サイバー攻撃

サポート詐欺の被害が増加
~2026年5月の気になるセキュリティニュース~

Written by WizLANSCOPE編集部

サポート詐欺の被害が増加<br>~2026年5月の気になるセキュリティニュース~

2026年5月は、4月に引き続き不正アクセスや内部不正による情報持ち出しなど、さまざまなセキュリティインシデントが公表されました。

なかでも、偽の警告画面を用いて利用者をだまし、金銭の送金や情報の窃取を行う「サポート詐欺」による被害が多数報告されました。

本記事では、5月に報道された主なインシデントや政府・業界の動向を整理し、今後のセキュリティ対策に役立つ情報を提供します。

 
 

  

 
  

   

従業員教育に使えるテスト付き!
LANSCOPEで実践する必須セキュリティ

 
   

2025年下半期のインシデント事例をもとに、LANSCOPEで実践できる「インシデントを起こさせない」ための必須セキュリティを紹介します。

   

資料をダウンロードする

  

 

主なセキュリティインシデント

サポート詐欺による被害

教育機関:サポート詐欺による約1,000万円の不正送金被害の発生

2026年5月29日、ある市立中学校において、インターネット詐欺の被害により、学校の法人用ネットバンキングの口座から約1,000万円が不正送金される事案が発生しました。

調査の結果、職員が業務中にMicrosoftを装った偽の警告画面を表示され、画面に記載された電話番号へ連絡した後、相手の指示に従って遠隔操作ソフトによるパソコンへのアクセスを許可したことが原因とされています。

攻撃者は遠隔操作機能を利用してパソコンを操作し、学校の法人用ネットバンキング口座にアクセスしたとみられます。一方、クラウドサーバーへのアクセス履歴などを調査した結果、現時点では生徒情報の流出やファイルの不正取得を示す痕跡は確認されていません。

市および教育委員会は、警察と連携して被害の詳細や原因の調査を進めるとともに、情報セキュリティ対策や職員研修の強化など、再発防止に向けた取り組みを進めています。 [1]

医療機関:サポート詐欺による個人情報の漏洩事案

2026年5月25日、ある病院において、看護師が院内規程に反して患者情報を保存していた個人所有のパソコンがサポート詐欺の被害に遭い、患者1,365人分の個人情報が外部へ漏洩した可能性があることが判明しました。

看護師は自宅でWebサイトを閲覧中、パソコンに表示された警告画面をきっかけに表示先へ連絡し、指示に従って操作した結果、第三者による不正アクセスおよび遠隔操作を受けました。
その後、身に覚えのないクレジットカードの請求や携帯電話アカウントの変更通知が届いたことから、被害が発覚しました。

漏洩の可能性がある情報には、患者の氏名、性別、生年月日、患者ID、病名、転帰、入退院日、検査データなどが含まれています。一方、現時点では病院の医療情報システムへの影響も確認されていません。

当該病院では、対象患者への説明や相談窓口の設置を進めるとともに、個人情報保護に関する職員教育の徹底や再発防止策の強化に取り組むとしています。 [2]

教育機関:不正アクセスによる遠隔操作

2026年5月25日、ある大学において、事務職員が使用するパソコンが不正アクセスを受け、パソコン内に保存されていた個人情報が漏洩した可能性があることが判明しました。

職員は、学内ネットワークに接続されたパソコンでファイル共有サービスを利用中、偽の警告画面に誘導されてファイルを実行した結果、第三者による遠隔操作を受けたとされています。

漏洩の可能性がある情報には、教員57名分の氏名、生年月日、前職、採用・退職日のほか、学生等8名分の氏名、学籍番号、携帯電話番号、メールアドレスなどの個人情報が含まれています。

大学では、引き続き影響範囲の調査を進めるとともに、対象となる教員および学生への説明と謝罪を実施するほか、警察への情報提供や情報セキュリティ教育の実施、システム上のセキュリティ対策強化など、再発防止に向けた取り組みを進めるとしています。 [3]

不正アクセス

ホテル運営グループ:宿泊予約サービスへの不正アクセスによる約900万円の不正送金被害

2026年5月23日、外部宿泊予約サービスのグループアカウントが第三者による不正アクセスを受ける事案が発生しました。

調査の結果、同社グループが運営する複数のホテルで、売上金受領口座の情報が不正に改ざんされていたことが判明しました。このうち1つのホテルでは本来受領すべき売掛金の一部が不正な口座へ送金され、約900万円の損失が発生しています。

