学ぶべきセキュリティインシデント一覧|2016年〜2026年の主要事例と教訓
セキュリティインシデントを調べると、情報漏えい、ランサムウェア、クラウド設定、サプライチェーン攻撃、開発基盤の侵害など、種類が多くて整理しにくくなります。そこで本記事では、2016年5月から2026年5月2日現在までの約10年で、公開情報から確認できる社会的影響の大きい主要事例を一覧化します。
公開日は2025年12月ですが、直近の追加事例を反映するため2026年5月2日に更新しています。個別の被害人数や金額は後続調査で変わることがあるため、細かい数値の暗記よりも、攻撃経路、影響範囲、業務停止の有無、再発防止の観点を押さえることを重視してください。
短い結論は、学ぶべきセキュリティインシデントは「何件漏えいしたか」だけでなく、「どの入口から入り、どの業務に波及し、どの統制が効かなかったか」で読むべき だということです。とくに近年は、単一企業の境界防御だけでは完結しない、SaaS、委託先、開発リポジトリ、認証情報を起点にした事案が目立ちます。
本記事のポイント
- 主要インシデントは、情報漏えいだけでなく、業務停止、サプライチェーン、開発基盤、クラウド認証の問題として見る必要がある。
- 2016年以降の流れは、マルウェアの大規模拡散から、ランサムウェア、SaaS連携、ID侵害、ソースコード管理基盤へ広がっている。
- 事例一覧は恐怖を煽るためではなく、自社のパッチ管理、委託先管理、認証情報、復旧手順を点検する材料として使うべきである。
この記事で扱うテーマ
このページで答える質問
- 学ぶべきセキュリティインシデントの主要事例は何か?
- 2016年から2026年までのセキュリティインシデントにはどんな傾向があるか?
- 企業は過去のセキュリティインシデントから何を学ぶべきか?
- マネーフォワードのGitHub不正アクセス事案は一覧に入れるべきか?
学ぶべきセキュリティインシデント一覧
以下は全件網羅ではありません。社会的影響が大きく、企業のセキュリティ体制を見直す材料になりやすい事例に絞っています。社内の教育資料に使う場合は、まず「自社に同じ入口があるか」「止まる業務は何か」「検知と復旧の責任者は誰か」を横に書き足すと、単なるニュース年表で終わりにくくなります。
| 年月 | 対象・名称 | 種別 | 概要と学ぶべき点 |
|---|---|---|---|
| 2016年6月 | JTB / i.JTB | 標的型メール・情報漏えい | 約793万人分の個人情報が流出した可能性が公表された事案。標的型メールから顧客情報へ到達されるリスクを、教育だけでなく権限分離と検知で抑える必要がある。 |
| 2016年10月 | Dyn / Mirai | IoTボットネット・DDoS | IoT機器を悪用したボットネットにより、大規模なインターネット障害が発生。自社が攻撃対象でなくても、DNSや外部基盤の停止でサービスが止まることを示した。 |
| 2017年5月 | WannaCry | ランサムウェア・ワーム | 世界的に拡散したランサムウェア。既知脆弱性のパッチ未適用、古い端末、ネットワーク分離不足が被害拡大につながる典型例である。 |
| 2017年6月 | NotPetya | 破壊型マルウェア | ウクライナを起点に世界へ波及し、物流や製造を含む企業活動に大きな損害を与えた。ランサムウェアに見えても、復旧不能な破壊を目的にする攻撃がある。 |
| 2017年9月 | Equifax | 個人情報漏えい | 米信用情報会社で約1億4,700万人分の個人情報が影響。信用情報のような高価値データを扱う組織では、脆弱性管理の遅れが社会的信用の毀損に直結する。 |
| 2019年7月 | 7pay | 不正アクセス・決済被害 | 不正利用被害によりサービス終了へ至った決済事案。本人確認、パスワード再設定、決済上限、不正検知をサービス開始前に設計する重要性を示した。 |
| 2020年12月 | SolarWinds Orion | ソフトウェアサプライチェーン攻撃 | 正規ソフトウェア更新に悪性コードが混入し、米政府機関や大企業へ波及。信頼している更新経路そのものが侵害されるリスクを代表する事例である。 |
| 2021年3月 | Microsoft Exchange Server | ゼロデイ脆弱性悪用 | オンプレミス版Exchangeの複数脆弱性が悪用された。境界に置かれるメール基盤は攻撃対象になりやすく、緊急パッチ適用と侵害調査をセットで考える必要がある。 |
| 2021年5月 | Colonial Pipeline | ランサムウェア・重要インフラ | 米燃料パイプラインの運営に影響し、社会インフラの供給不安につながった。IT側の侵害がOTや事業継続判断へ波及することを示した。 |
