2026年5月は、世界最大の開発プラットフォームGitHub自身が内部リポジトリへの不正アクセスを受け、VS Code拡張機能を経由した従業員端末の侵害が起点となったことが明らかになりました。同月には自動化サプライチェーン攻撃「Megalodon」が6時間で5,561リポジトリを侵害するなど、開発インフラそのものを狙う攻撃が集中した月となりました。Salesforceの設定ミスを悪用した手口では7-Eleven・Udemy・ZARAが相次いで被害を受け、同一グループ(ShinyHunters)による組織的な攻撃の構図が浮き彫りになりました。日本の宿泊業界ではBooking.com経由のフィッシング詐欺が6社以上のホテルチェーンに波及し、インバウンド繁忙期を前に業界全体が警戒を強める事態となっています。Microsoftの脆弱性に不満を持つ研究者が連続してゼロデイを公開し実際の攻撃に悪用されるという異例の展開も続いており、パッチ管理の在り方が改めて問われた月です。
目次
2026年5月 サイバー攻撃被害インシデント一覧
下表は、本記事で取り上げる主要なインシデントを公表日順にまとめたものです。
| 公表日 | 組織・対象名 | 被害の概要(手口) | 影響規模・特記事項 |
|---|---|---|---|
| 2026年5月29日 | ポラリス・ホールディングス(東証スタンダード) | Booking.comアカウントへの不正アクセス・売上金受領口座改ざん | 約900万円の損失 |
| 2026年5月28日 | アソビュー(satsuki) | パートナー向け予約管理システムへの不正アクセス | 27,163件・氏名・生年月日・電話番号・住所・予約情報 |
| 2026年5月21日 | ホテルサンルート浅草・京都センチュリーホテル・ホテルグランバッハ京都セレクト | Booking.com経由のフィッシング詐欺メッセージ配信(第2弾) | WhatsApp等でクレカ情報入力を誘導 |
| 2026年5月21日 | GitHub | VS Code拡張機能経由の内部リポジトリ侵害・TeamPCP犯行声明 | ダークウェブで内部リポジトリ約4,000件の売却広告 |
| 2026年5月21日 | GitHub(Megalodon) | 自動化サプライチェーン攻撃・5,561リポジトリ侵害 | 6時間で大規模侵害・CI/CDバックドア挿入 |
| 2026年5月21日 | Google Gemini CLI・Claude Code | 偽インストールサイトSEOポイズニング+Google Ads | EclecticIQが攻撃キャンペーンを公表 |
| 2026年5月14日公表 | 東武ホテル・ホテルグレイスリー・ホテル京阪浅草 | Booking.com経由のフィッシング詐欺(第1弾) | Booking.com本体も4月に不正アクセスを認定 |
| 2026年5月12日 | Microsoft(YellowKey・GreenPlasma) | 研究者が未修正Windowsゼロデイ2件を公開・即日悪用 | BitLockerバイパス・SYSTEM権限昇格 |
| 2026年5月12日 | Udemy(ShinyHunters) | Salesforce設定ミス悪用・140万件公開 | 法人Udemy Businessの情報含む |
| 2026年5月11日 | TanStack npm(CVE-2026-45321・CVSS 9.6) | GitHub Actions OIDC悪用・42パッケージ84悪性バージョン公開 | AWS/GCP/Kubernetes認証情報窃取の恐れ |
| 2026年5月8日公表 | ZARA(ShinyHunters) | Anodot経由でGoogle BigQueryへ不正アクセス・19.7万件 | 5/25頃から日本ユーザーへ通知開始 |
| 2026年5月1日 | マネーフォワード(東証プライム:3994) | GitHub認証情報漏洩→リポジトリコピー・ソースコード流出の可能性 | ビジネスカード370件も流出の恐れ |
| 2026年4月〜5月 | Microsoft(BlueHammer・RedSun・UnDefend) | Windowsゼロデイ3件が実際の攻撃に悪用 | 研究者がMicrosoftへの不満から連続公開 |
| 2026年4月28日公表 | 7-Eleven(ShinyHunters) | Salesforce Experience Cloud設定ミス悪用・185,300件 | フランチャイズ申請者情報・9.4GBを公開 |
| 2026年1月〜5月 | アクサ損保 | ペット保険システム不正アクセス・最大55.3万件+自動車保険6.4万件追加判明 | 自動登録の仕組みを通じた追加被害が判明 |
開発インフラ・サプライチェーン攻撃
