公表日:2026年3月9日
組織:ジョンソン・エンド・ジョンソン株式会社
原因:委託先クラウドサービスの脆弱性悪用
攻撃手法:不正アクセス(外部サービス経由・サプライチェーン)
影響範囲:研究助成申請サイトの登録情報(氏名・メール・所属・申請情報など)
深刻度:中(情報漏えいの可能性・調査済みだが痕跡なし)
分類:不正アクセス / 外部委託リスク
本件は、委託先のクラウドサービスに対する不正アクセスを起点とした事案であり、サプライチェーン経由で個人情報にアクセス可能な状態となったケースである。
事件概要
ジョンソン・エンド・ジョンソン株式会社は2026年3月、研究助成申請サイトに関連するクラウドサービスで不正アクセスが発生し、個人情報が漏えいする可能性があったと発表した。
同社が利用していた委託先の寄附金Web申請クラウドサービスにおいて、脆弱性を悪用した外部からの侵入が確認されたという。
影響範囲は、同サイトの登録者および申請者の氏名やメールアドレス、所属情報、申請内容などの情報が対象とされている。
調査の結果、情報の参照や外部流出を示す具体的な痕跡は確認されておらず、現在はサービス停止および再発防止策の強化が進められている。
本記事では、同社の公式発表をもとに事案の内容を整理している。
分析
今回の事案では、委託先クラウドサービスに存在した脆弱性が悪用され、不正アクセスにつながった点が特徴といえる。
一般的にこのようなケースでは、自社システムではなく外部サービスを経由して情報にアクセス可能となる、いわゆるサプライチェーン型のリスクが顕在化する傾向がある。
また、攻撃者が管理者権限を取得していたとされることから、システム全体へのアクセスが技術的に可能な状態となっていた点も重要なポイントである。
通常、この種のインシデントではログ解析や外部専門機関による調査を通じて影響範囲の特定が進められ、必要に応じてサービス停止や対策強化が行われる。
今回の発表も、こうした一連の対応の中で、影響の有無を慎重に確認している段階の事案と位置付けられる。
この事件からわかること
今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。
- 外部委託サービスを経由したリスクが存在する
自社システムが直接侵害されていなくても、委託先のクラウドサービスを通じて情報にアクセス可能となるケースがある。 - 脆弱性の管理が重要となる
ソフトウェアやサービスに存在する脆弱性が悪用されることで、不正アクセスにつながる事例は多く報告されている。 - 調査ではログ解析と専門機関の関与が行われる
インシデント発生後は、外部専門機関を含めた調査により、アクセス状況や影響範囲の確認が進められる。 - 影響の有無は慎重に判断される
情報の閲覧や流出の痕跡が確認されない場合でも、一定期間アクセス可能な状態であった場合は慎重な評価と対応が求められる。
関連事件
- 株式会社シーエーシー 不正アクセスで申請者情報漏えいの可能性 2026年3月 | セキュリティ事件簿#2026-001
- 株式会社セゾンファンデックス 委託先ランサムウェアで個人情報漏えいの可能性 2026年3月 | セキュリティ事件簿#2026-154
- 国際武道大学 委託先不正アクセスで卒業生情報漏えい 2026年3月 | セキュリティ事件簿#2026-153
- NHK 誤操作でメールアドレス漏えい 約3.2万人 2026年3月 | セキュリティ事件簿#2026-152
- 子育てエコホーム支援事業事務局 不正アクセスでなりすましメール送信 2026年3月 | セキュリティ事件簿#2026-147
公式発表(アーカイブ)
2026 年 3 月 9 日リリース分:「J&J MedTech Research Grant Web サイト」に関するセキュリティ事案のご報告
謹啓 平素は格別のご高配を賜り厚く御礼申し上げます。
