「パスワード盗難」関連の最新 ニュース・レビュー・解説 記事 まとめ

DeNAアカウント、メールの乗っ取りに注意喚起　登録情報の書き替えやDeNA Payで金銭被害のおそれも
ディー・エヌ・エーは12日、「DeNAアカウント」利用者の一部メールアドレスについて、第三者による乗っ取りや不正ログインが複数発生しているとして注意喚起した。（2026/5/13）

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明
「通常、GitHubに保存するソースコードに個人情報の入力はない」が……。」（2026/5/11）

セキュリティニュースアラート：
あなたのパスワードは何分耐えられる？　解析速度上昇で「8文字パスワード」はほぼ無力に
Kasperskyは2023年〜2026年に流出した2億3100万件のパスワードを分析し、約半数が1分未満、6割が1時間未満で解読可能だったと発表した。（2026/5/11）

狙われる開発環境：
GitHub侵害で銀行連携停止　マネーフォワード事案が突き付ける開発リスク
マネーフォワードは認証情報漏えいによるGitHubへの不正アクセスを受け、ソースコードや一部個人情報が流出したと公表した。銀行連携機能まで一時停止に追い込まれた今回の事案は、開発現場に潜む見落とされがちなリスクを浮き彫りにしている。（2026/5/11）

二次被害／不正利用は確認せず：
村田製作所、不正アクセスで個人情報8.8万件流出か
村田製作所は、同社IT環境への不正アクセスに関する続報として、第三者に取得された恐れのあるデータの内容を公表した。同社の従業員やその関係者の個人情報約7.3万件と、社外関係者の個人情報約1.5万件の、計8.8万件が取得された恐れがあるという。（2026/4/28）

村田製作所、8.8万件の情報漏えいか　2月の不正アクセスで
村田製作所は4月27日、6日に公表した不正アクセスを巡り、社員や取引先などの情報約8万8000件が漏えいした可能性があると発表した。（2026/4/27）

auじぶん銀行はAIで対抗――金融犯罪対策はなぜ難しいのか？　有効な対策とは？
AIの悪用で巧妙化が進む金融犯罪。実害を防ぐ上で、どこに難しさがあるのか。金融機関はどう対処すべきか。auじぶん銀行の取り組みと専門家の議論から、これらの疑問の解を探る。（2026/4/15）

ログデータの背景を読み解く：
PR：大規模ログを意思決定に生かすAI活用　セキュリティベンダーが挑んだ分析基盤構築
ログデータを「宝の持ち腐れ」にしていないだろうか。あるセキュリティベンダーは、LLMを使った分析基盤を構築してログデータの活用に挑んだ。わずか2週間で劇的な変化をもたらしたAI活用の成果とは。（2026/4/8）

「紙のメモ」もまだ現役
パスワード使い回しは8割超　危険な運用をやめない人々の胸の内
複数のWebサービスでパスワードを使い回す行為は、連鎖的な不正アクセスの元になり得る。トレンドマイクロの調査は、多くの利用者がパスワード管理に苦悩し、アナログな手法に頼っている実態を浮き彫りにした。（2026/4/5）

フィッシングとシャドーITへの最終回答
「私物スマホ」を社内網から即座に締め出す　IIJが放つ“端末認証”の決定打
フィッシング詐欺や未許可端末の横行が、企業のガバナンスを根底から揺るがしている。IIJの「厳格な端末特定」の手法は、情シスの管理負担をどう変えるのか。（2026/3/25）

2025年のフィッシングおよびスパム動向：
政府サービス、偽ChatGPT、無料チケット……最新詐欺の侵入経路、カスペルスキーが報告
Kasperskyは2025年のフィッシングおよびスパム動向レポートを公開した。同社は5億5400万件以上のフィッシングリンクへのアクセスを阻止し、全世界のメールの約45％がスパムだったと報告している。（2026/3/18）

セキュリティニュースアラート：
FortiGate侵害からAD侵入　SentinelOneが最新の攻撃手法を分析
SentinelOneは、FortiGateの脆弱性や設定ファイルの可逆暗号を悪用し、Active Directory環境を侵害する攻撃者の最新手口を公表した。サービスアカウントを盗み、RMMツールや不正端末登録で権限を拡大するという。（2026/3/17）

「個人向けのセキュリティ対策」を従業員にも：
「なぜ正規アカウントが奪われたのかまでは分からない」の原因　〜フィッシング？　ClickFix？〜
2025年11月26日開催の「ITmedia Security Week 2025 秋」で、ポッドキャスト「セキュリティのアレ」を主宰するセキュリティリサーチャーの3人が「認証認可唯我独尊 第参章」と題して講演した。（2026/3/9）