GitHub、VS Code拡張機能を経由した内部リポジトリへの不正アクセスが判明・TeamPCPが犯行声明
2026年5月20日、GitHubの公式Xアカウントは内部リポジトリへの不正アクセスについて調査の進捗を発表し、「毒入りVS Code拡張機能(poisoned VS Code extension)を介した従業員端末の侵害を検知・封じ込めた」と明らかにしました。悪性の拡張機能バージョンはすでに削除されたとしています。一方、ハッカーグループ「TeamPCP」がダークウェブ上にGitHubの内部リポジトリ約4,000件の売却広告を出し、LAPSUS$が交渉窓口として名指しされたとの報告もあります。GitHubは5月26日にGHES 3.20.3をリリースし、予防的な署名鍵のローテーションを実施しました。VS Code拡張機能という開発者の日常的なツールが侵入口となった点は、開発組織における拡張機能の審査・管理体制の整備が急務であることを示しています。
▶ 詳細記事:GitHubの内部リポジトリへの不正アクセス、VS Code 拡張機能から侵害される
▶ 詳細記事:GitHubがGHES 3.20.3をリリース-事前認証SSRFが可能な脆弱性を修正-CVE-2026-9312
Megalodon・自動化サプライチェーン攻撃でGitHubの5,561リポジトリが6時間で侵害
サプライチェーンセキュリティ企業SafeDepは2026年5月21日、同月18日に発生した大規模な自動化GitHubリポジトリ侵害キャンペーン「Megalodon」を公開しました。攻撃者はCI/CDワークフローを標的に、わずか6時間で5,561のGitHubリポジトリへのバックドア挿入を試みました。自動化されたスクリプトによって大量のリポジトリが短時間で標的となったこの攻撃は、GitHubの内部リポジトリ侵害とほぼ同時期に発生しており、開発インフラへの攻撃が組織的かつ集中的に行われていることを示しています。CI/CDパイプラインへの不審なワークフロー変更の監視と、リポジトリへのアクセス権限の定期的な棚卸しが求められます。
▶ 詳細記事:GitHubの5,561リポジトリが6時間で侵害-SafeDepが自動化 サプライチェーン攻撃「Megalodon」を公開
TanStack npm 42件・84悪性バージョンにマルウェア混入(CVE-2026-45321・CVSS 9.6)
2026年5月11日の19時20分から19時26分UTCの間に、JavaScriptの主要なデータ管理・UIライブラリ群「@tanstack/」の42件のnpmパッケージで合計84件の悪意あるバージョンが公開されました。攻撃者はnpmトークンを盗むのではなく、TanStackの正規GitHub Actions OIDC trusted publisher連携を悪用して正規の公開経路から悪性パッケージを公開するという巧妙な手口を用いました。悪意あるパッケージには約2.3MBの難読化されたrouter_init.jsが含まれ、インストール時にAWS・GCP・Kubernetes・HashiCorp Vault・npm・GitHub・SSH秘密鍵などの認証情報を窃取するマルウェアが実行される仕組みでした。axiosのnpm乗っ取り(4月)に続き、正規の公開パイプライン自体を悪用するサプライチェーン攻撃が続いており、導入済みの依存パッケージのバージョン監視と異常なパッケージ更新の即時検知体制が求められます。
▶ 詳細記事:TanStackのnpmパッケージ42件にサイバー攻撃でマルウェアが混入、GitHub Actions 経由で認証情報窃取の恐れ(CVE-2026-45321)
マネーフォワード(東証プライム:3994)GitHub不正アクセスでソースコード+ビジネスカード情報370件が流出の可能性
株式会社マネーフォワード(東証プライム:3994)は2026年5月1日、同社グループが利用するGitHubの認証情報が漏洩し、第三者による不正アクセスでリポジトリがコピーされたことが判明したとして第一報を公表しました。リポジトリに含まれていたファイルに、マネーフォワードビジネスカードのカード保持者名(アルファベット)とカード番号の下4桁370件が含まれていた可能性があります。ソースコード自体の流出可能性も示されています。GitHub認証情報の漏洩が開発リポジトリにとどまらず顧客の個人情報・決済情報にまで連鎖した典型的な事例であり、開発リポジトリへの個人情報・認証情報・APIキーの混入を防ぐシークレットスキャンツールの導入が急務です。
▶ 詳細記事:マネーフォワード、GitHubへの不正アクセスでビジネスカード 情報370件・ソースコード流出の可能性
Microsoftゼロデイ脆弱性の連続悪用
研究者がMicrosoftへの不満からWindowsゼロデイを連続公開・BlueHammer・YellowKey・GreenPlasmaが次々と実際の攻撃に悪用