| 2021年7月 | Kaseya VSA | サプライチェーン型ランサムウェア | MSP向け管理ソフトを経由して多数の顧客企業に影響。運用代行ツールやリモート管理ツールは、便利なほど侵害時の波及範囲も大きくなる。 |
| 2021年12月 | Log4Shell / Apache Log4j | OSS脆弱性・RCE | 広く使われるJavaログライブラリの重大脆弱性。自社開発だけでなく、製品、委託先、組み込みライブラリまで含めたSBOM的な把握が必要になった。 |
| 2022年2月 | トヨタ / 小島プレス工業 | サプライヤー起点の業務停止 | 仕入先へのサイバー攻撃により、トヨタ国内全工場が一時停止。自社の防御が強くても、サプライヤーの停止が生産計画を止めることを示した。 |
| 2022年8月 | Twilio | スミッシング・認証情報窃取 | 従業員を狙ったSMSフィッシングにより一部顧客データへ不正アクセス。MFAがあっても、認証情報とセッション、管理者権限の扱いを見直す必要がある。 |
| 2022年10月 | Medibank | 個人情報・医療情報流出 | 豪医療保険大手で約970万人分の顧客情報が影響。医療情報は漏えい時の心理的・社会的被害が大きく、データ恐喝への備えが重要になる。 |
| 2022年12月 | LastPass | クラウド保管データ侵害 | パスワード管理サービスの保管データが侵害された事案。暗号化されていても、マスター管理、メタデータ、再利用パスワードのリスクは残る。 |
| 2023年5〜6月 | MOVEit Transfer / CL0P | ゼロデイ悪用・大規模情報窃取 | ファイル転送製品の脆弱性が悪用され、多数組織でデータ窃取が発生。外部公開された転送基盤と委託先経由のデータ共有は重点監視対象になる。 |
| 2023年9月 | MGM Resorts | 業務停止・不正アクセス | ホテル・カジノ運営に大きな影響が出た事案。顧客対応、予約、決済、現場運営が連動する企業では、IT停止が即座に売上と現場混乱へつながる。 |
| 2023年10月 | 23andMe | クレデンシャルスタッフィング | 直接侵害されたアカウント数に加え、共有機能経由で広い範囲に影響。パスワード再利用と、ユーザー間共有機能の設計リスクを示した。 |
| 2024年2月 | Change Healthcare | ランサムウェア・医療インフラ | 米医療決済・請求インフラが大規模停止。単一ベンダーへの依存が医療機関、薬局、患者まで波及する重要インフラ型の事例である。 |
| 2024年3月 | XZ Utils | OSSサプライチェーン・バックドア | Linux系で使われる圧縮ライブラリの一部に悪性コードが混入。未然に広範被害は回避されたが、OSSメンテナンス体制と信頼の問題を突きつけた。 |
| 2024年6月 | KADOKAWA / ドワンゴ | ランサムウェア・情報漏えい・サービス停止 | グループ全体で大規模障害とサービス停止が発生。メディア、会員サービス、社内業務の復旧優先順位を事前に決めておく必要がある。 |
| 2024年6〜7月 | Snowflake顧客環境 / AT&T等 | クラウドDWH顧客環境からの情報窃取 | 顧客側の認証情報や設定を狙ったデータ窃取キャンペーンが報告された。クラウドサービス本体の侵害ではなくても、顧客環境のID管理が弱いと被害は起きる。 |
| 2024年7月 | CrowdStrike更新障害 | セキュリティ製品起因の大規模IT障害 | 攻撃ではないが、セキュリティ製品の更新により世界的なWindows障害が発生。防御製品も可用性リスクになり得るため、段階展開と復旧手順が重要である。 |
| 2025年2月 | Bybit | 暗号資産窃取 | FBIは北朝鮮関連アクターによる約15億ドル相当の暗号資産窃取を公表。高額資産を扱う領域では、署名、承認、ウォレット運用の分離が重要になる。 |
| 2025年5月 | Marks & Spencer | サイバー攻撃・小売業務停止 | 顧客データの一部窃取とオンライン販売などへの長期影響が公表された。小売では、EC、在庫、店舗運営、顧客対応が同時に止まる前提で復旧計画を作る必要がある。 |
| 2025年6月 | Aflac | 不正アクセス・保険/医療情報リスク | 請求情報、健康情報、社会保障番号などが含まれ得るファイルが影響対象とされた。保険領域では本人確認情報と健康情報の組み合わせが高リスクになる。 |
| 2025年7月 | Qantas | 顧客情報漏えい | 豪航空大手で顧客データが影響したと報じられた。航空・旅行領域では、予約、会員情報、問い合わせ窓口の認証が広い顧客接点を持つ。 |
| 2025年9月 | Jaguar Land Rover | サイバー攻撃・生産停止 | サイバーインシデントにより生産停止が長期化。自動車製造では、工場、部品供給、販売、金融、物流が連鎖するため、停止期間の長さが損害を大きくする。 |
