2026年6月 サイバー攻撃の被害 事例 まとめ

サイバー攻撃の事例

投稿日時: 更新日時:

2026年6月 サイバー攻撃の被害 事例 まとめ

2026年6月は、大手保険会社や通信キャリアといった重要インフラ企業への不正アクセスが相次いで表面化した月でした。アフラック生命保険では約438万人、KDDIでは最大1,422万件という大規模な情報漏洩の恐れが公表され、いずれも金融庁・総務省による行政対応にまで発展しています。また、開発基盤やSaaS連携を起点としたサプライチェーン型攻撃も目立ち、マネーフォワードMEのGitHub不正アクセスやKlue経由のSalesforceサプライチェーン攻撃は、委託先・連携先の一箇所が侵害されるだけで多数の企業に影響が波及する典型例となりました。

Oracle製品群では、E-Business SuiteとPeopleSoftの両方で悪用が確認され、パッチ適用の遅れが直接的なリスクにつながっています。フィッシングの分野でも、Booking.comを騙る手口や中国語圏PhaaSによる日本標的化が継続しており、認証情報を狙う攻撃の高度化が鮮明になった一か月といえます。

2026年6月 サイバー攻撃被害インシデント一覧

公表日 組織・対象名 被害の概要 件数・特記事項
6/30 Microsoft Defender脆弱性BlueHammer CISAがKEVカタログにランサムウェア悪用の記載を追加 CVE-2026-33825、CVSS 7.8
6/27 Oracle E-Business Suite CVE-2026-46817がハニーポットで実悪用を観測 CVSS 9.8、PoC非公開のまま悪用
6/26 Klue(Salesforce連携) サプライチェーン攻撃で被害組織が拡大 約24社、恐喝グループが二重侵害される展開に
6/23 KDDI メールシステム不正アクセスで大量漏洩の恐れ 最大1,422万件、@nifty等6社に影響
6/19 ダイキョーニシカワ(東証プライム:4246) インドネシア子会社への不正アクセス 検知から外部送信判明まで約3か月
6/12 UPSIDER OSSサプライチェーン攻撃の最終報告 顧客データの外部流出は確認されず
6/12 日本ホテル協会 Booking.comフィッシングで4度目の注意喚起 GW以降急増、WhatsApp経由の偽メッセージ
6/10 日産北米 Oracle PeopleSoftゼロデイ攻撃 CVE-2026-35273、従業員情報の一部にアクセスの恐れ
6/10 ハッカーグループ動向(ShinyHunters) Oracle PeopleSoftへの大規模恐喝キャンペーン 100組織超・300インスタンス超が標的
6/9 マネーフォワードME GitHub不正アクセスの調査完了 従業員2,300名・顧客識別子60,449名分
6月 中国語圏PhaaS「YY来鱼」 日本向けフィッシングテンプレートが400超に PayPay・JA銀行・楽天証券等、リアルタイムMFA突破

大規模個人情報漏洩に発展した不正アクセス

アフラック生命保険、不正アクセスで約438万人の個人情報漏洩

アフラック生命保険は2026年6月30日、契約者専用サイト「アフラックよりそうネット」等への第三者による不正アクセスにより、顧客約438万人の個人情報が漏洩したと公表しました。不正アクセスは6月15日に最初に発生し6月25日まで複数回確認され、漏洩項目には氏名・生年月日・住所・証券番号・保険料振替口座情報(約23万人分)が含まれますが、マイナンバーとクレジットカード情報は含まれていません。同社は保険業法および個人情報保護法に基づき金融庁への報告を行い、7月1日には金融庁から報告徴求命令を受領しています。大規模な顧客データベースを抱える金融機関では、異常検知から遮断までのリードタイム短縮と、行政報告を見据えた初動記録の整備が今後さらに重要になります。

▶ 詳細記事:アフラック生命保険、不正アクセスで約438万人の顧客の個人情報漏洩

KDDI、メールシステム不正アクセスで最大1,422万件漏洩の恐れ

KDDIは2026年6月23日、ISP事業者向けに提供するメールシステムが不正アクセスを受け、@nifty・BIGLOBE・J:COM・コミュファ光・ピカラ・CPIの6社合計で最大1,422万件のメールアドレス・パスワードが漏洩した可能性があると発表しました。不正アクセスは6月17日に確認され、原因は同システムが利用していた第三者製ソフトウェアの脆弱性の悪用とされています。総務省は6月24日、KDDIに対し原因・対応状況・再発防止策の報告を求める「報告徴収」の行政処分を実施しました。自社が直接エンドユーザーに見えない「裏側のインフラ提供者」であっても、委託元・提携先を通じて広範囲に影響が及ぶ点は、BtoB基盤事業者のリスク管理として認識しておく必要があります。

