はじめに
「うちは小さいし、海外に拠点もないから大丈夫」——そう思っていませんか?
今週のニュースを見ると、その安心感が崩れる出来事が立て続けに起きています。
物流大手でも海外子会社が狙われ、「ウイルス対策ソフトを入れている」はずの企業でも攻撃を受け、自社サイトを踏み台にされる事例が続いています。
今週は特に「身近な備えを今日から見直すきっかけ」になるニュースが揃いました。5つのトピックをわかりやすくお伝えします。
要点まとめ
- 近鉄エクスプレスのシンガポール子会社が不正アクセス被害——約1年で2度目のサイバーインシデント
- 「守る側」のセキュリティソフト(Apex One・Microsoft Defender)に深刻な脆弱性、すでに実際の攻撃で悪用確認
- 日本企業に多いCMS「Movable Type」に権限チェックを回避できる脆弱性、Webサイト改ざんのリスク
- IPAが「10大脅威2026 個人編」ハンドブックを無料公開——社員研修にそのまま使える素材
- あなぶきハウジングサービスのランサム被害、個人情報207,773件の流出が確定
① 近鉄エクスプレスの海外子会社が不正アクセス被害——約1年で2度目
5月15日未明、大手物流企業・近鉄エクスプレスのシンガポール子会社「KWE-Kintetsu World Express (S) Pte Ltd.」で、一部サーバーへの不正アクセスが検知されました。直ちにシステムが遮断・隔離され、シンガポール国内の航空輸出業務と倉庫業務の一部が一時停止。5月20日に安全確認のうえ通常復旧しています。日本の本社や他のグループ会社への影響は確認されていません。
ただ、今回が約1年で2度目のサイバーインシデントという事実は重く受け止める必要があります。
同社は2025年4月にも本体システムがランサムウェア攻撃を受けており、大企業であっても繰り返し標的になり得ることを示しています。
攻撃者は「弱いところ」を狙います。 本社のセキュリティが強固であっても、海外拠点・子会社・外注先のセキュリティが甘ければ、そこが突破口になります。
自社が大企業の取引先・委託先である場合も、その足がかりに使われるリスクがあります。
外部委託先や関連会社をお持ちの方は、「先方のセキュリティ対策の状況を確認したことがあるか」をこの機会に棚卸ししてみてください。
年1回の確認や、契約書へのセキュリティ要件の記載が有効な第一歩になります。
② 「守る側」のソフト自体に穴——Apex OneとMicrosoft Defenderの脆弱性が悪用確認
「ウイルス対策ソフトを入れているから安心」——こんな思い込みを打ち砕くニュースが2件続きました。
5月19日、マイクロソフトが「Microsoft Defender」(Windowsに標準搭載のウイルス対策機能)に権限昇格の脆弱性(CVE-2026-41091)が発見され、すでに実際の攻撃に悪用されていると公表しました。
深刻度スコアは10点満点中7.8と高く、早急な対応が必要です。
続いて5月21日、JPCERT/CCとIPAが、企業向けセキュリティ製品「TrendAI Apex One」(旧Trend Micro Apex One)にも脆弱性(CVE-2026-34926)が見つかり悪用が確認されたと注意喚起しました。
Apex Oneは日本の中小企業向けエンドポイントセキュリティ(=端末をウイルスや不正侵入から守るソフト)として長年トップシェアを誇る製品です。
両製品ともパッチ(修正プログラム)の提供が始まっており、適用が急がれています。
セキュリティソフトは「入れっぱなし」では不十分です。製品自体にも脆弱性が見つかることがあり、更新しないと逆に攻撃の入口になります。
IT担当者や保守ベンダーに「うちのセキュリティソフトは今、最新の状態ですか?」と一声かけてみることを強くおすすめします。
③ 自社サイトのCMSは大丈夫? Movable Typeに新たな脆弱性
5月20日、日本企業に広く使われているCMS(コンテンツ管理システム=Webサイトのページ作成・更新をするためのツール)「Movable Type」に、権限チェックの欠如による脆弱性が公表されました。
