2026/04/25の日本関連セキュリティ動向

2026/04/25の日本関連セキュリティ動向

リード

2026/04/25は、土曜日で新規の一次公表は限定的だったが、CAMPFIRE不正アクセスの影響がJFAクラウドファンディング支援者へ波及した点が日本国内の主要動向である。加えて、前日までに公表された2りんかん会員サーバ侵害、キャネット系マイページ侵害、医療機関の電子カルテ停止、中国関連攻撃基盤の共同注意喚起は、25日時点でも日本の実務者が継続して見るべき案件だった。全体として、開発基盤、会員DB、マイページ、医療システム、エッジ機器、委託・外部サービス利用の境界が同時に攻撃面化している。

主要トレンド

1. CAMPFIRE事案が利用団体・支援者へ波及

JFAは4月25日、利用していたクラウドファンディングサービス「CAMPFIRE」の不正アクセスに伴い、JFAクラウドファンディング支援者にも個人情報漏えいの可能性があるとして注意喚起した。プラットフォーム侵害が、利用団体の支援者・会員・寄付者対応へ波及する典型例である。

2. 会員制サービスの認証情報・属性情報漏えいが継続監視対象

2りんかんでは、会員専用サーバへの不正アクセスにより、氏名、住所、電話番号、生年月日、メールアドレス、会員番号、ポイント残高、アプリユーザーID、アプリパスワード、車両情報等の漏えい可能性が公表された。認証情報と趣味・車両属性が結びつくため、二次フィッシングやなりすましに使われやすい。

3. 医療・金融・消費者向けマイページで可用性と二次被害が焦点

市立奈良病院では電子カルテ停止により診療・救急受け入れに影響が出た。キャネット関連ではログイン情報や金融機関情報の流出が公表されており、個人向けサービスでは通知後の詐欺連絡・不正ログイン監視が重要になる。

4. 中国関連攻撃基盤とVPN認証回避脆弱性が境界防御の優先度を押し上げ

日本を含む各国機関は、中国関連攻撃者が侵害済みルータやIoT機器を攻撃基盤として使うリスクを警告した。あわせてOpenVPN向けSSO連携ツールの認証回避脆弱性も国内報道されており、休暇前の境界機器・VPN・IdP連携の点検が必要である。

重点トピック

1. JFA、CAMPFIRE不正アクセスの影響を支援者へ注意喚起

何が起きたか
JFAは4月25日、JFAクラウドファンディングで利用していたCAMPFIREにおいて、運営元の管理システムが不正アクセスを受け、サービス登録ユーザーの個人情報が外部に漏えいした可能性があるとして、支援者へお詫びと案内を公表した。

何が危険か
CAMPFIRE側の対象情報には、氏名、住所、電話番号、メールアドレス、口座情報等が含まれる可能性がある。JFA支援者に対して、クラウドファンディング、寄付、返金、本人確認、特典配送を装うメール・SMS・電話が発生する可能性がある。

侵入〜実害までの流れ
CAMPFIREのGitHub/顧客情報管理システム関連の不正アクセス → 登録ユーザー情報の漏えい可能性 → JFAなど利用団体の支援者にも影響可能性 → 不審連絡・二次詐欺への警戒、という流れである。

攻撃者の意図(分かる場合)
攻撃者属性は公表情報から断定できない。取得情報が悪用される場合、寄付者・支援者を狙う精度の高いフィッシングや本人確認詐欺が想定される。

防御側への示唆
外部プラットフォームを使う団体は、プラットフォーム事業者の侵害時に、自団体の支援者へどのように通知するかを事前に決めておく必要がある。正規連絡手段、問い合わせ窓口、注意すべき詐欺パターン、リンク付きメールの扱いを明確化すべきである。

2. 2りんかん会員サーバ侵害、車両情報を含む会員属性が漏えい可能性

何が起きたか
イエローハットグループの2りんかんイエローハットは、会員専用サーバが第三者による不正アクセスを受け、会員情報が外部へ漏えいした可能性があると公表した。対象項目には、氏名、住所、電話番号、生年月日、性別、メールアドレス、会員番号、ポイント残高、アプリユーザーID、アプリパスワード、車両情報等が含まれる。