| 2026年5月 | マネーフォワード / GitHub不正アクセス | 認証情報漏えい・リポジトリコピー・ソースコード流出可能性 | GitHub認証情報の漏えいにより第三者がリポジトリをコピー。ソースコードと一部個人情報の流出可能性、認証キー再発行、銀行口座連携の一時停止が公表され、開発基盤とシークレット管理の重要性を示した。 |
年代別に見る大きな流れ
2016年から2017年は、標的型メール、IoTボットネット、ワーム型ランサムウェア、未適用パッチが大きなテーマでした。WannaCryやNotPetyaは、既知脆弱性への対応遅れとネットワーク分離不足が、短時間で世界規模の被害へ変わることを示しています。
2020年から2021年は、SolarWinds、Kaseya、Log4Shellのように、ソフトウェア更新、運用管理ツール、OSSライブラリが攻撃や影響拡大の経路になりました。これは、社内の端末だけを守ればよいという考え方では足りず、利用している製品、委託先、ライブラリ、更新経路まで含めて管理する必要があるという転換点です。
2022年以降は、SaaS、クラウド、ID、認証情報、データ恐喝、業務停止の比重が上がっています。Twilio、Snowflake顧客環境、マネーフォワードのGitHub不正アクセスのように、侵入口は「社内サーバー」だけではありません。SaaSアカウント、APIキー、リポジトリ、管理ツール、顧客サポート窓口が、同じように重要な攻撃面になります。
企業が事例から学ぶべき5つの観点
事例一覧を見るときは、被害規模の大きさだけで優先順位を決めない方が実務的です。自社に近い業務、同じような委託構造、同じようなSaaS利用、同じような権限設計があるかを見てください。AIや新しい開発ツールを使う企業では、防御向けサイバーセキュリティAIの使い方だけでなく、AIに渡す情報やリポジトリ権限の管理も点検対象になります。
- パッチ管理:WannaCry、Exchange、Log4Shellのような事例では、脆弱性情報を知ってから適用するまでの時間が被害を左右します。
- IDと認証情報:Twilio、Snowflake顧客環境、マネーフォワードの事案では、認証情報や権限の扱いが重要な論点になります。
- サプライチェーン:SolarWinds、Kaseya、トヨタ関連事案、XZ Utilsは、委託先や利用製品の信頼をどう管理するかを問う事例です。
- 業務停止への備え:Colonial Pipeline、MGM、KADOKAWA、Marks & Spencer、Jaguar Land Roverは、復旧順序と代替運用が事業継続に直結することを示しています。
- データ分類:Equifax、Medibank、23andMe、Change Healthcare、Aflacは、個人情報の中でも信用情報、医療情報、遺伝情報、保険情報の重みが違うことを示しています。
この5観点は、セキュリティ部門だけでなく、営業、マーケティング、CS、開発、法務、広報が共有すべき確認軸です。とくに顧客データをCRMやSaaSへ集約している場合は、Google Driveの監査ログのような日常的な証跡確認も、インシデント時の初動を速くする材料になります。
事例一覧を社内教育に使うときの整理方法
社内教育でこの一覧を使う場合、ニュースの詳細説明だけを並べると、受講者は「大企業の話」として受け取りがちです。自社の業務に引き寄せるには、各事例を次の5項目に変換してください。
| 変換する項目 | 見るポイント | 問いの例 |
|---|---|---|
| 侵入口 | メール、VPN、SaaS、委託先、OSS、開発基盤など | 自社にも同じ入口があるか |
| 影響範囲 | 顧客情報、決済、医療情報、工場、EC、社内業務など | 止まったときに誰が困るか |
| 検知 | ログ、アラート、外部通報、顧客問い合わせなど | 何を見れば早く気づけるか |
| 初動 | 遮断、無効化、パッチ、復旧、顧客連絡、当局報告など | 最初の24時間で誰が何を判断するか |
| 再発防止 | 権限、MFA、バックアップ、委託先管理、運用ルールなど | 明日から変えられる統制は何か |
AIエージェントや自動化を業務に入れる企業では、人が承認すべき境界も明確にする必要があります。高リスクな操作を完全自動化せず、human in the loop を設計しておくと、誤操作や権限過多による事故を抑えやすくなります。
マネーフォワードのGitHub不正アクセスを一覧に入れる理由
2026年5月1日にマネーフォワードが公表したGitHub不正アクセス事案は、一覧に入れる価値があります。理由は、単なるGitHubアカウント侵害ではなく、認証情報漏えい、リポジトリコピー、ソースコード流出可能性、コード内の認証キー・パスワード無効化と再発行、一部サービス機能の一時停止まで含むからです。
