今日もどこかで情報漏えい第49回「2026年5月の情報漏えい」その地方ならではのケジメのつけ方

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

　頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしている、ジメジメとした梅雨のような本連載、今月も雨模様である。

●インシデント原因内訳

　さて、先月 2026 年 5 月に本誌が取り上げた事故・インシデント記事は 2026 年 4 月の 73 本から 18 本増となる全 91 本だった。事故原因最多は「不正アクセス」で 72 件（ 79.1 ％）を占め、「不正持ち出し」が 5 件（ 5.5％）、「システム管理上のミス」が 3 件（ 3.3％）で続いた。1 位の「不正アクセス」に圧倒的な差をつけられているとは言え、4 ヶ月連続で「不正持ち出し」が上位に顔を出している結果に、日本の将来を悲観してしまう。なお、記事として取りあげるインシデントは媒体方針（公知にすることで類似インシデントの発生低減に寄与する可能性の多寡ほか）に基づいているため、これらの比率は全体傾向を示すものではない。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

● 被害規模ワースト

　5 月に最も件数換算の被害規模が大きかったのは、ユニバーサルミュージック合同会社による「ユニバーサルミュージックのECサイトへの不正アクセス、合計 3,105,585件の顧客情報が流出」の 3,105,585 件だった。親の顔よりも情報漏えいを見ているSCAN読者にとっても、300 万件超えというのはインパクトがあったのではなかろうか。大阪市の人口 2,825,072 人をも上回る数字である。

【 2026 年 5 月被害規模ワーストトップ 3 】
3 位：エネサンスホールディングスへのランサムウェア攻撃、約 36.5 万件の顧客情報が漏えいした可能性
原因：不正アクセス
件数：約 36.7 万件
https://scan.netsecurity.ne.jp/article/2026/05/22/55331.html

2 位：メディカ出版へのランサムウェア攻撃、合計 77 万 2,000 件の個人情報が漏えいした可能性
原因：不正アクセス
件数：合計 77 万 2,000 件
https://scan.netsecurity.ne.jp/article/2026/04/30/55173.html

1 位：ユニバーサルミュージックのECサイトへの不正アクセス、合計 3,105,585件の顧客情報が流出
原因：不正アクセス
件数：3,105,585 件
https://scan.netsecurity.ne.jp/article/2026/05/21/55325.html

　因みにこれまでの 2026 年ワースト 1 位は、「バンダイチャンネルへの不正アクセス、最大 136.6 万件の会員情報漏えいの可能性」の最大 136.6 万件であったが、ユニバーサルミュージックがトップに躍り出た。流石、世界最大規模の音楽会社である。

バンダイチャンネルへの不正アクセス、最大 136.6 万件の会員情報漏えいの可能性
https://scan.netsecurity.ne.jp/article/2025/12/23/54309.html

　ところで、世界最大規模の音楽会社とは言え、ユニバーサルミュージックのECサイトの登録者が 300 万人以上居たことに筆者は驚いた。現在の『週刊少年ジャンプ』の売上は 100 万部超であるが、これの 3 倍程度の規模である。筆者は、ジャンプを購読している人は見かけるが、ユニバーサルミュージックのECサイト利用者は見かけたことが無い。300 万人には昔 1 度だけ利用した人なども含まれるし、わざわざ特定のECサイトを利用していることを大々的にアピールしている人はそうそう居ないであろうが、これだけの規模の漏えいだ。周りに 1 人くらい被害者が居ても不思議ではないが、今のところ観測していない。筆者はまた、情報漏えいのビッグウェーブに乗り損ねた丘サーファーになってしまっった。

● よく読まれた記事

　5 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて掲載している。

【 2026 年 5 月閲覧数ベスト 3】
3 位：マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる
6,388 ページビュー
https://scan.netsecurity.ne.jp/article/2026/05/08/55222.html

2 位：最終出社日(春分の日前日)の夜にクラウドから取引先個人情報ダウンロード翌営業日検知し面談事実と認める
6,693 ページビュー
https://scan.netsecurity.ne.jp/article/2026/05/25/55339.html