▶ 詳細記事:KDDI、メールシステムへの不正アクセスでメールアドレス・パスワード最大1,422万件が漏洩の恐れ

ダイキョーニシカワ、インドネシア子会社で不正アクセス

自動車用樹脂部品メーカーのダイキョーニシカワ株式会社(東証プライム:4246)は2026年6月19日、連結子会社「PT.DaikyoNishikawa Tenma Indonesia」が第三者による不正アクセスを受けたと公表しました。3月26日に異常な挙動を検知していたものの、データの外部送信という深刻な事実が判明したのは6月17日で、検知から約3か月近いタイムラグが生じています。海外子会社は国内本社と比べて監視体制・パッチ運用が手薄になりやすく、グループ全体でのログ監視基盤の統一とインシデント検知から評価までのリードタイム短縮が課題です。

▶ 詳細記事:マツダ系最大手樹脂部品メーカー、ダイキョーニシカワのインドネシア子会社で不正アクセス

開発基盤・SaaS連携を悪用したサプライチェーン攻撃

マネーフォワードME、GitHub不正アクセス調査完了

マネーフォワードME(株式会社マネーフォワード)は2026年6月9日、2026年5月1日に発生したGitHubへの不正アクセスに関する調査完了を公表しました。調査の結果、従業員2,300名分および顧客固有識別子60,449名分の情報漏洩の恐れが確定しています。開発基盤であるGitHubが起点となった点は、ソースコード管理環境が事業データそのものの漏洩リスクに直結することを改めて示しています。開発者アカウントへの多要素認証の徹底とアクセストークンの棚卸しが、再発防止の要になります。

▶ 詳細記事:マネーフォワード、不正アクセス調査完了

UPSIDER、OSSサプライチェーン攻撃の最終報告を公開

法人カードサービス「UPSIDER」を提供する株式会社UPSIDERは2026年6月12日、4月1日に発生したシステム障害の最終報告を公開しました。攻撃の起点はシステム開発に使用していたOSS(オープンソースパッケージ)への悪意あるプログラム混入によるソフトウェアサプライチェーン攻撃で、開発者端末の侵害(3月24日)から最終報告まで約80日を要しています。外部専門機関のフォレンジック調査(4月10日〜5月20日)の結果、顧客のカード情報・個人情報・法人情報について外部流出を示す事実は確認されませんでした。カード番号やCVVをトークン化して保持していなかった点がリスクを大きく低減しており、PCI DSSが求めるトークン化の実効性を示す事例といえます。

▶ 詳細記事:UPSIDERが不正アクセス被害の最終報告を公開

Klue(Salesforce連携)サプライチェーン攻撃、被害組織が24社に拡大

2026年6月26日、市場インテリジェンスSaaS「Klue」のSalesforce連携を悪用したサプライチェーン攻撃で、被害組織がおよそ24社に達したことが確認されました。攻撃は6月11〜12日にKlueのバックエンドが侵害されたことに始まり、顧客のSalesforce OAuthトークンが窃取され、MFAなど通常の認証手順を経ずにSalesforce REST APIから商業データが一括抽出されています。恐喝グループ「Icarus」が本件の実行者と特定されましたが、その後Icarus自身が別の攻撃者グループに侵害され窃取データが第三者の手に渡るという二重恐喝の展開に発展しました。Salesforce本体ではなく連携アプリのOAuthトークンが起点になっている点は、2025年のSalesloft Drift事案と共通しており、連携アプリの定期的な棚卸しと不要なOAuth権限の削除が急務です。

▶ 詳細記事:Klue Salesforceサプライチェーン攻撃、被害組織が約24社に拡大

日産北米、Oracle PeopleSoftゼロデイ攻撃で従業員情報漏洩の恐れ

日産北米は、Oracle PeopleSoft PeopleTools(対象CVE-2026-35273、CVSS 9.8)を狙ったゼロデイ攻撃を受け、従業員の一部個人情報にアクセスされた可能性があると通知しました。Oracleは6月10日に本脆弱性のSecurity Alertを公開しましたが、Google Mandiantの分析では悪用活動は5月27日から6月9日まで観測されており、正式アラート公開前からゼロデイとして悪用されていたことになります。この攻撃は恐喝グループShinyHunters(追跡名UNC6240)による大規模なOracle PeopleSoft恐喝キャンペーンの一環とみられ、教育機関を中心に100組織超・300インスタンス超が標的にされています。PeopleSoftは大学・官公庁・大企業の人事給与基盤として広く使われており、パッチ適用状況の緊急点検が求められます。

▶ 詳細記事:日産北米、ハッカーグループのOracle PeopleSoftゼロデイ攻撃で従業員の個人情報漏洩の恐れ
▶ 詳細記事:ハッカーグループがOracle PeopleSoftへサイバー攻撃-100組織超から300インスタンスへ不正アクセスか