同社の公表では、マネーフォワードケッサイの「マネーフォワード ビジネスカード」に関わる370件のカード保持者名とカード番号下4桁が、流出した可能性のある個人情報として示されています。一方で、カード番号全桁、有効期限、CVV、本番データベースからの情報漏えい、不正利用被害は、第一報時点で確認されていないと説明されています。
この事例から学ぶべき点は、ソースコード管理基盤が単なる開発者向けツールではなく、事業継続、金融機関連携、顧客説明、シークレット再発行に直結する重要基盤だということです。開発組織では、リポジトリ権限、個人アクセストークン、CI/CDシークレット、コード内のサンプルデータ、退職者アカウント、監査ログを定期的に確認する必要があります。
主な参照元
本記事の事例は、企業発表、政府機関、規制当局、主要報道などの公開情報をもとに整理しています。詳細な事実確認が必要な場合は、各事例の一次情報または公式発表を確認してください。
- JTB / i.JTB: NTTドコモ 報道発表資料
- Dyn / Mirai: U.S. Department of Justice
- WannaCry: CISA alert
- NotPetya: The White House statement
- Equifax: FTC Equifax Data Breach Settlement
- 7pay: Nippon.com Timeline for July 2019
- SolarWinds: SolarWinds security advisory
- Microsoft Exchange Server: Microsoft Security Blog
- Colonial Pipeline: CISA retrospective
- Kaseya VSA: CISA alert
- Log4Shell: FTC Log4j warning
- トヨタ / 小島プレス工業: Reuters report
- Twilio: Twilio インシデント報告
- Medibank: Medibank cybercrime update
- LastPass: LastPass Notice of Security Incident
- MOVEit Transfer / CL0P: CISA advisory AA23-158A
- MGM Resorts: SEC exhibit statement
- 23andMe: 23andMe Addressing Data Security Concerns
- Change Healthcare: UnitedHealth Group update
- XZ Utils: CISA alert CVE-2024-3094
- KADOKAWA / ドワンゴ: KADOKAWAグループ システム障害関連
- Snowflake顧客環境: Google Cloud Threat Intelligence
- CrowdStrike更新障害: CISA alert
- Bybit: FBI IC3 Public Service Announcement
- Marks & Spencer: Marks & Spencer Cyber Update
- Aflac: Aflac cybersecurity incident disclosure
- Qantas: Reuters report
- Jaguar Land Rover: Jaguar Land Rover statement
- マネーフォワード: 『GitHub』への不正アクセス発生に関するお知らせとお詫び(第一報)
よくある質問
この一覧は全てのセキュリティインシデントを網羅していますか?
網羅ではありません。2016年5月から2026年5月2日現在までの約10年で、公開情報から確認でき、社会的影響や学習価値が大きい事例に絞っています。
公開日が2025年12月なのに、2026年5月の事例が入っているのはなぜですか?
この記事は2025年12月公開、2026年5月2日更新という扱いです。直近のマネーフォワード事案を反映するため、更新日を明示して追記しています。
日本企業の事例だけに絞るべきですか?
社内教育では日本企業の事例が伝わりやすい一方、SolarWinds、Log4Shell、MOVEit、Snowflakeのようなグローバル事案は、日本企業にも同じ構造で影響し得ます。国内外を混ぜて見る方が、委託先やSaaS利用のリスクを理解しやすくなります。
自社で最初に見直すべき対策は何ですか?
まずはMFA、管理者権限、外部公開システムのパッチ、バックアップ復旧、委託先とSaaSの権限棚卸しを確認してください。すべてを一度に高度化するより、侵入口と復旧不能リスクを先に減らす方が実務的です。