このたび、ジョンソン・エンド・ジョンソン株式会社 メディカル カンパニー(以下「当社」)の研究助成に際しご利用いただいております「J&J MedTech Research Grant Web サイト」(以下「同サイト」)の運営において利用しております、株式会社シーエーシー(以下「提供事業者」)の提供する寄附金 Web 申請クラウドサービス「Academic Support Navi」において、外部からの不正アクセスが発生し、申請者様の個人情報および機密情報その他申請データ(総称して、以下「個人情報等」)が漏えいするおそれがある事象が確認されたとの報告を受けました。その後、提供事業者が委託した外部専門機関による調査の結果、個人情報等に対する参照および外部流出を示す具体的な痕跡は確認されず、また、本件の判明時から現時点まで、本件に関わる個人情報等の漏えいおよび二次被害の事実は確認されていないことが確認できております。
関係者の皆様にはご心配をおかけすることとなり、深くお詫び申し上げます。
詳細は以下をご参照いただけますようお願いいたします。
なお、当該事案は、同サービスを利用している複数の事業者に共通するものであり、他事業者からも同様のお知らせが届く可能性がございます。
■提供事業者
株式会社シーエーシー
■提供事業者による公表情報
「Academic Support Navi」 への不正アクセスに関する調査結果のご報告(第 3 報)|ニュース|株式会社シーエーシー(CAC)
1. 概要及び原因
• 不正アクセス発生日および発生期間:2025 年 12 月 18 日~12 月 25 日(提供事業者により 12 月 25 日にサービス停止済み)
• 提供事業者から当社への報告日:2026 年 1 月 13 日
• 原因と事象:「Academic Support Navi」で利用している一部のコンポーネントにおける脆弱性が悪用されたことによる、「Academic Support Navi」のサーバー資源(計算能力およびネットワーク帯域)の不正利用(暗号資産のマイニング等)が目的と推定される不正プログラムの設置および実行
2. 調査結果
提供事業者が委託した外部専門機関の調査により、不正なプログラムの一連の設置作業の過程で、不正アクセス者により当該サーバーの管理者権限が取得・利用されていたことが確認され、不正アクセス者は一定期間技術的に本サービスの全ての情報にアクセス可能な状態であったと推定されました。サーバー内の解析および各種管理ログの精査の結果、個人情報等の参照および外部流出を示す具体的な痕跡は確認されませんでした。
3. 個人データの対象者および項目
同サイト運営の委託に関し、不正アクセス者によるアクセスが可能となった個人データの対象者および項目は以下のとおりです。
| 対象者 | 個人データの項目 |
|---|---|
| 当社の「J&J MedTech Research Grant Web サイト」にアカウントをご登録いただいた方 |
|
| アカウント登録後、助成を申請された申請者様※1 |
|
※1 申請時にご入力いただいた情報には、申請者様の情報のほか、申請者様にご登録いただいた代表者様・契約担当者様等の情報(申請者様と同一の場合を含む)の情報も含まれます。
4. 再発防止策および当社サイト再開について
本件を受け、現在、「J&J MedTech Research Grant Web サイト」の利用を停止しております。提供事業者において、今回の事態の再発防止はもとより、 一層強固なセキュリティ対策の強化が進められております。
今後の対応方針につきましては、提供事業者における対応状況等を踏まえながら検討を進めております。「J&J MedTech Research Grant Web サイト」再開の有無および時期について、当社としての方針が決まり次第、当社ウェブサイト等を通じて、あらためてお知らせいたします。
5. ご注意いただきたい点
上記のとおり、申請者様及び申請時にご入力いただいた代表者様・関係者様等の個人情報等の漏えい等が実際に発生した可能性は極めて低く、現時点で二次被害の事実は確認されておりませんが、万一に備えて、当社を名乗る不審な連絡(身に覚えのないメール・SMS・電話等)にはご注意願います。万が一不審な連絡や不正利用の疑いがある場合は下記窓口までご連絡ください。
お問い合わせ先
ジョンソン・エンド・ジョンソン株式会社 メディカル カンパニー
部署名 : CMO オフィス J&J Medical Research Grant 事務局
E-mail : RA-JJKKMedGrant2@ITS.JNJ.com
申請者様をはじめ関係者の皆様にはご心配をおかけしますことを重ねてお詫び申し上げ
ます。当社は今後も、情報セキュリティおよび個人情報の適切な管理に努めてまいります。
謹白