実悪用が確認された脆弱性

Oracle E-Business Suite、CVE-2026-46817がパッチ提供6週間後に実悪用

2026年6月27日、脅威インテリジェンス企業Defusedは、Oracle E-Business Suite(EBS)のOracle Payments・File Transmissionコンポーネントに存在するCVSS 9.8の認証不要脆弱性CVE-2026-46817が野生で悪用されていることをハニーポットで観測したと公表しました。パッチは5月28日提供済みで概念実証コード(PoC)も公開されていないにもかかわらず攻撃が発生しており、攻撃者が独自にエクスプロイトを開発していた可能性が高いとされています。決済処理の中核を担うOracle Paymentsが完全に乗っ取られた場合、決済データの不正操作や資金移動の改ざんに直結しかねません。EBSをインターネットに公開したまま未パッチで運用している組織は、パッチ適用状況の即時確認が必要です。

▶ 詳細記事:Oracle E-Business Suiteの重大脆弱性がパッチ配布から6週間後にサイバー攻撃へ悪用

Microsoft Defenderの脆弱性BlueHammer、ランサムウェア攻撃に悪用

2026年6月30日、CISAはMicrosoft Defenderの権限昇格脆弱性「BlueHammer」(CVE-2026-33825、CVSS 7.8)について、KEVカタログのエントリを更新し、ランサムウェアキャンペーンでの悪用を明記しました。同脆弱性は4月上旬に研究者がMicrosoftの対応に抗議する形でパッチ前にPoCを公開したため、正式パッチ(4月14日)以前からゼロデイとして悪用が始まっていた経緯があります。悪用しているランサムウェアグループの特定はできていませんが、パッチ未適用環境が依然として攻撃の足がかりになりうる状態です。

▶ 詳細記事:Microsoft Defenderの脆弱性BlueHammer(CVE-2026-33825)がランサムウェア攻撃に悪用


フィッシング・詐欺の動向

日本ホテル協会、Booking.comフィッシングで4度目の注意喚起

日本ホテル協会は2026年6月12日、Booking.com経由でホテルを予約した旅行者を標的にしたフィッシングメッセージについて4度目の注意喚起を公表しました。ゴールデンウイーク以降に急増しており、WhatsApp等で実際の予約番号・宿泊施設名・宿泊日程を含む偽メッセージが届く手口が特徴です。約1年弱で4度の注意喚起が必要になっている事実は、この問題がBooking.comとその周辺エコシステムにおける構造的な課題であることを示唆しています。ホテル・利用者双方に対し、公式サイト経由での予約確認とエクストラネットの多要素認証有効化が呼びかけられています。

▶ 詳細記事:日本ホテル協会がBooking.comフィッシングで4度目の注意喚起

中国語圏PhaaS「YY来鱼」、日本向けテンプレートが400超に拡大

2026年5月25日、Google Threat Intelligence Group(GTIG)はレポートで、中国語圏のPhaaS(フィッシング・アズ・ア・サービス)エコシステムの急速な高度化を警告しました。分析対象12プラットフォームのうち「YY来鱼」は119か国を標的にしながら日本を最重点標的に位置づけ、PayPay・JA銀行・楽天証券・メルカリ・任天堂など400超の日本向けテンプレートを提供しています。最大のリスクは、目的が単なるパスワード収集からリアルタイムOTP傍受によるMFA即時突破とデジタルウォレットへのトークン転用に移行している点です。有効な対抗策はFIDO2/WebAuthnへの移行であり、パスワード・OTPベースの認証だけに依存する運用は限界に近づいています。

▶ 詳細記事:中国語圏PhaaSが日本を標的にサイバー攻撃

まとめと対策のポイント

委託先・連携先起点の攻撃を前提にした管理体制の構築が不可欠です。 KlueやKDDIメールシステムの事例が示す通り、自社が直接攻撃されなくても取引先・連携SaaSの侵害が自社データの漏洩に直結します。OAuth連携やAPI連携の棚卸しを定期的に実施し、不要な権限を削除することが基本対策です。

開発基盤・OSSサプライチェーンへの多層防御も引き続き重要です。 マネーフォワードMEやUPSIDERの事例のように、GitHubやOSSパッケージが侵害の起点になるケースが継続しています。開発者アカウントへの多要素認証、依存パッケージの脆弱性スキャン、異常な挙動の早期検知体制が求められます。

パッチ適用のリードタイム短縮が急務です。 Oracle EBS・PeopleSoft・Microsoft Defenderのいずれも、パッチ公開後または公開前後の短期間で実悪用が確認されています。インターネット公開システムについては、パッチ適用状況の棚卸しと優先度付けを平時から行っておく必要があります。