ssecutils
Security / Browser-native guide

Foxconn北米工場がNitrogenランサムウェアの標的に — Apple・Nvidia設計書8TB流出か

9Zero tracking reading surface

概要

2026年5月11日、ランサムウェアグループ「Nitrogen」がApple・NvidiaなどのサプライヤーとしてEMS(電子機器受託製造)世界最大手のFoxconnを攻撃したと主張した。標的となったのは米国ウィスコンシン州マウントプレザントおよびテキサス州ヒューストンの工場で、Nitrogenは8TB・1,100万ファイル超を窃取したとダークウェブのリークサイトに掲載した。Foxconnは5月12日に攻撃を認め、北米のサイバーセキュリティチームが対応にあたっていることを明らかにした。

盗まれたとされるデータにはApple・Nvidia・Intel・Google・DellのNDA付き設計書・内部プロジェクト資料・技術図面が含まれているとされる。Foxconnは「生産継続のための運用措置を実施している」と述べるにとどめ、身代金の支払い有無については回答しなかった。

何が起きたのか

攻撃の経緯

Foxconnによれば、5月1日頃から大規模なITアウテージが発生し、約1週間にわたって一部工場の生産が停止した。5月11日、NitrogenがダークウェブのリークサイトにFoxconnを掲載。翌5月12日、FoxconnはThe RegisterおよびWIREDの取材に対して「サイバーインシデントが発生した」と認めた。

公開されたデータの内容

Nitrogenが公開したサンプルデータには、複数の大手テクノロジー企業に関わる機密文書が含まれているとされる。Foxconnは複数の世界最大規模のテック企業の製品を受託製造しており、設計書・回路図・調達情報などが流出した場合、顧客企業の新製品情報が競合他社や国家機関に渡るリスクがある。

Foxconnへの繰り返しの攻撃

Foxconnはランサムウェアの標的となるのはこれが初めてではない。2020年11月にはDoppelPaymer、2021年5月にはREvil(REvilはその後壊滅)が攻撃を行っており、今回は3度目の大規模侵害となる。製造業としての規模の大きさとグローバルな調達ネットワークが、繰り返し攻撃者を引き寄せる要因となっている。

技術的なポイント

Nitrogenランサムウェアとは

Nitrogenは2023年に登場したランサムウェアファミリーで、流出した「Conti v2」のビルダーコードを流用したとされる。Contiはかつて最大規模のランサムウェアグループの一つだったが、2022年にソースコードが内部告発によりリークされ、複数のグループがそれをもとに亜種を作成した。Nitrogenもその系譜に位置する。

致命的な欠陥: 復号できない身代金要求

Nitrogenにはデクリプタ(復号ツール)のプログラムバグが存在し、身代金を支払っても被害者はファイルを復元できないとされる。これはサイバーセキュリティ研究者によって確認された深刻な欠陥であり、Nitrogenに攻撃された組織が身代金を支払うことは実質的に無意味である。

EDR無効化の常態化

2026年のランサムウェア攻撃において、セキュリティ製品(EDR: Endpoint Detection and Response)を無効化するツール「EDRキラー」の使用が標準的な攻撃ステップとなっている。EDRキラーは通常、正規のドライバーの脆弱性(BYOVD: Bring Your Own Vulnerable Driver)を悪用してカーネル権限を取得し、セキュリティプロセスを強制終了する。

暗号化せず恐喝のみの手口

2026年のランサムウェア市場では、ファイルを暗号化せずにデータ窃取と公開脅迫のみを行う手口が増加している。暗号化には時間とリスクが伴うため、攻撃者が「盗んだデータを公開する」と脅すだけで身代金を要求するケースが増えている。Nitrogenの復号バグが露見している事情も、この傾向を後押しする可能性がある。

企業が学ぶべきポイント

  • 身代金を払っても復号できないケースがある: Nitrogenのように復号ツールにバグがある場合、支払いは完全な損失になる。バックアップとインシデントレスポンス計画が唯一の現実的な対応手段である。
  • 製造業はサプライチェーンの機密データを意識する: 顧客企業のNDA付き設計書や技術仕様をFoxconnのような受託製造業者が大量に保持している。攻撃者が本当に狙っているのはFoxconn自身のデータではなく、その先にある顧客企業の知的財産である可能性がある。
  • EDR・XDRの保護設定を定期的に確認する: EDRキラーによる無効化が常態化している現在、セキュリティツールが「インストールされている」だけでなく「実際に機能しているか」を定期的に検証するテストが重要になっている。
  • オフラインバックアップの3-2-1ルール: ランサムウェアはネットワーク上のバックアップも暗号化する。3つのコピー・2種類のメディア・1つはオフラインという「3-2-1バックアップ」を確実に実施する。

影響範囲

対象影響
Foxconn 北米工場約1週間の生産停止、設計書・内部文書の流出リスク
Apple・Nvidia・Intel・Google・Dell設計書・技術図面が盗まれた可能性(各社は被害の確認中)
製造業全般EMSサプライチェーン経由での知的財産流出リスクが顕在化

参考情報

  • The Register: Foxconn confirms cyberattack after Nitrogen claims Apple, Nvidia data theft (2026/05/12)
  • 9to5Mac: Apple supplier Foxconn confirms ransomware attack affected North American factories (2026/05/12)
  • Securelist: Reviewing the trends in ransomware attacks in 2026

ランサムウェアの全体像は ランサムウェア2026、EDRを無効化する攻撃者の戦術は MITRE ATT&CK 入門 も合わせてご覧ください。

Related reading

関連記事

Security11
TeamPCPがOSSからAWSへ — セキュリティツール汚染で実現するクラウド鍵の大量窃取2026年3〜5月に発覚したTeamPCPによるサプライチェーン攻撃。Trivy・KICS・LiteLLMなどDevSecOpsツールに悪性コードを注入し、AWSアクセスキー・Kubernetesトークン・GitHub PATなどを自動収集してクラウド環境への二次侵害へ連鎖した攻撃の全体像と対策を解説します。
Security10
Fogランサムウェアが「拡散すれば無料復号」の前代未聞の要求 — VPN侵害とLNKフィッシングの実態2026年に100件超の被害を出したFogランサムウェアが「マルウェアを他者に拡散すれば身代金を免除する」という前代未聞の手口を採用。VPNクレデンシャル悪用・BYOVDによるEDR無効化・二重恐喝の仕組み、組織が今すぐすべき対策を解説します。
Security11
APT28が新マルウェアPRISMEXでNATO防衛サプライチェーンを標的 — ステガノグラフィとCOMハイジャックの脅威ロシア国家系APT28(Pawn Storm)が2026年に展開した新マルウェアスイートPRISMEXを解説。画像内にペイロードを隠すステガノグラフィ、COMハイジャックによる永続化、CVE-2026-21509悪用、ウクライナ・NATO加盟国の防衛インフラへの標的型侵害の手口と対策をまとめます。
Security9
DAEMON Tools公式インストーラに1ヶ月バックドア — 正規署名済みサプライチェーン攻撃の全貌2026年4〜5月に仮想ドライブソフト「DAEMON Tools」の公式サイトから正規署名付きの悪性インストーラが配布されたサプライチェーン攻撃を解説。Kasperskyが発見した中国系攻撃者のバックドア挙動、製造業・政府機関への標的型ペイロード、対処法を整理します。
Learn の記事一覧へ戻る