今回も1位はランサムウェア被害：
AIリスクが初登場で3位、IPAが「情報セキュリティ10大脅威 2026」発表
独立行政法人情報処理推進機構（IPA）は2026年1月29日、2025年に社会的影響が大きかった情報セキュリティ関連トピックスを選出した「情報セキュリティ10大脅威 2026」を発表した。（2026/3/3）

多要素認証を無力化する脅威
「多要素認証（MFA）なら安全」は幻想か　セッションを盗む“リアルタイムフィッシング”の脅威
多要素認証（MFA）を入れたから安心という思い込みが、企業の命取りになり得る。認証後のクッキーを奪い取る「リアルタイムフィッシング」と、その対策とは何か。（2026/2/24）

情シス兼務の悩みを一挙に解決：
PR：中堅・中小企業のアナログ管理を卒業　IT資産管理、ID管理、セキュリティ対策を一元化する方法
中堅・中小企業にとって、手作業によるデバイス管理や煩雑なID管理は大きな負担だ。自社の不備が取引先にとってのリスクとなる今、低コストかつ少ない工数でセキュリティを高めるにはどうすればいいのか。IT資産管理、ID管理、セキュリティ対策を一元化する「オールインワン」の現実解を解説する。（2026/2/19）

ITmedia エグゼクティブセミナーリポート：
生成AI時代だからこそ、従来からの基本的な対策の徹底を――徳丸氏が整理する、生成AI時代ならではのセキュリティリスク
AIの急速な進化と普及を概観した上で、3つの観点からAIを取り巻くセキュリティリスクを説明した。（2026/2/17）

不動産情報の「アットホーム」に不正アクセス、利用者の個人情報など一部漏えいか
「不動産情報サイト アットホーム」を運営するアットホーム社は5日、サイト内で運営しているサービス「引越し見積もり」を管理する専用システムが第三者からの不正アクセスを受けたと明らかにした。（2026/2/6）

セキュリティニュースアラート：
Fortinet製品にCVSS 9.8の脆弱性　約328万件のインターネット上の資産に影響
Fortinet製品のFortiCloud SSOに認証回避の重大な脆弱性が見つかった。CVSSの評価は9.8、深刻度「緊急」（Critical）であり、攻撃者による悪用も確認されている。インターネットに公開されている約328万件の資産が影響を受けるという。（2026/2/3）

半径300メートルのIT：
IPAが10大脅威2026年版を発表　行間から見えた“日本企業の弱点”
IPAが2026版「情報セキュリティ10大脅威」を公開しました。皆さんが気になる新しい脅威もランクインしています。ただ本当に注目してほしいのは脅威そのものではなく、これにどう対抗するかです。筆者流の10大脅威の読み方をお伝えします。（2026/2/3）

採用の狙いは：
JCBがMyJCBに導入した「パスキー」の仕組み
JCBは、会員専用Webサービス「MyJCB」にパスキー認証を導入した。従来のMyJCBの生体認証と何が違うのか。（2026/2/2）

セキュリティリーダーの視座：
子供の夢をYouTuberからホワイトハッカーに! 具現化を進めるCISO - GMO 牧田氏
「人を助ける」原体験から「日本全体を守る」使命へ。DEF CON Cloud Village 3連覇の実績を持つGMOインターネットグループ牧田氏が語る、攻めのセキュリティとCISOの役割、そして「ホワイトハッカーを子供の憧れの職業に」という未来への挑戦とは。（2026/2/3）

セキュリティニュースアラート：
「情報セキュリティ10大脅威 2026」公開　新たに登場した"ある脅威"とは？
IPAは「情報セキュリティ10大脅威 2026」を公表した。「組織」と「個人」という2つの立場から脅威を整理し、公表している。組織向けの脅威に新たにランクインした“ある脅威”とは何か。（2026/1/31）

「不正決済に気を付けて」──PayPayが注意喚起　SIMを乗っ取りSMS認証突破
PayPayは2026年1月23日、第三者が利用者の電話番号を不正に乗っ取る「SIMスワップ詐欺」の被害について注意を呼びかけた。同アプリへ不正にログインされ、本人の承諾なく決済や送金、銀行口座やクレジットカードの申し込みが行われる事案が確認されているという。利用者に対して注意喚起を実施している。（2026/1/23）

コンサル視点で見るサイバー空間の脅威最前線：
攻撃者は“侵入ではなくログインを選ぶ”　アイデンティティー攻撃手法の最新動向
サイバー攻撃の主戦場は、もはや電子メールでも脆弱性でもない――。攻撃者は“正規ユーザー”を装い、誰にも気付かれず内部に入り込む時代へと移行している。なぜアイデンティティーが狙われるのか。その変化の裏側と、次に起きるリスクの正体に迫る。（2026/1/22）