何が危険か
アプリユーザーID・パスワードに加え、車両情報やポイント残高が含まれるため、利用者を特定した詐欺連絡や、他サービスへの資格情報再利用が懸念される。クレジットカード情報は別システム管理とされるが、認証情報の再利用リスクは残る。

侵入〜実害までの流れ
会員専用サーバへの不正アクセス → 会員情報の漏えい可能性 → 不審メール・SMS・電話、パスワード再利用攻撃、ポイント関連詐欺、という流れが想定される。

攻撃者の意図(分かる場合)
現時点で攻撃者属性は断定できない。会員DB、認証情報、属性情報を狙った情報窃取型の可能性が高い。

防御側への示唆
顧客向けアプリを持つ企業は、ログインID・パスワードの保存方式、異常ログイン検知、パスワードリセット、MFA、ログイン通知、ポイント利用監視を点検したい。趣味・車両・購買属性は、精度の高い詐欺に使われる情報として扱う必要がある。

3. 【継続監視】市立奈良病院、電子カルテ停止から見える医療BCPの重要性

何が起きたか
市立奈良病院では、サイバー攻撃とみられる異常通信を検知し、電子カルテ関連サーバをネットワークから切り離した。外来・救急受け入れは一時制限され、4月24日に再開したが、完全復旧までは段階的対応が続く。

何が危険か
医療機関では、電子カルテ停止が診療、投薬、検査、救急受け入れ、会計に直結する。情報漏えいの有無だけでなく、可用性喪失そのものが患者安全上の重大リスクである。

侵入〜実害までの流れ
異常通信検知 → 電子カルテ関連サーバ隔離 → 電子カルテ閲覧・入力停止 → 紙運用・二重チェック → 診療制限・段階的復旧、という流れである。

攻撃者の意図(分かる場合)
攻撃手法やマルウェア名は公表情報から確認できない。医療機関ではランサムウェア、VPN侵害、保守回線悪用、認証情報窃取などが一般的な警戒対象となる。

防御側への示唆
病院は電子カルテ、部門システム、検査機器、医療機器ネットワーク、ベンダー保守回線、バックアップ、紙運用手順を一体で確認したい。休暇前には、システム停止時の診療継続訓練と連絡体制確認が必須である。

4. 【継続監視】中国関連攻撃基盤とOpenVPN SSO認証回避

何が起きたか
日本を含む10カ国の機関が、中国関連攻撃者が侵害済みルータやIoT機器を秘匿型攻撃基盤として利用するリスクを警告した。また、OpenVPN向けSSO連携ツール「openvpn-auth-oauth2」では、プラグインモード利用時に認証回避が可能となるCVE-2026-41070が報じられた。

何が危険か
侵害済みSOHOルータやIoT機器を経由されると、通信元が一般回線に見え、静的ブロックリストだけでは検知が難しい。VPN認証回避は、境界から内部への初期侵入に直結し得るため、休暇前に優先的に潰す必要がある。

侵入〜実害までの流れ
エッジ機器侵害・秘匿プロキシ化 → 標的組織への認証試行・偵察 → VPN/SSO/公開サービスの脆弱性悪用 → 内部侵入・横展開、という流れが想定される。

攻撃者の意図(分かる場合)
中国関連攻撃者については、諜報・長期潜伏・攻撃元秘匿が主目的とされる。OpenVPN SSO脆弱性については、特定攻撃者の悪用までは公表情報から確認できない。

防御側への示唆
VPN、UTM、ルータ、NAS、NVR、Webカメラ、IdP連携ツールの棚卸しが必要である。通常時の通信ベースライン、管理画面露出、ファームウェア、サポート期限、SSO連携設定、脆弱バージョンを確認したい。

SOC視点

優先CVE / グループ / マルウェア

  • CVE-2026-41070: openvpn-auth-oauth2の認証回避
  • 優先脅威類型: プラットフォーム侵害、会員DB侵害、医療機関可用性攻撃、境界機器侵害、認証情報再利用
  • 優先グループ: 中国関連攻撃者による侵害済みルータ・IoT機器利用
  • マルウェア: 25日時点の主要国内案件では、特定ファミリー名は確認できない

