Written by WizLANSCOPE編集部
2026年3月は、2月に引き続きランサムウェア攻撃や内部不正など、さまざまなセキュリティインシデントが公表されました。
なかでも、フィッシングメールによる被害や、不正アクセスを起点としてに大量のフィッシングメールが送信される事案が多数確認されています。
本記事では、3月に報道された主なインシデントや政府・業界の動向を整理し、今後のセキュリティ対策に役立つ情報を提供します。
従業員教育に使えるテスト付き!
LANSCOPEで実践する必須セキュリティ
2025年下半期のインシデント事例をもとに、LANSCOPEで実践できる「インシデントを起こさせない」ための必須セキュリティを紹介します。
主なマルウェア・不正アクセスによるインシデント
フィッシングメールを起因とする被害
不動産事業企業:フィッシングメールを起因とした不正アクセス
2025年12月18日、ある不動産事業グループにおいて、役員を装ったフィッシングメールにより従業員情報の一部が不正に取得されたことが判明しました。対象は、グループ各社に在籍していた従業員(退職者を含む)約1,360名分とされています。
漏洩した情報には、所属会社名、社員コード、氏名、入社年月日、所属部署、業務用メールアドレスなどが含まれます。一方で、住所や電話番号、クレジットカード情報などは含まれていません。
現時点で、情報の悪用などの直接的な被害は確認されていませんが、不審な連絡への注意が呼びかけられています。
当該企業では、関係機関への報告および事実関係の調査を進めるとともに、対象者への連絡やセキュリティ対策の強化など、再発防止に向けた対応が進められています。 [1]
工業系メーカー:フィッシングメール経由で不正アクセス発生
2025年9月25日、ある工業系メーカーにおいて不正アクセスが発生し、社内で保管されていた個人情報などが漏洩した可能性があることが判明しました。
本件は、社員がフィッシングメールをクリックしたことにより、メールアカウントへの不正ログインが発生したことが発端とされています。
漏洩の可能性がある情報には、社員のメールアドレスのほか、取引先の氏名やメールアドレスなどが含まれます。一方で、クレジットカード情報については、当該企業では取得しておらず、漏洩は発生していないと公表されています。
なお、現時点では、情報の外部公開や不正利用などの二次被害は確認されていません。
当該企業では、警察および個人情報保護委員会への報告や外部専門会社による調査を実施しています。また、対象者への連絡を行うとともに、多要素認証の導入やセキュリティ教育の強化など、再発防止策が進められています。 [2]
不正アクセスによるフィッシングメールの送信
不動産テック企業:AWSアカウントへの不正アクセスによるフィッシングメール送信
2026年2月23日、ある不動産テック企業において管理していたシステムが第三者による不正アクセスを受け、メール送信サービスが悪用される事案が発生しました。
本事案では、不正に取得された認証情報が悪用され、これにより約17万6,000件のフィッシングメールが主に海外の個人宛に送信されています。
調査の結果、データベースへの不正アクセスや個人情報・物件情報の漏洩は発生していないことが確認されており、影響は特定のサービスに限定されています。
当該企業では、本件について謝罪するとともに、セキュリティ体制の見直しおよび強化を進め、再発防止に取り組む方針を示しています。 [3]
海外生活支援サービス企業:APIキーの外部流出によるフィッシングメール送信
2026年3月8日、ある海外生活支援サービス企業において、外部メール配信サービスで使用していたAPIキーが第三者に不正取得される事案が発生しました。これにより、当該キーが悪用され、大量のメールが送信される事態となっています。
メールの送信は2026年3月5日から7日にかけて行われ、約14万件のフィッシングメールが外部の受信者に送信されたとみられます。
送信されたメールは、不正なWebサイトへ誘導し個人情報の入力を促す内容であり、企業の意図によるものではありません。なお、現時点では当該企業のサーバーへの侵入や、保有する個人情報の外部流出は確認されていません。
当該企業では、不正利用されたAPIキーの無効化や認証情報の更新などの対策を実施しています。
あわせて、原因調査および再発防止に向けたセキュリティ対策の強化を進めるとともに、受信者に対して不審なメールへの注意喚起を行っています。 [4]
行政機関:メールサーバーの不正利用によるスパムメールの送信
2026年3月20日、国の住宅補助事業に関連する事務事業者のメールサーバーが第三者に不正利用され、スパムメールが送信される事案が発生しました。
スパムメールは2026年3月18日から20日にかけて送信され、件数は最大で約20万件にのぼる可能性があります。
本事案では、2026年3月20日に不正アクセスが確認され、その後の調査によりメール送信機能が悪用されていたことが明らかになりました。なお、現時点では個人情報や非公表情報の漏洩は確認されていません。
当該行政機関では、事務事業者に対して注意喚起の実施や原因究明、再発防止策の徹底などを指導するとともに、利用者に対しても、不審なメールに記載されたURLのクリックや個人情報入力を行わないよう注意を呼びかけています。 [5]
その他
自治体:職員による個人情報の漏えい
2026年3月、ある自治体において、職員による個人情報の不適切な持ち出しが発生したことが明らかになりました。
会計年度任用職員が、住民記録システムを業務目的以外で使用し、特定の個人の住所などの情報を検索したうえで、私的な知人に伝達していたものです。
当該行為は、システムのアクセスログの確認および本人への聴取により判明しており、当該職員も事実を認めています。
自治体は対象者への説明と謝罪を行うとともに、当該職員を懲戒免職処分としました。
今後は、個人情報の取扱いに関する職員教育の徹底や、システム利用状況の確認などを通じて管理体制の強化を図り、再発防止に取り組むとしています。 [6]