また、一部ホテルでは宿泊予約者に対するフィッシングメッセージの送信も確認されており、宿泊予約サービスの管理画面への不正アクセスによって取得された情報が悪用された可能性があるとして、原因や影響範囲の調査が進められています。

同社では、全ホテルを対象に宿泊予約サービスおよび関連システムのパスワード変更やアクセスログの調査、被害拡大防止措置などを実施するとともに、関係機関や宿泊予約サービス運営会社と連携して対応を進めています。 [4]

音楽関連企業:ECサイトへの不正アクセスによる約310万件の個人情報漏洩

2026年5月18日、ある音楽関連企業は2025年10月に発生した同社運営のECサイトに対する不正アクセス事案について、調査結果を公表しました。

外部専門機関の協力のもと調査を実施した結果、顧客情報が外部へ流出していたことが確認されました。

漏洩が確認された情報は約310万件にのぼり、氏名、住所、電話番号、メールアドレスのほか、一部の購入履歴や配送先・請求先情報として登録されていた生年月日や性別などが含まれています。

同社では、対象者への通知を進めるとともに、再発防止に向けてシステムの監視強化やセキュリティ対策の見直しを進めるとしています。 [5]

教育機関:サーバーへの不正アクセス

2026年4月16日、ある大学において管理サーバーへの不正アクセスが確認されました。

その後の調査により、大学病院の治験業務に関する資料を保管していたNAS(ネットワーク接続型ストレージ)も不正アクセスを受け、患者の個人情報等などが漏洩した可能性があることが判明しました。

同大学では、被害拡大防止のため、一部業務システムのパスワードリセットや学内ネットワークの一部切り離しを実施したほか、不正アクセスを受けたNASをネットワークから遮断するなどの対応を行いました。 [6]

その他

音楽メディア運営会社:元従業員による取引先個人情報の不正持ち出し

2026年3月、ある音楽メディア運営会社において、退職予定の元従業員が職務上の必要性がないにもかかわらず、業務用クラウドサービスから多数のファイルをダウンロードし、個人所有のUSBメモリに保存して社外へ持ち出していたことが判明しました。

元従業員は事実を認めており、当該USBメモリは既に回収されています。

持ち出された情報には、取引先関係者約1,000名分の氏名、勤務先企業名、所属部署、電話番号、メールアドレス、事業場住所などの個人情報が含まれていました。

なお、一般消費者向けサービス利用者の個人情報は含まれていなかったことが確認されています。

同社は、個人情報保護委員会への報告を行うとともに、アクセス権限の厳格化や外部デバイスへのデータ持ち出し制御の強化、ログ監視体制の強化、従業員への情報セキュリティ教育の徹底など、再発防止策に向けた取り組みを進めています。 [7]

転職サイト運営会社:リスト型攻撃による不正アクセス

2026年5月、ある転職サイトのスマートフォンアプリにおいて、第三者による不正アクセスが発生し、会員の個人情報が閲覧された可能性があることが判明しました。

調査の結果、外部から取得した認証情報を悪用する「リスト型攻撃」によって不正ログインが行われた可能性が高いとされています。

2026年5月26日から28日にかけて、約114万件の不正ログイン試行が確認され、このうち3万8,442件のアカウントで不正ログインが成立しました。その後、一部の会員情報ページが閲覧された可能性があるとしています。
運営会社では、不正アクセスの発覚後、外部からのアクセスを遮断するとともに、全会員を対象とした強制ログアウトを実施しました。

また、不正ログインが確認されたアカウントについてはパスワードを初期化し、利用者に対して再設定を呼びかけています。 [8]

音楽・楽譜関連企業:ランサムウェア被害による一時的な業務停止の影響

2026年5月、ある音楽・楽譜関連企業において、ランサムウェアによる被害が発生し、サーバー障害およびサービス停止の影響が生じました。
その後、2026年5月18日までに発注システムの復旧が完了し、一部を除く取引先との通常運用を再開しました。さらに、2026年6月5日時点では、主要な発注機能や在庫管理機能などのが復旧が完了し、順次サービスの利用を再開しています。