IoC

  • 公開情報から確度高く使えるIP、ドメイン、ハッシュは限定的。
  • IoC依存ではなく、以下の挙動監視を優先する。
    • GitHub/CI/CD/顧客DBの通常外アクセス
    • 会員アプリへの大量ログイン、失敗後成功、同一IPからの複数ID試行
    • パスワードリセット、ポイント利用、登録情報変更の急増
    • 電子カルテ関連サーバの異常通信
    • VPN/SSO連携ツールの認証失敗・成功ログ不整合
    • エッジ機器の外向き通信増加、設定変更、管理ログ消去

Watchlist

  • CAMPFIRE/JFAを装うメール、SMS、返金・本人確認連絡
  • 2りんかん会員を狙うパスワード再利用攻撃
  • 顧客向けマイページ、会員アプリ、ポイント機能
  • 電子カルテ、部門システム、ベンダー保守回線
  • OpenVPN、openvpn-auth-oauth2、IdP連携
  • SOHOルータ、NAS、NVR、Webカメラ、UTM、VPN機器

監視ポイント

初期侵入 - GitHub/IdP/VPNへの通常外ログイン - 会員サイトへのクレデンシャルスタッフィング - VPN認証バイパスを疑う成功ログ - 医療ネットワークの異常通信

権限昇格・認証情報奪取 - PAT/SSH鍵/Deploy Key/Webhookの新規発行 - アプリユーザーID・パスワードの大量利用 - MFAリセット、端末登録、メール転送設定 - VPNユーザー権限変更、IdPアプリ設定変更

横展開 - CI/CDからDB・クラウドAPIへの通常外接続 - 医療系セグメント間のSMB/RDP/WinRM通信 - VPN接続後の管理セグメント到達 - エッジ機器から内部管理ネットワークへの通信

C2通信 - 電子カルテ関連サーバからの通常外外向き通信 - SOHO/IoT機器から未知SNI・短命ドメインへの通信 - 圧縮ファイル作成後の大容量アップロード - 一般回線に見える宛先との継続通信

ハンティング観点

  • 4月21日以降のGitHub/CI/CD/DBアクセスを時系列で突合
  • 会員アプリで同一IP・UAから複数アカウントへログインした履歴を抽出
  • パスワード再利用を前提に、顧客向けサービスの異常ログインを監視
  • 電子カルテ停止時の紙運用・復旧判断ログを確認
  • VPN/SSO連携ツールのバージョンとプラグインモード利用有無を確認
  • エッジ機器のファームウェア、サポート期限、管理画面露出を棚卸し

優先ログソース

  • GitHub/GitLab監査ログ
  • CI/CD、Secrets管理、クラウドIAMログ
  • DB監査ログ、アプリケーションログ
  • WAF、Webサーバ、認証ログ
  • IdP / M365 / Google Workspaceログ
  • VPN/OpenVPN/SSO連携ログ
  • 電子カルテ、医療ネットワークFirewallログ
  • ルータ、UTM、NAS、NVR、Webカメラ管理ログ
  • EDR/XDR、Proxy、DNS

ATT&CKで見るなら

  • T1190 Exploit Public-Facing Application
  • T1078 Valid Accounts
  • T1552 Unsecured Credentials
  • T1098 Account Manipulation
  • T1566 Phishing
  • T1021 Remote Services
  • T1005 Data from Local System
  • T1041 Exfiltration Over C2 Channel
  • T1486 Data Encrypted for Impact

サイバー攻撃予報(48〜72時間)

1. CAMPFIRE/JFA便乗フィッシング

支援者向けのお知らせ公表後は、返金、本人確認、支援履歴確認、特典配送を装う連絡が発生しやすい。正規サイトを直接確認し、メール本文中のリンクから認証情報や口座情報を入力しない運用が必要である。

2. 会員アプリ・マイページへの資格情報再利用攻撃

2りんかん、キャネット系のようにログイン情報が含まれる可能性がある事案では、他サービスへのクレデンシャルスタッフィングが増えやすい。顧客向けサービス運営者は異常ログイン検知とパスワード変更導線を強化したい。

3. 連休前のVPN・境界機器狙い

OpenVPN SSO認証回避や中国関連の侵害済みルータ基盤を踏まえると、休暇前の境界機器・VPN・IdP連携設定が狙われやすい。公開管理画面、古いファームウェア、例外設定、ログ保全を優先確認すべきである。

Evidence