1 位：カー用品店「ジェームス」に不正アクセス、会員情報が漏えいした可能性
7,232 ページビュー
https://scan.netsecurity.ne.jp/article/2026/05/19/55298.html

　1 位となったのは、トヨタモビリティパーツ株式会社の「カー用品店「ジェームス」に不正アクセス、会員情報が漏えいした可能性」の 7,232 ページビューであった。トップなのにも関わらずページビューは堂々 1 万を割る 7,232。これぞ「俺たちのSCANが帰ってきた」といった印象だ。因みに本記事は、情報漏えい以外のSCAN全記事でも 5 月のトップである。何度も言ってるが、吹けば飛ぶような零細メディアSCAN にとって 1 万超えは月に 1 本あるかないかの出来事で、3 万、5 万超えなどは年に数回あるかどうかのお祭りである。通常こういう媒体は商業メディアとして成立し得ない。本連載を丁寧に読んでくれるような読者の存在によってかろうじて生きながらえているのが現状であり、創刊以来常に「息をするだけで精一杯」である。

　2 位となった、株式会社ロッキング・オン・ジャパンによる「最終出社日(春分の日前日)の夜にクラウドから取引先個人情報ダウンロード翌営業日検知し面談事実と認める」であるが、これは同社の元従業員が、最終出勤日である 2026 年 3 月 19 日夜に、クラウドサービスから多数のファイルをダウンロードし、個人所有の外付けデバイスにコピーしていたことを窺わせる操作履歴を検知したため、翌営業日である 3 月 23 日に、外部の情報セキュリティに関する専門機関と顧問弁護士から助言を受け、元従業員に貸与していたPCの操作ログを検証した結果、ファイルをダウンロードしたと思しき挙動が確認できたことに加え、対象ファイルの中に取引先に関する個人情報が含まれていたことが判明したというものだ。元従業員は、最終出社日に持ち出せば無事に逃げ切れるなどと思ったのであろうか。天然というか、必ずしも悪い奴ではない気すらする（悪い奴なのだが）。それにしてもこれだけ情報持ち出しについて五月蠅くなったこのご時世で、にわかには信じられない行動である。

● 5 月のカード情報漏えい

　5 月は 1 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。4 月の 0 件から見事復活である。なお、下記で件数として挙げているのは全てカード情報のみである。

カーインテリア・アクセサリー取扱「ボンフォームオンラインストア」に不正アクセス、3,268 名のカード情報が漏えい
件数：3,268 名
https://scan.netsecurity.ne.jp/article/2026/05/15/55275.html

　さて今月は 1 件、カード情報漏えいには至らなかったものの、カード決済を一時停止する旨を事前に公表していた事案を紹介したい。

決済代行会社から個人情報漏えい懸念の連絡 →フォレンジック調査 →侵害の事実は確認されず
https://scan.netsecurity.ne.jp/article/2026/05/07/55198.html

　これは、ストリートアカデミー株式会社が運営する学びのマーケット「ストアカ」で、一部顧客にて不正利用が確認されたため、同社サービスの利用との関連が疑われるとの連絡が決済代行会社からあり、クレジットカード決済を一時停止した旨を 1 月 16 日に公表していた。

過去に「ストアカ」を利用した一部顧客の第三者による不正利用を確認、クレジットカード決済を一時停止
https://scan.netsecurity.ne.jp/article/2026/02/03/54540.html

　過去にSCANが取り上げたカード情報漏えいのニュースでは、基本的に決済代行会社からカード情報漏えい懸念が伝えられた際は確実に漏えいしていたのだが、ストリートアカデミーでフォレンジック調査を実施したところ、同社システムへの第三者からのサーバー侵入やプログラムの改ざんといった侵害の痕跡は検出されず、同社システム内からカード会員データを含む個人情報が外部へ窃取・流出したという事実は確認されなかったとのことだ。初めてのことに筆者はびっくりである。

　これまでは、いたずらに混乱を招くことを防ぐため、フォレンジック調査の完了とカード会社との連携を待ってから公表するのが「カード情報漏えい時のお作法」として定着していたため、ひょっとしたらこういった決済代行会社やカード会社から指摘があったが、実際には何も無かった事例というのは、インシデントに至らなかったとして公表されず、闇に葬られていたのかもしれない。