「Nightmare-Eclipse」(別名:Chaotic Eclipse)と名乗るセキュリティ研究者が、Microsoftへ脆弱性を報告したにもかかわらず修正が行われないことへの不満から、未修正Windowsゼロデイ脆弱性のPoCをGitHubで連続公開しました。4月上旬に公開されたBlueHammer(Windowsローカル権限昇格)とRedSun、さらにMicrosoft Defenderのゼロデイ3件(CVE-2026-33825含む)はいずれも公開直後に実際の攻撃に悪用されました。5月12日にはBitLockerバイパスが可能な「YellowKey」とCTFMON.exeを悪用してSYSTEM権限への昇格を可能にする「GreenPlasma」の2件を追加公開し、こちらも即日悪用が確認されています。加えて2020年に「修正済み」とされたCVE-2020-17103が実際には未修正であることを示す「MiniPlasma」も公開されており、Microsoftのパッチ管理への不信感から生じたこの一連の事態はWindows環境を利用する組織にとって極めて深刻なリスクです。一部の脆弱性には緊急パッチ(CVE-2026-41091・CVE-2026-45498)が公開されており、Windows Updateの優先適用と修正前の脆弱性については回避策の即時適用が求められます。
▶ 詳細記事:Microsoftへの不満からゼロデイ 脆弱性を連続公開-BitLockerバイパス「YellowKey」と権限昇格「GreenPlasma」のPoCが公開。既にサイバー攻撃に悪用
AIツールを標的にした新たな攻撃手口
Google Gemini CLIとClaude Codeの偽インストールサイトがSEOポイズニング+Google Adsでシステム開発者を標的に
セキュリティ企業EclecticIQは2026年5月21日、Google Gemini CLIおよびAnthropic Claude Codeの公式インストールページを装った偽サイトが、SEOポイズニングとGoogle Adsの組み合わせにより検索結果の上位に表示され、システム開発者を標的にしていると公表しました。偽サイトからインストールを実行すると本物のCLIツールに見せかけた悪意あるファイルが送り込まれ、マルウェア感染につながります。生成AIのコーディング支援ツールは開発者の間で急速に普及しており、「検索で上位に表示された公式に見えるサイトからインストールした」という自然な行動を突く手口です。AI開発ツールのダウンロードは必ず公式ドキュメントに記載されたURLから行い、検索広告経由のインストールは行わないというポリシーの組織内周知が求められます。
▶ 詳細記事:Google Gemini CLIとClaude Codeの偽インストールサイトがSEOポイズニングとGoogle Adsでシステム開発者を標的に
Salesforceの設定ミスを悪用した大規模情報漏洩
7-ElevenのSalesforceへの不正アクセス(ShinyHunters)・フランチャイズ申請者185,300件が流出
悪名高い恐喝グループ「ShinyHunters」は2026年4月8日、コンビニエンスストア最大手7-Eleven, Inc.のフランチャイズ関連書類を保管するシステムへの不正アクセスを開始し、4月22日に7-Elevenが身代金の支払いを拒否したとして9.4GBの圧縮アーカイブをダークウェブに公開しました。HIBPが同データを解析した結果、185,300件のユニークなメールアドレスを含む個人情報が確認され、2026年5月24日にHIBPのデータベースに登録されました。攻撃の入口はSalesforce Experience Cloudの「/s/sfsites/aura APIエンドポイント」で、管理者がゲストユーザーのクエリ権限を適切に制限していなかったため、ログイン不要でSalesforceのデータに広範囲にアクセスできる状態になっていたとされています。7-Elevenは5月1日に「4月8日にフランチャイズ関連書類を保管するシステムへの不正アクセスが発生した」と被害者へ公式通知しました。
▶ 詳細記事:ハッカーグループが7-ElevenのSalesforceへの不正アクセスを主張-フランチャイズ申請者の個人情報漏洩の恐れ
UdemyへのサイバーAttack(ShinyHunters・Salesforce設定ミス悪用)・140万件が公開