ESETが解説、利用時のリスクと対策：
ChatGPTに「入力してはいけない情報」5選――NGリストとその理由
ESETは、ChatGPTの利用に伴うセキュリティとプライバシーのリスクをまとめた包括的なガイドを公開した。7つの大きなリスクや共有禁止情報の「レッドリスト」、10の保護習慣を解説している。（2026/1/21）

半径300メートルのIT：
クレカを止めても被害は止まらない……アカウント侵害の“第二幕”から得た教訓
2026年もよろしくお願いします。新年早々恐縮ですが、今回は我が家で起きたクレカ不正アクセス被害の後編です。前編では不正利用を突き止め、Amazonアカウントを取り戻したまではよかったのですが、残念ながら話はそこで終わりませんでした……。（2026/1/6）

Google Chrome完全ガイド：
あなたのブラウザは大丈夫？　Chrome拡張機能が「いつの間にか」マルウェアに変わる手口と5つの対策
パスワード管理や翻訳ツールなどの便利な「Chrome拡張機能」を愛用している人も多いのではないでしょうか。しかし、ある日突然、拡張機能がマルウェア化してしまう、という事件が起きています。なぜこのような事態が起きるのか、そして私たちはどう身を守ればよいのか。その仕組みと対策について解説します。（2026/1/5）

半径300メートルのIT：
クレカ利用通知が止まらない……　我が家で起きた不正アクセス被害のいきさつ
2025年もそろそろ終わり、というところで大事件が起きました。何と我が家のクレジットカードで不正アクセス被害が発生したのです。日頃からセキュリティ対策を怠らないように伝えてきましたが恥ずかしい限りです。ぜひ“他山の石”にしてください。（2025/12/23）

米国での被害額は403億円規模：
日本でも話題になった「証券口座アカウント乗っ取り問題」　FBIが警鐘、5つの予防策を解説
米連邦捜査局は、オンライン口座を乗っ取る詐欺が増加しているとして注意を喚起した。その上で、攻撃の手口や5つの防御策を解説している。（2025/12/18）

既存資産の設定変更やOSS活用
「セキュリティ予算ゼロ」でも防衛力は上がる　情シスが打つべき“背水の陣”
予算横ばいは、セキュリティ放棄の免罪符にはならない。攻撃が巧妙化する中、追加投資なしでいかに説明責任を果たすか。今すぐに実行できる具体策をまとめた。（2025/12/19）

「脱VPN」できない企業でもできる防衛戦術
「VPN全廃は無理」な企業が今やるべきランサムウェア対策の現実解はこれだ
VPNが狙われたランサム攻撃が大企業を襲う中、IT部門は「脱VPN」と「現実的防衛策」の間で難しい判断を迫られている。ZTNA導入が進まぬ理由と、VPNの利用を継続する企業に必要な即時対策とは。（2025/12/17）

半径300メートルのIT：
守ったつもりが、守れていなかった　アスクルのランサム被害報告書の衝撃
「EDRを入れれば安心」という考えが最も危険かもしれません。アスクルはランサムウェア被害に関する詳細なレポートを公開しました。ここから見えたのは「最新対策を導入していた企業」でも攻撃に遭うという事実です。ではどうすればいいのでしょうか。（2025/12/16）

攻撃を水際で止めた企業に学ぶ
中堅・中小企業が「確実に再現できる」防御ポイント　侵入前に勝負を決める
事業内容や規模を問わず、さまざまな企業が攻撃の対象になっている中、攻撃リスクを前提に「侵入を水際で止める」ための取り組みが重要だ。海外事例から具体策を学ぼう。（2025/12/12）

Z世代で“友人のInstagramアカウント乗っ取り”が流行？　いたずらで済まない不正アクセス禁止法違反　保護者が注意すべきこと
Z世代の間で、友達のInstagramを乗っ取る「遊び」が流行しています。推測しやすいパスワードで不正ログインし、DM盗み見や偽投稿を行いますが、これは「不正アクセス禁止法違反」となる犯罪行為です。被害を防ぐにはパスワード管理と二段階認証が不可欠。親子でリスクを話し合い、セキュリティ設定を見直すことが重要です。（2025/12/4）

安全性や利便性を考える
パスワード「使う」派vs「使わない」派　リスクやツールの選択肢とは
テレワークを背景にクラウドサービスの利用が広がったとともに、それぞれにログインするためのパスワード管理も難しくなった。そもそもパスワードは安全な認証手法なのか。（2025/12/1）

学校写真販売大手「スナップスナップ」に不正アクセス、氏名やパスワードなど流出か　保護者の不安募る
漏えい規模は非公表だが、スナップスナップは2024年時点で会員500万人を突破しており、SNSでは「子どもの学校が使っているサービスから個人情報が流出して不安だ」といった声が出ている。（2025/11/27）

