記事：市立奈良病院、4月24日から救急と通常診療を再開-サイバー攻撃の個人情報漏洩やデータ破損なし確認

不正アクセスによる情報漏洩・システム侵害

村田製作所、IT環境への不正アクセスで約8.8万件の個人情報漏洩の恐れ（第三報）

電子部品世界最大手の株式会社村田製作所（東証プライム：6981）は2026年4月27日、同社IT環境への不正アクセスに関する第三報を公表しました。3月6日の初報では社外関係者情報と自社情報の読み出し可能性が判明、4月6日の第二報では顧客・取引先情報と従業員の個人情報の不正取得が確認され、4月27日の第三報では漏洩の恐れがある件数が約8.8万件であることが明らかになりました。取引先の請求書・契約書・売上データも取得されたおそれがあることから、支払い条件・取引金額・担当者名などが攻撃者に把握されているとみられ、取引先へのBEC（ビジネスメール詐欺）への悪用リスクが特に懸念されます。3か月にわたる段階的な情報開示の透明性は評価できる一方、グローバルな電子部品メーカーのIT環境が不正アクセスを受けたことは、製造業サプライチェーン全体のリスク認識を改める契機となっています。

▶ 詳細記事：村田製作所、不正アクセスによるサイバー攻撃で約8.8万件の個人情報漏洩の恐れ

CAMPFIRE、GitHubへの不正アクセスで顧客情報管理システムの一部に不正アクセス痕跡（第3報）

CAMPFIREは2026年4月22日、4月3日に公表していたシステム管理用GitHubアカウントへの不正アクセスについて第3報を公表しました。今回の調査で顧客情報管理システムの一部でも外部からの不正アクセスの痕跡が確認されています。開発インフラを起点として本番の顧客情報システムへの侵害が連鎖したケースで、GitHubなどの開発ツールのアクセス権限管理が組織全体のセキュリティの要であることを示しています。

▶ 詳細記事：CAMPFIRE、GitHubへの不正アクセスで顧客情報管理システムの一部で外部からの不正アクセス痕跡

ウチヤマホールディングス、不正アクセスの調査完了・情報流出は確認されず

ウチヤマホールディングスは2026年4月、不正アクセスおよびランサムウェア被害について外部専門機関による調査が完了し、情報の外部流出は確認されなかったと公表しました。早期の外部専門家起用と透明性のある情報開示は、インシデント対応の好事例として参考になります。

▶ 詳細記事：ウチヤマホールディングス、ランサムウェアと不正アクセスによる情報流出は確認されず

がんばる舎、不正アクセスによる保護者・児童の個人情報漏洩は現時点で確認されず

株式会社がんばる舎は2026年4月、不正アクセスについて調査の結果、保護者・児童の個人情報漏洩は現時点で確認されていないと公表しました。子どもの個人情報を保有する教育関連企業への攻撃であり、保護者への丁寧な説明と継続的な監視が求められる事案です。

▶ 詳細記事：株式会社がんばる舎、不正アクセスによる保護者・児童の個人情報漏洩は現時点で確認されず

サプライチェーン攻撃・開発環境への侵害

Vercel、サードパーティAIツール経由の内部不正アクセス・Next.jsへのサプライチェーン攻撃リスクが浮上

Next.jsの開発元として知られるクラウド開発プラットフォームVercelは2026年4月19日、一部の内部システムへの不正アクセスが確認されたと公式に発表しました。同時にBreachForumsにて「ShinyHunters」を名乗る攻撃者が、Vercelから窃取したとするアクセスキー・ソースコード・データベース情報を200万ドルで売却すると主張しています。翌4月20日にセキュリティインテリジェンス企業Hudson Rockが侵入経路を特定し、Vercelの従業員が使用するサードパーティAIツール「Context.ai」の従業員デバイスへのインフォスティーラーマルウェア感染が引き金となったことを公表しました。攻撃者はContext.aiへの不正アクセスを通じてVercel従業員のGoogle Workspaceアカウントを乗っ取り、一部のVercel環境に侵入したとされています。Vercelは週約600万ダウンロードのNext.jsを管理・提供しており、攻撃者は「適切に実行すれば史上最大のサプライチェーン攻撃になりうる」と述べています。業務で利用するサードパーティAIツールへの認証情報管理と、それらのツールへのアクセス権限の最小化が開発組織に求められます。

▶ 詳細記事（第1報）：Vercelの内部システムへ不正アクセス-Next.js へのサプライチェーン型サイバー攻撃リスクも浮上

▶ 詳細記事（第2報）：Vercelの不正アクセスの原因判明-従業員がRobloxチートコードをダウンロードしインフォスティーラーに感染

axios npmパッケージが乗っ取られRATが投下、導入済み環境は侵害前提で対応が必要

JavaScriptの代表的HTTPクライアントであるaxiosのnpm配布パッケージが改ざんされるサプライチェーン攻撃が2026年3月31日に確認されました。攻撃者はaxiosの主要メンテナーのnpm資格情報を奪い、GitHub Actionsによる通常の公開フローを迂回してnpm CLIから直接悪意あるバージョン（1.14.1および0.30.4）を公開しました。これらのバージョンをインストールすると、Windows・macOS・Linux向けのクロスプラットフォームRAT（遠隔操作トロイの木馬）がシステムに投下されます。スクリプトは実行後に自らの痕跡を削除して「クリーンなファイル」に偽装するという巧妙な隠蔽工作が施されており、事後の目視確認では発見が困難です。axiosは週3億回超ダウンロードされる広範な利用基盤を持ち、package-lock.json等のロックファイルで[email protected]または[email protected]の存在を確認し、該当する場合は侵害済みとみなして即時対応することが求められます。