同社は外部のセキュリティ専門会社と連携しながら、原因調査や被害範囲の確認を進めるとともに、システム復旧および再発防止に向けた対応を進めています。 [9]

業界動向

フィッシング対策協議会:4月のフィッシング報告状況を公表

2026年5月、フィッシング対策協議会は、2026年4月のフィッシング報告状況を公表しました。

4月のフィッシング報告件数は 15万1,112 件で、前月から 2万8,731 件(約 23.5 %)増加しました。

SMS からフィッシングサイトへ誘導する 「スミッシング」の報告が増えており、特に偽の請求メールから PayPay の決済画面へ誘導し、不正な送金を行わせる手口が多く確認されています。

同協議会は、メールや SMS に記載されたリンクから、キャッシュレス決済サービスの決済画面に誘導された場合は、手続きを中断し、送信先や請求内容を十分に確認するよう注意を呼びかけています。 [10]

JSSEC:「スマートフォン利用シーンに潜む脅威Top10 2026」を公表

2026年5月、一般社団法人日本スマートフォンセキュリティ協会は、「スマートフォン利用シーンに潜む脅威 TOP10 2026(スマホ利用10大脅威2026)」を公表しました。

投票の結果、第1位は「生成AIによるフェイク動画・音声」となり、ロマンス詐欺や投資詐欺、なりすましによる送金詐欺などへの悪用が懸念されています。

第2位は「フィッシングメール・偽メール」で、生成AIを悪用した自然な文章やリアルタイムフィッシングによる被害の拡大が懸念されています。

第3位には「QRコードを用いた詐欺(クイッシング)」が挙げられ、偽サイトへ誘導されるリスクが指摘されています。
同協会は、これらの脅威への対策は利用者の注意だけでは限界があるとし、、SNS事業者や金融機関、決済サービス事業者、EC事業者などに対して、なりすまし対策の強化やフィッシング耐性の高い認証方式の導入、不正利用の検知強化、QRコード利用時の安全設計など、多層的なセキュリティ対策の実施を求めています。 [11]

【出典】
[1] 相良中学校におけるインターネット詐欺被害について
 (2026/6/1)‐牧之原市役所‐

[2] 個人情報漏洩に関するご報告とお詫び
 (2026/6/3)‐藤田医科大学病院‐

[3] 不正アクセスによる個人情報漏洩の恐れに関するお知らせ
 (2026/5/26)-北九州市立大学-

[4] 不正アクセス(Booking.comアカウント)に関するお知らせ
 (2026/5/28)‐ポラリス・ホールディングス株式会社‐

[5] ECサイトにおける不正アクセスに関する調査結果のお知らせとお詫び
 (2026/5/18)‐ユニバーサルミュージック合同会社‐

[6] 本学への不正アクセスについてのご報告とお詫び
 (2026/5/1)‐東北大学‐

[7] お取引様の個人情報に関するお知らせ
 (2026/5/11)‐株式会社ロッキング・オン・ジャパン‐

[8] 転職サイト『女の転職 type』における不正アクセス発生による お客様の個人情報流出の可能性のお知らせとお詫びについて
 (2026/5/30)‐株式会社キャリアデザインセンター‐

[9] 【全お取引先さまへ】システム障害およびランサムウェア被害に関するご報告
 (2026/5/18)‐株式会社松沢書店‐

 【お取引先出版社様へ】弊社受発注システム障害(ランサムウェア感染)に関する進捗状況のご報告
 (5月27日8時時点)(2026/5/27)

 【お取引先小売店様へ】「楽譜ナビ・注文くん」サービス一部再開について
 (6月5日13時時点)(2026/6/5)

[10] 2026/04 フィッシング報告状況
 (2026/5/21)‐フィッシング対策協議会‐

[11] JSSEC『スマートフォン利用シーンに潜む脅威 Top10 2026』を公開
 (2026/5/18)‐一般社団法人日本スマートフォンセキュリティ協会‐

最後に

本記事は、2026年5月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただく一助となれば幸いです。

 
 

  

 
  

   

従業員教育に使えるテスト付き!
LANSCOPEで実践する必須セキュリティ

 
   

2025年下半期のインシデント事例をもとに、LANSCOPEで実践できる「インシデントを起こさせない」ための必須セキュリティを紹介します。

   

資料をダウンロードする