ShinyHuntersは2026年4月24日、オンライン学習プラットフォームUdemyのリークサイト掲載を開始し、交渉期限の4月27日にUdemyが応じなかったとして約2.3GB・1,401,259件のデータを公開しました。HIBPが確認した流出データには140万件のユニークメールアドレスのほか、氏名・住所・電話番号・雇用主情報・講師の支払い方法が含まれます。7-Elevenと同様にSalesforce Experience Cloudの設定ミスを悪用した攻撃であり、法人向けUdemy Businessも利用している企業のメールアドレス・役職情報が含まれる可能性から、標的型攻撃やBECへの悪用リスクが懸念されます。2026年5月12日時点でUdemy側からの公式声明は出ていません。
▶ 詳細記事:ハッカー グループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスか
ZARAのサイバー攻撃で約19.7万件の個人情報漏洩の恐れ・サードパーティAnodot経由でGoogle BigQueryへ不正アクセス
ShinyHuntersは2026年4月22日、ZARA(Inditexグループ)の顧客データ140GB超のリークサイト掲載を開始しました。攻撃経路はサードパーティ分析プラットフォーム「Anodot」の認証トークンを窃取し、ZARAのGoogle BigQueryインスタンスへ不正アクセスするという手口でした。HIBPは197,400件のユニークメールアドレスのほか、注文ID・製品SKU・地理的情報・購入履歴・サポートチケットが含まれることを確認しています。Inditexは「パスワード・決済情報・住所・電話番号・氏名への影響はない」と公表しています。2026年5月25日前後から日本の対象ユーザーへもメールで漏洩の恐れが通知されており、自社のデータウェアハウスに接続するサードパーティツールの認証トークン管理と、アクセス権限の最小化が求められます。
▶ 詳細記事:ZARA、サイバー攻撃で約19.7万件の個人情報漏洩の恐れ
Booking.com経由のサイバー攻撃・国内ホテル業界に拡大
東武ホテル・ホテルグレイスリー・ホテル京阪浅草がBooking.com経由のフィッシング詐欺を相次いで公表・Booking.com本体も4月に不正アクセスを認定
2026年5月7日から12日にかけて、東武ホテルマネジメント・WHGホテルズ(ホテルグレイスリー)・ホテル京阪浅草が、Booking.com経由でフィッシング詐欺メッセージが配信されたと相次いで公表しました。手口はホテルが利用するBooking.comの管理者アカウントへの不正アクセスを起点に、予約者へWhatsAppなどのメッセージアプリ経由でクレジットカード情報の入力を誘導する偽サイトへのリンクを送信するものです。Booking.com本体も2026年4月に不正アクセスを認定しており、プラットフォーム側の侵害と加盟ホテルのアカウント侵害が組み合わさることで被害が広がっている構図です。Booking.comから届くメッセージであってもクレジットカード情報の入力を求めるものは詐欺の可能性が高く、顧客への周知徹底が求められます。
▶ 詳細記事:東武ホテル・ホテルグレイスリー・ホテル京阪浅草がBooking.com経由のフィッシング詐欺メッセージを相次ぎ公表-Booking.com 本体も2026年4月に不正アクセスを認定【2026年5月】
ホテルサンルート浅草・京都センチュリーホテル・ホテルグランバッハ京都セレクトが5月21日に相次いで公表
2026年5月21日、相鉄ホテルズの「ホテルサンルート浅草」・京阪ホテルズの「京都センチュリーホテル」・「ホテルグランバッハ京都セレクト」が、Booking.com経由でフィッシングサイトへ誘導するメッセージが配信されたと相次いで公表しました。手口は5月上旬の事案と同一で、WhatsApp等のメッセージアプリを通じてクレジットカード情報の入力を求めるものです。1か月間で大手・中堅ホテルチェーン6社以上が被害を公表しており、インバウンド需要が高まる時期を狙った組織的な攻撃の可能性があります。ホテル管理者はBooking.comの管理コンソールへのMFA適用と不審なアクセスの即時検知体制の整備が急務です。
▶ 詳細記事:Booking.com 経由のフィッシング詐欺が新たな波—「ホテルサンルート浅草」「京都センチュリーホテル」「ホテルグランバッハ京都セレクト」が2026年5月21日に相次いで公表
ポラリス・ホールディングス(東証スタンダード)、Booking.comアカウントへの不正アクセスで売上金受領口座が改ざん・約900万円の損失
「ベストウェスタンホテル&リゾーツ」の国内展開権を持ちホテルブランド「ここホテル」を展開する東証スタンダード上場のポラリス・ホールディングスは2026年5月29日、同社が運営するホテルのBooking.comアカウントへの不正アクセスを受け、売上金の受領口座が第三者の口座へ改ざんされ、約900万円の損失が発生したと公表しました。フィッシングメッセージの配信にとどまらず、ホテルへ支払われるべき売上金の受取口座を攻撃者の口座に書き換えるという直接的な金銭被害につながった点は、Booking.com経由の攻撃の中でも特に深刻な事例です。宿泊予約プラットフォームの管理アカウントのセキュリティが経営リスクに直結することを示しており、上場企業としての適時開示が求められるほどの財務的影響を与えています。