“全パスワードを一括管理”の落とし穴：
「パスワード管理ツール」の安全性を揺るがす6つのリスク、ESETが指摘
1人のユーザーが利用するパスワードが多岐にわたる中、パスワード管理ツールの利用が推奨されることがある。だがESETは、パスワード管理ツール自体が侵害されることがあるとして警鐘を鳴らした。（2025/11/27）

半径300メートルのIT：
二要素認証の普及を阻む最大の敵「なんかめんどくさい」をどう打破する？
Yubicoの年次調査によると、日本の二要素認証導入率は20％と他国と比べて大幅に遅れているそうです。なぜこんなに遅れているのか、筆者はその最大のハードルを「めんどくささ」にあると考えています。ではこれをどう打破すればいいでしょうか。（2025/11/25）

「Infostealer」にも対抗
パスワードを漏えいさせない管理ツール「Keeper」とは　マクニカが発売
マクニカはKeeper Security APACのパスワード管理ツール「Keeper」を日本で販売すると発表した。Keeperを使えば、パスワードをどのように攻撃者から守れるのか。（2025/11/19）

内製化で直面した「データベースの課題」：
東京ガスの内製チームが「myTOKYOGAS」のデータベースに「TiDB」を選んだ理由
東京ガスは、利用者数500万人のアプリ「myTOKYOGAS」の内製化に伴い、データベースに「TiDB」を採用した。2025年10月に開催された「TiDB User Day」に登壇した東京ガスの内製開発チームが、TiDBを選定した理由、導入検証で明らかになった注意点、本番運用で工夫すべきポイントを解説した。（2025/11/19）

無料でここまでできるの？：
PR：現地出張ゼロ、管理コストゼロへ　バッファローが描く機器管理省力化の現実解
多拠点のネットワーク機器の管理には困難が付きまとう。機器に不具合があると現地に赴いたり、ファームウェアを更新したりするのは大きな負担だ。バッファローはこれを解消するために、基本機能が無料のリモート管理サービスを提供しているという。その開発哲学に迫った。（2025/11/28）

いつも使っているツールにセキュリティの死角
「Slack」「Teams」「ChatGPT」で脆弱性続出 ひと事ではない被害に備えるには
SlackやMicrosoft Teams、ChatGPTといったツールに関するセキュリティ事案が発生した。事案の概要と、企業のセキュリティ対策に役立つ記事を紹介する。（2025/11/12）

多要素認証（MFA）の必要性と落とし穴も考察：
日経新聞は私物PCから“認証情報”流出、過去にはUberも　なぜ「Slack侵害」が起きたのか
日本経済新聞社で発生したSlackへの不正アクセス。企業の管理が及ばない端末を起点とした攻撃の現実と、Slackを入り口にした新たな手口の脅威が改めて浮き彫りになっている。（2025/11/10）

週末の「気になるニュース」一気読み！：
「PlayStation Portal」のクラウドストリーミング機能が正式に実装／ニコニコで一部のプレミアム会員が意図せず退会・解約されてしまう不具合
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、11月2日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/11/9）

セキュリティニュースアラート：
美濃工業のランサムウェア被害　正規ID悪用で侵入され300GBの流出を確認
美濃工業はランサムウェア被害によって相当量の顧客情報が流出したと報告した。正規IDの悪用で侵入され、暗号化と身代金要求に至っている。現状の被害は未確認だが300GBの不正通信を把握しており、外部機関と復旧を進めている。（2025/11/6）

日本経済新聞社、社内チャット「Slack」に不正ログイン　社員の個人PCのウイルス感染が原因
日本経済新聞社は、社内で利用しているチャットツール「Slack」に外部からの不正ログインがあったと発表した。（2025/11/4）

セキュリティニュースアラート：
ランサムウェア「Cl0p」がOracle EBSを悪用し最大5000万ドルを恐喝
ランサムウェアグループCl0pは、Oracle E-Business Suiteの構成と機能を悪用し、企業の認証情報を不正取得して恐喝を実行している。Halcyonはアクセス制限や多要素認証導入を強く推奨している。（2025/10/7）

3つのポイントとは：
ITサポートをかたって従業員をだまし、Salesforceインスタンスのデータを盗み出す「UNC6040」　Googleが予防策を解説
Googleの脅威インテリジェンスグループは、「UNC6040」として追跡している脅威アクターによる、高度なソーシャルエンジニアリング攻撃や認証情報の侵害から組織を守るための予防策を解説する記事を公開した。（2025/10/6）

半径300メートルのIT：
「OS標準の無料アンチウイルス機能で十分」には条件がある
昔と違って、OSに標準搭載された無償のアンチウイルスソフトは進化しており、もはや有償製品をわざわざ導入する必要もなくなっています。ただ無償のソフトを使うなら少し注意しておきたい点も。今回はそちらを解説します。（2025/9/30）