「セキュリティ事故」と聞いて思い浮かべるのは派手な外部攻撃 ―― ランサムウェアの身代金要求画面、ハッカー集団のリーク投稿、APT による情報窃取 ―― だろうか。しかし 2026 年 5 月のニュースを並べると、実際に多いのは「外部から攻撃された」のではない事故 であることが見えてくる。BEC、内部不正、クラウド設定ミス、アクセス制御の実装漏れ。Hacking Labo 視点で「攻撃ではない情報漏洩」の盲点を整理する。
1. クラウド設定誤りで「マイナンバー含む個人情報」漏洩 #
最も重い事案がこれだ。顧客データ移転作業中にクラウド環境の設定誤り によって、マイナンバーを含む個人情報が閲覧可能な状態に置かれた可能性が公表された。マイナンバーは法令上、極めて厳格な扱いが求められるカテゴリで、漏洩した時点で「設定ミス」では済まなくなる。クラウド側の権限設計を誰がレビューしたのか、移転手順に再現性のあるテストがあったのか、検証作業時の権限分離はどうなっていたか ── 攻撃ではないからこそ、運用設計の解像度がそのまま被害規模に直結する。
2. 内部不正・出向者経由の情報持出 #
- あいおいニッセイ同和損害保険からの出向者がトヨタ自動車の内部情報を不適切に提供
- メットライフ生命保険のサーバで不正に取得保管 ─ きらぼし銀行の顧客 95 名分の保険契約情報が漏えい
両方に共通するのは「契約・出向・委託」という人を介した境界線で、データが本来の用途を超えて移動してしまったケースだ。外部攻撃用のセキュリティ製品では検知できない。データの本来の用途を制限し、アクセスログを定期的に監査する地道なプロセスが効く領域である。
3. BEC (ビジネスメール詐欺) で 5,000 万円流出 #
日本和装ホールディングスへの虚偽の送金指示 で 5,000 万円が流出した。BEC は技術的脆弱性を一切突かない攻撃で、メールアドレスのなりすまし・タイミング・取引先名の流用といった社会工学に頼る。送金プロセスに「電話での二次確認」「金額しきい値での承認分離」を組み込んでいない組織には、いま現に届きうるリスクだ。
4. アクセス制御の実装ミス #
- 「おべんとね!っと」: アクセス制御の実装が不適切で個人情報流出
- 教員採用試験に関する行政文書開示請求: 交付した電子データの加工に不備があり、第三者の個人情報が閲覧可能だった
両方とも「攻撃」ではない ── 単に アプリケーション側の権限実装、または PDF/Excel の墨消し処理が不十分だっただけ だ。SQL インジェクションのような派手な脆弱性ではないが、被害規模では同等になりうる。
Hacking Labo 視点 ― 防御の優先順位は境界より「手前」 #
ファイアウォール / EDR / SIEM を導入しても、上の 4 種類はほぼ一切検知できない。それぞれの対策はこうだ。
| 事故タイプ | 検知できないもの | 効くもの |
|---|---|---|
| クラウド誤設定 | EDR / WAF | IaC によるレビュー、CSPM、変更前差分監査 |
| 内部不正・持出 | 境界製品 | DLP、アクセスログ監査、最小権限 |
| BEC | アンチウイルス | プロセス上の二次承認、ドメイン認証 (DMARC) |
| アクセス制御実装漏れ | 入口の MFA | アプリ層のシステマティックなテスト |
「ハッカー対策」と言うと派手な攻撃を想像してしまうが、現実の被害は地味で、地味な対策でしか防げない。それを思い出させてくれる 2026 年 5 月だった。
参考 #
- 顧客データ移転作業中のクラウド設定誤りでマイナンバー漏洩 (ScanNetSecurity, 2026-05-13)
- あいおいニッセイ同和損保 出向者がトヨタ内部情報を不適切提供 (ScanNetSecurity, 2026-05-14)
- メットライフ生命 不正取得保管 きらぼし銀行顧客 95 名漏洩 (ScanNetSecurity, 2026-05-12)
- 日本和装ホールディングス BEC 5,000 万円流出 (ScanNetSecurity, 2026-05-13)
- 「おべんとね!っと」アクセス制御実装不備で個人情報流出 (ScanNetSecurity, 2026-05-13)
- 教員採用試験 行政文書 加工不備で個人情報閲覧可能 (ScanNetSecurity, 2026-05-14)