▶ 詳細記事:ポラリス・ホールディングスのBooking.comアカウントが不正アクセスの被害-売上金受領口座が第三者口座に改ざんされ約900万円の損失
不正アクセスによる情報漏洩
アクサ損保、ペット保険システムへの不正アクセスで最大55.3万件・自動車保険契約者6.4万件の追加漏洩が判明
アクサ損害保険株式会社は2026年1月、ペット保険システムへの不正アクセスにより最大約55.3万件の個人情報が漏洩した可能性があると公表しました。その後の調査で2026年5月には、自動車保険契約者の一部がペット保険に自動登録される仕組みを通じて新たに6.4万件の個人情報が漏洩対象として追加判明しました。当初のペット保険システムへの不正アクセスが、自動登録という業務プロセスを介して別保険種別の契約者情報にまで被害が拡大した事例です。システム間の連携・自動登録機能が情報漏洩の波及経路になり得ることを示しており、侵害発生時の被害範囲の精緻な調査と、連携システム全体をスコープに入れた影響評価の重要性を示しています。
▶ 詳細記事:アクサ損保、ペット保険システムへの不正アクセスによるサイバー攻撃で最大約55.3万件に個人情報漏洩の可能性
アソビュー、パートナー向け予約管理システム「satsuki」への不正アクセスで27,163件の予約者情報が流出
体験・アクティビティの予約サービスを展開するアソビュー株式会社は2026年5月28日、同社がアクティビティ・パートナー向けに提供する予約管理システム「satsuki」に対し、2026年5月20日に外部からの不正アクセスがあったことを公表しました。内部調査の結果、satsukiを経由した一部予約者27,163件の氏名・性別・生年月日・電話番号・住所・予約情報が流出したことが確認されています。メールアドレス・パスワード・クレジットカード情報は流出の対象に含まれていないとしています。アソビューは内部調査完了・原因と影響範囲の特定を完了したうえで個人情報保護委員会への報告(2026年5月21日付)と対象者への個別連絡を実施しています。利用パートナーである中禅寺金谷ホテル・東武動物公園はいずれも自社顧客への漏洩なしを確認・公表しており、迅速な連携対応は参考となる好事例です。体験予約プラットフォームのパートナー向けシステムへの攻撃が最終的に一般ユーザーの個人情報漏洩に連鎖するという構図は、BtoB向けSaaSの管理側システムにも個人情報保護法上の安全管理措置が求められることを改めて示しています。
▶ 詳細記事:アソビューのパートナー向け予約管理システムにサイバー攻撃-予約者の個人情報漏洩の恐れ
まとめと対策のポイント
開発インフラ(GitHub・npm)への不正アクセスは侵害前提での対応体制が必要 GitHub内部リポジトリへの不正アクセス・Megalodon自動化攻撃・TanStackのサプライチェーン攻撃・マネーフォワードのGitHub認証情報漏洩が示すとおり、開発インフラへの攻撃が2026年5月に集中しました。導入済みパッケージのバージョン変更を常時監視するSCA(ソフトウェア構成分析)ツールの導入、CI/CDワークフローへの変更に対するアラート設定、開発リポジトリへのシークレット混入を防ぐシークレットスキャン、そしてVS Code拡張機能のインストールポリシー策定が開発組織の喫緊課題です。
SaaSプラットフォームの設定ミスとサードパーティ連携が業界横断的な攻撃の温床になる 7-Eleven・Udemy・ZARAの3社がいずれもSalesforceまたはサードパーティ分析ツールの設定ミスを起点に侵害された事実は、「SaaS設定の不備」が組織規模を問わない攻撃ベクターとなっていることを示しています。Booking.com・アソビューのパートナー向けシステム経由の被害も含め、自社が利用するすべてのSaaSのゲストユーザー権限・APIエンドポイントの公開範囲と、連携するサードパーティツールの認証トークン管理を定期的に棚卸しし、最小権限原則の適用を徹底することが不可欠です。
AIツールの偽サイト・ゼロデイの即日悪用など攻撃の速度と精度が増している Gemini CLI・Claude Code偽インストールサイトは検索広告を使って開発者の自然な行動を悪用し、MicrosoftゼロデイはPoC公開から即日悪用に至るなど、攻撃者の対応速度が著しく向上しています。AI開発ツールのダウンロードは公式ドキュメントに記載されたURL以外からは行わないポリシーを組織内に周知し、Windows系の緊急パッチはリリースから72時間以内の適用を目標とした優先プロセスとして整備することが求められます。








