概要
公益財団法人産業廃棄物処理事業振興財団は2026年5月28日、同財団が運営する「優良さんぱいナビ」および関連システム「さんぱいくん」が外部からの不正アクセスを受け、システム利用者(入力担当者)の氏名・ID・パスワード・メールアドレスが漏えいした可能性があると発表しました。不正アクセスは2026年5月25日にデータベースの異常な高負荷として検知されており、財団は利用者に対してパスワードの速やかな変更を呼びかけています。
目次
1. 何が起きたか
公益財団法人産業廃棄物処理事業振興財団は、産業廃棄物の適正処理を支援するために、優良認定を受けた産業廃棄物処理業者を検索できる公的ウェブサービス「優良さんぱいナビ」および関連システム「さんぱいくん」を運営しています。
2026年5月25日、同財団は「優良さんぱいナビ」および「さんぱいくん」においてデータベースの異常な高負荷状態を検知し、調査を実施しました。その結果、第三者による不正アクセスが確認されるとともに、情報漏えいの可能性が判明。2026年5月28日に公式発表を行いました。
| 項目 | 内容 |
|---|---|
| 異常検知日 | 2026年5月25日 |
| 被害内容 | データベースへの不正アクセス・情報漏えいの可能性 |
| 対象システム | 優良さんぱいナビ・さんぱいくん |
| 公表日 | 2026年5月28日 |
| 情報流出 | 入力担当者情報の漏えい可能性あり(調査継続中) |
2. 被害の詳細
財団によると、2026年5月25日に「優良さんぱいナビ」および「さんぱいくん」でデータベースの異常な高負荷状態が観測されました。調査の結果、外部からの不正アクセスが確認され、データベース内のシステム利用者情報が外部へ漏えいした可能性が高いことが判明しました。
「優良さんぱいナビ」は、都道府県が優良認定した産業廃棄物処理業者の情報を一般公開・検索できる公的なウェブサービスです。廃棄物処理業者が認定情報を入力・更新するために使用するシステムへの不正アクセスが今回の被害に当たります。
現時点では、本件に起因する不正利用などの具体的な二次被害は確認されておらず、財団は引き続き監視と調査を継続するとしています。
3. 漏えいした可能性がある情報
財団の発表によると、以下のシステム利用者(入力担当者)の情報が漏えいした可能性があります。
| 漏えいした可能性がある情報 |
|---|
| 入力担当者氏名 |
| ID |
| パスワード |
| メールアドレス |
パスワードが漏えいした可能性がある点は特に深刻です。同じパスワードを他のサービスでも使い回している場合、クレデンシャルスタッフィング攻撃(別サービスへの不正ログイン)に悪用されるリスクがあります。
4. 財団の対応状況
財団はインシデント発生後、以下の対応を実施・表明しています。
初動対応
- 原因調査の実施: 外部機関と連携した詳細調査を実施
- 監視強化: 継続的な監視体制を維持
利用者への呼びかけ
- 「優良さんぱいナビ」および「さんぱいくん」で使用しているパスワードを速やかに変更するよう要請
- 他のサービスで同じパスワードを使用している場合も、同様に変更するよう注意喚起
- 財団を装った不審なメールや連絡に注意するよう呼びかけ
再発防止
- システムの脆弱性対応を強化し、再発防止を進める方針を表明
5. 今回の事例から学ぶ教訓
今回の事例は、Webアプリケーションを運営する組織すべてに共通するセキュリティリスクを改めて示しています。公的機関・非営利団体のシステムも例外ではありません。
① パスワードの使い回しは「被害の連鎖」を生む
今回の漏えいでは、パスワードそのものが漏えいした可能性があります。同じパスワードを複数のサービスで使い回していると、1か所の漏えいが他サービスへの不正ログインに直結します(クレデンシャルスタッフィング攻撃)。
情シス担当者として確認すべきポイント:
- 社内システムのパスワードポリシー(最低文字数・複雑性・定期変更)を整備しているか
- 業務で使用するSaaSやポータルサイトでパスワードの使い回しが行われていないか
- 重要システムに多要素認証(MFA)を導入しているか
② Webアプリケーションの脆弱性診断を定期実施する
今回の不正アクセスの具体的な手口はまだ公表されていませんが、DBの高負荷というトリガーからSQLインジェクション等のWebアプリ攻撃が疑われます。公開されているWebサービスは定期的な脆弱性診断が不可欠です。
確認すべきポイント:
- 自社が運営・利用しているWebアプリケーションに脆弱性診断を実施しているか
- WAF(Webアプリケーションファイアウォール)を導入しているか
- フレームワークやライブラリのアップデートを定期的に行っているか
③ DBアクセス監視・異常検知の仕組みを整備する
今回は「データベースの異常な高負荷」として不正アクセスが検知されました。これは適切な監視体制が機能した事例と言えます。一方で、監視がなければ発覚が遅れ、被害が拡大していた可能性もあります。
確認すべきポイント:
- DBアクセスのログを取得・保管しているか
- 異常なクエリ数・高負荷状態をアラートで検知できるか
- SIEM等のログ分析基盤を検討しているか
④ 委託先・公的機関のシステムも攻撃対象になりうる
今回の被害を受けたのは民間企業ではなく、公益財団法人が運営する公的ウェブサービスです。規模の大小や公的/民間を問わず、インターネットに公開されているシステムはすべて攻撃対象になりえます。利用しているサービスのセキュリティインシデント通知に注意を払うことも重要です。
6. まとめ・YJK からのコメント
今回の「優良さんぱいナビ」への不正アクセスは、Webシステムへのサイバー攻撃が公的機関・非営利団体にも容赦なく及んでいることを示す事例です。特にパスワードの漏えいという直接的な被害が発生した可能性があるため、利用者は早急な対応が求められます。
情シス担当者として今すぐ確認してほしい点は以下の通りです:
- 「優良さんぱいナビ」または「さんぱいくん」を利用している場合は、パスワードを今すぐ変更する
- 同じパスワードを他サービスで使い回している場合は、該当するすべてのサービスのパスワードを変更する
- 社内のパスワードポリシーとMFA導入状況を見直す
- 自社が運営するWebサービスに脆弱性診断を実施する
YJK では、Webアプリケーション脆弱性診断・パスワードポリシー策定支援・インシデント対応計画の整備を承っております。「自社のセキュリティ対策が心配」という場合は、お気軽にご相談ください。
出典
- 公益財団法人産業廃棄物処理事業振興財団: 「優良さんぱいナビ」への不正アクセスの発生について(お詫びとお知らせ)(2026年5月28日)