この脆弱性を突かれると、本来は許可されていないユーザーがサイトのコンテンツを書き換えられる状態になります。悪用された場合、自社サイトに偽情報が掲載されたり、訪問者のPCにウイルスを仕込む踏み台にされたりするリスクがあります。Movable Typeは4月にも、任意のコード実行やSQLインジェクション(データベースを不正操作できる攻撃)の脆弱性が相次いで修正されており、このところ脆弱性の報告が続いている状況です。
Movable Typeユーザーはシックス・アパート公式のセキュリティ情報を確認し、最新バージョンへの更新を行ってください。WordPressなど他のCMSを使っている方も、同様に定期的なアップデートが必要です。
Webサイトの管理を制作会社に丸投げしているケースでは、「CMSのセキュリティ更新が保守契約の範囲に含まれているか」を契約書で確認しておきましょう。
含まれていない場合は、別途対応を依頼することも検討してみてください。
④ 無料で使える社員教育教材が公開——IPA「10大脅威2026 個人編」
5月21日、IPA(情報処理推進機構)が「情報セキュリティ10大脅威 2026 個人編」のハンドブックと対策マッピングシートを公開しました。PDF・PowerPoint・Excel形式で配布されており、無料でダウンロードして社員研修にそのまま使えます。
2026年版の注目ポイントは、今回初めて「AIの利用をめぐるサイバーリスク」が3位にランクインしたことです。「ChatGPTに顧客情報を貼り付ける」「AI生成の巧妙な偽メールに騙される」といったリスクが、現実的な脅威として広く認識されるようになった時代を反映しています。
IPAのコンテンツは「日本語・無料・公的機関出典」の三拍子が揃っており、セキュリティ研修の予算が限られるSMEにとって理想的な教材です。
月例ミーティングや新人研修のテーマとして取り入れることで、「ChatGPTには顧客情報を入力しない」「AI生成メールに注意する」といった社内ルールを話し合うきっかけにもなります。
実際の資料はこちらです↓
情報セキュリティ10大脅威 2026(IPA公式)
⑤ あなぶきハウジングサービスのランサム被害——20.7万件の流出が確定
穴吹興産グループの「あなぶきハウジングサービス」が2月3日に受けたランサムウェア(身代金型ウイルス=PCのデータを暗号化し、解除と引き換えに金銭を要求するウイルス)攻撃について、5月21日の第6報で漏えいした個人情報が207,773件と確定しました。
3月時点では「約49.6万人に漏えいの恐れ」と発表されていた件数が、約2か月かけた調査を経て今回確定しています。クレジットカード情報や口座情報、マイナンバーは含まれないとのことです。ただ、犯行グループ「Qilin(キリン)」はダークウェブ上のサイトに管理書類・建物図面・パスポート画像などを公開しており、情報が外部に出回っている状況は続いています。
このケースが示しているのは、「インシデント対応は長く、コストがかかる」という現実です。 発覚から件数確定まで約4か月。その間、被害者への通知、原因調査の専門家費用、問い合わせ対応などが発生します。不動産・住宅管理という身近な業種での出来事として、「もし自社が被害に遭ったら」という視点で考えてみてください。
まとめ
今週のニュース5本に共通するのは、**「対策は今日から始められる」**というメッセージです。
委託先・関連会社のセキュリティを確認する
近鉄エクスプレスの事例から。取引先・外注先も自社のリスクになり得ます。年1回、対策状況を確認しましょう。
セキュリティソフトが最新状態か確認する
Apex One・Defenderの脆弱性から。ITベンダーや担当者に「最新パッチは適用済みですか?」と一声かけるだけでOKです。
WebサイトのCMS保守契約を確認する
Movable Typeの脆弱性から。CMSのバージョンアップが契約に含まれているか、制作会社に確認しておきましょう。
IPAハンドブックを社員研修に活用する
IPA 10大脅威2026から。無料のPDFをダウンロードして、次の全体ミーティングで使ってみてください。
バックアップ・サイバー保険・対応マニュアルを点検する
あなぶきハウジングの事例から。被害が長期化することを前提に、この3点セットを今一度確認しておきましょう。
どれも難しいことではありません。まず一つだけ、今週中に動いてみてください。