▶ 詳細記事：JavaScript ライブラリ axiosのnpmが乗っ取られる-1.14.1と0.30.4は導入済みなら侵害前提で対応が必要

不動産業界を狙ったサイバー攻撃・プラットフォーム侵害

いえらぶCLOUDへの不正アクセスが不動産業界全体に波及・複数の利用企業が個人情報漏洩の恐れを公表

いえらぶGROUP株式会社は2026年4月8日、同社が提供する不動産業界向けクラウドサービス「いえらぶCLOUD」において不正アクセスが発生し、利用企業の顧客情報が外部へ流出した可能性があると公表しました。4月5日から6日にかけて特定の利用アカウントを悪用した不正アクセスが行われ、ADワークスグループ子会社（4月10日）・アーキテクト・ディベロッパー（4月13日）・日本財託グループ（4月17日）など複数の不動産会社が相次いで被害を公表しています。いえらぶCLOUDは全国17,000社以上の不動産会社が利用するプラットフォームであり、1社への侵害が業界全体に波及するという典型的なサプライチェーン型攻撃です。SaaSを含むクラウドサービスのアカウントへのMFA適用と、利用するサービスのセキュリティ状況の定期的な確認が急務です。

▶ 詳細記事：いえらぶCLOUDへの不正アクセスによるサイバー攻撃被害企業や概要まとめ【2026年最新】

ビジネスチャット・メールを悪用した詐欺・不正送金

はてな、なりすましによる不正送金指示で最大約11億円が流出

株式会社はてな（東証グロース：3930）は2026年4月24日、4月20日および21日に従業員が悪意ある第三者から虚偽の送金指示を受け、会社の銀行預金口座から外部口座へ最大約11億円の資金が流出したとして適時開示を行いました。発覚のきっかけは4月21日の取引先銀行からの不審な送金に関する連絡で、従業員が2日間にわたって送金を実行していたことが判明しました。同社の2026年7月期通期営業利益予想は1億3,600万円であり、被害対象額はその約8.1倍に相当します。3月のZUU（9,600万円）に続き、上場企業を標的としたBEC・なりすまし詐欺が相次いでいることを改めて示した事例です。送金指示の正当性を電話など別経路で確認する二重確認プロセスの徹底が急務です。

▶ 詳細記事：はてなで最大約11億円の資金流出-ビジネスメール詐欺（BEC）か

悪意ある拡張機能を利用したサイバー攻撃

ChromeとEdgeのTikTok動画ダウンロード拡張機能でサイバー攻撃キャンペーン

セキュリティ企業LayerX Securityは2026年4月20日、Chrome Web StoreおよびMicrosoft Edgeアドオンストアに掲載された複数のTikTok動画ダウンロード拡張機能が、サイバー攻撃キャンペーンに悪用されていると公表しました。正規のストアに掲載された拡張機能が攻撃の入口となるケースは増加しており、組織内での拡張機能インストールポリシーの策定と管理が求められます。

▶ 詳細記事：ChromeとEdgeのTikTok 動画ダウンロード拡張機能でサイバー攻撃キャンペーン

SNSアカウント乗っ取り

明星食品、公式Instagramアカウントの不正アクセスから復旧・不正投稿等は確認されず

明星食品は2026年4月22日、公式Instagramアカウント（@myojofoods_jp）で発生していた第三者による不正アクセスについて、同日までに復旧が完了したと公表しました。不正な投稿やDM送信は確認されなかったとしています。迅速な対応と復旧後の状況確認・公表は、ブランドへの信頼損失を最小化するための好事例です。公式SNSへのMFA設定の徹底が改めて求められます。

▶ 詳細記事：明星食品、公式 SNS(Instagram)アカウントの不正アクセスから復旧　不正投稿や不正DM送信は確認されず

ハッカーグループの動向・摘発

Scattered Spider主要メンバーが米連邦裁判所で有罪・仮想通貨800万ドル超を窃取

サイバー犯罪グループ「Scattered Spider」の主要メンバーとされるスコットランド出身の英国人Tyler Robert Buchanan（24歳）が2026年4月、米連邦裁判所でSMSフィッシング（スミッシング）を使った詐欺と仮想通貨800万ドル超の窃取について有罪を認めました。Scattered Spiderは大手企業を標的に巧妙なソーシャルエンジニアリングを駆使することで知られ、その主要メンバーへの有罪判決はサイバー犯罪への司法対応の強化を示すものです。

▶ 詳細記事：ハッカーグループ Scattered Spiderの主要メンバー、米連邦裁判所で有罪—仮想通貨800万ドル超を窃取

まとめと対策のポイント

サードパーティツール・AIサービスが新たな侵入経路に Vercelの事例が示すとおり、業務で利用するサードパーティAIツールへの侵害が、そこに連携した大規模プラットフォームへの不正アクセスに連鎖するリスクが現実化しています。利用するサードパーティサービスへの認証情報管理・OAuthトークンの権限最小化・未使用連携サービスの定期的な棚卸しが急務です。

プラットフォーム型クラウドサービスへの攻撃は業界全体を巻き込む いえらぶCLOUDの事例のように、1社のプラットフォームへの侵害が17,000社以上の利用企業に影響を及ぼすケースが増えています。自社のセキュリティ対策だけでなく、利用するSaaSサービスのセキュリティ体制の確認と、MFAの全アカウントへの適用が不可欠です。

送金・業務指示への二重確認と開発インフラの権限分離を徹底する はてなのBEC詐欺事例が示すとおり、なりすましによる不正送金被害は上場企業にも深刻な影響を与えます。また村田製作所・CAMPFIREの事例のように、開発インフラへの不正アクセスが本番データの漏洩に連鎖するリスクへの対策として、開発環境と本番環境の権限分離の徹底が求められます。