金融情報メディア運営会社:役職員を装った第三者の不正送金指示による資金流出
2026年3月19日、ある情報メディア運営企業において、ビジネスチャット上で役職員を装った第三者による不正な送金指示が行われました。
この指示に基づき、約9,600万円が外部口座へ振り込まれる資金流出事案が発生しています。
本件は、既存の送金ルールに則って処理が行われたものの、チャット上のなりすまし指示に対する真正性の確認が不十分であったことなどが原因とされています。
当該企業では、金融機関への組戻し依頼や警察への相談を実施していますが、現時点で資金の回収は困難な状況とされています。
今後は、外部専門家による調査を進めるとともに、セキュリティおよび財務ガバナンスの見直しなど、再発防止に取り組むとしています。 [7]
医療機関:ランサムウェア攻撃による情報漏えい
2026年3月1日、ある医療機関においてランサムウェア被害が発生し、電子カルテシステムなどの院内システムが利用できなくなる障害が発生しました。
調査の結果、利用者やその家族、関係者の氏名、住所、電話番号、病名などの個人情報が外部に漏洩した可能性があります。
本事案では、厚生労働省の初動対応支援チームから、ダークウェブ上に当該医療機関および関連施設の利用者等とみられる個人情報のデータが公開されているとの情報提供がありました。現在も公開された情報の詳細について分析が進められています。
当該医療機関では、関係機関の支援を受けながら原因調査と対応が進められています。あわせて、二次被害の防止および再発防止に向けたセキュリティ対策の強化に取り組んでいます。 [8]
業界動向
IPA:社長等をかたる詐欺メールに注意喚起
2026年3月、IPA(独立行政法人情報処理推進機構)は「安心相談窓口だより」において、社長や役員を装った詐欺メールに関する注意喚起を行いました。
IPAの相談窓口には、2025年12月16日から2026年3月10日までの間に、ビジネスメール詐欺に関する相談が106件寄せられています。
これらのメールは、実在する経営層を装い、金銭の振込や機密情報の送付を急がせる点が特徴です。
IPAは、組織内での確認ルールの徹底や従業員への注意喚起など、基本的な対策の重要性を呼びかけています。 [9]
IPA:「ASM診断および事例集作成業務」報告書の公表
2026年3月、IPA(独立行政法人情報処理推進機構)は、中小企業におけるサイバーセキュリティ対策強化を目的として、ASM(Attack Surface Management)を活用した診断および事例集を公表しました。
近年、中小企業もサプライチェーンの一部としてサイバー攻撃の標的となっており、経営上の重要なリスクとなっています。
本取り組みでは、126社の中小企業に対してASM診断を実施した結果、すべての企業で何らかの脆弱性が確認されました。また、アンケートやヒアリング調査を通じて、対策の課題や実態の分析が行われています。
さらに、これらの調査結果を基に、脆弱性事例・被害事例・取組事例など計30件の事例が整理され、中小企業が直面しやすいリスクや具体的な対策について分かりやすくまとめられています。
これにより、セキュリティ対策の検討や社内教育、経営層への説明などへの活用が期待されています。 [10]
警察庁:令和7年サイバー空間をめぐる脅威の情勢について公表
2026年3月、警察庁は「令和7年におけるサイバー空間をめぐる脅威の情勢等について」を公表しました。
本レポートでは、2025年に発生したサイバー犯罪やサイバー攻撃について、事例や統計データを基に分析が行われており、サイバー空間における脅威の現状や警察の取組について理解を深めるための資料と位置付けられています。 [11]
[1] 個人データ漏えいに関するお詫びとお知らせ(2026/3/6)‐株式会社マリモホールディングス‐
[2] 不正アクセスによる個人情報等の漏えいのおそれに関するお詫びとお知らせ(2026/3/20)‐サクラ工業株式会社‐
[3] 【重要】不正アクセスに関するご報告(現在、調査継続中)
(2026/2/28)-トグルホールディングス株式会社-
【重要】不正アクセスに関するご報告(調査完了)(2026/3/3)
[4] メール不正送信に関するお詫びとご報告(2026/3/9)‐株式会社 SaveExpats‐
[5] 「子育てエコホーム支援事業(令和5年度補正事業)」の事務事業者が利用するサーバーの不正利用によるスパムメールについて
(2026/3/24)‐国土交通省‐
[6] 本市職員による個人情報の漏えいについて
(2026/3/11)‐二本松市‐
[7] 資金流出事案の発生に関するお知らせ(2026/3/27)‐株式会社ZUU‐
[8] 白梅豊岡病院へのサイバー攻撃による個人情報漏洩に関するご報告とお詫び
(2026/3/3)‐白梅豊岡病院‐
白梅豊岡病院へのサイバー攻撃による個人情報漏洩に関するご報告とお詫び(第2報)
(2026/3/4)
白梅豊岡病院へのサイバー攻撃による個人情報漏洩に関するご報告とお詫び(第3報)
(2026/3/6)
白梅豊岡病院へのサイバー攻撃による個人情報漏洩に関するご報告とお詫び(第4報)
(2026/3/26)
[9] 社長等をかたる詐欺メールに注意!
(2025/3/12)‐独立行政法人情報処理推進機構‐
[10] 「ASM診断および事例集作成業務」報告書について
(2026/3/27)‐独立行政法人情報処理推進機構‐
[11] 令和7年における サイバー空間をめぐる脅威の情勢等について
(2026/3/12)‐警察庁‐
最後に
本記事は、2026年3月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただく一助となれば幸いです。
従業員教育に使えるテスト付き!
LANSCOPEで実践する必須セキュリティ
2025年下半期のインシデント事例をもとに、LANSCOPEで実践できる「インシデントを起こさせない」ための必須セキュリティを紹介します。
