2024年3月30日、光学機器・半導体関連部品の世界大手HOYAは複数の工場・事業所システムが同時に停止するという事態に見舞われた。攻撃者はHunters Internationalランサムウェアグループで、約170万ファイル(約2TB)を窃取して1,000万ドル(約15億円)の身代金を要求した。HOYAは支払いを拒否し、約24日かけて大半のシステムを復旧させた。眼鏡レンズ・医療用内視鏡・半導体製造装置の光源ユニット・フォトマスクと、現代のサプライチェーンに深く組み込まれた同社のシステム停止は、チップ製造から眼鏡処方まで幅広い分野への影響を示した。製造業がランサムウェアグループと対峙するとき、何が問われるのか。
組織概要
HOYA株式会社は1941年創業、東京都新宿区に本社を置く東京証券取引所プライム上場企業だ。光学技術を核に、以下の多角的な事業を世界展開している:
- ビジョンケア:眼鏡レンズ(世界シェア上位、医療向け含む)・コンタクトレンズ
- メディカル:内視鏡(消化器用)・眼内レンズ・補聴器
- エレクトロニクス:半導体フォトマスク・ハードディスク用ガラス基板
特に半導体フォトマスク事業では、EUV(極端紫外線)リソグラフィ対応のフォトマスクブランク(マスク製造の原材料)で世界的な重要なサプライヤーとなっており、台湾積体電路製造(TSMC)など先端半導体ファウンドリへの供給が報じられている。このため今回の攻撃は「半導体サプライチェーンへの影響」という観点からも国際的な注目を集めた。
何が起きたのか
タイムライン
- 2024年3月30日:HOYAの複数の工場・事業所のITシステムが停止。HOYAは同日に社内で障害を検知し、外部のサイバーセキュリティ専門家・フォレンジック調査会社への依頼を開始。
- 2024年4月1日:HOYAが「ITシステム上の問題(IT system incident)」が発生したとウェブサイト上で発表。「ランサムウェア」という言葉は使用せず、詳細は調査中と説明。
- 2024年4月4日:HOYAが詳細情報を追加発表。複数の工場・事業所での生産・受注システムへの影響を認める。
- 2024年4月10日〜11日:Hunters Internationalがダークウェブのリークサイト上にHOYAの名前を掲載。約170万ファイル(約2TB)を窃取したと主張し、1,000万ドルの身代金を要求。攻撃者は「交渉なし・値引きなしポリシー(No Negotiation / No Discount Policy)」を宣言。
- 2024年4月(詳細不明):交渉の経緯として、HOYA側(または代理人)が150万ドル・次いで400万ドルを提示したが、攻撃者が拒否したと報道(HOYAの公式発表ではない)。HOYAは最終的に支払いを行わなかったとみられる。
- 2024年4月23日〜24日:HOYAが「大部分の工場・事業所でシステム復旧が完了した」と発表。眼鏡レンズ事業(HOYA Vision Care)の受注システムが復旧し、遅延していた受注対応を再開。
- 2024年5月以降:一部の受注残・納期遅延の影響が継続。個人情報の漏洩については「外部専門機関による確認を依頼中」として公式確認なし。
攻撃経路の分析
初期侵入経路(公表なし)
HOYAは侵入経路を公式に発表していない。調査はフォレンジック会社が行ったが、その詳細報告は公開されていない。Hunters Internationalのような洗練されたRaaSグループが通常使用する侵入経路は以下の通りで、いずれかの可能性があると考えられる(推測であり確認された情報ではない):
- VPN機器・リモートデスクトップへのブルートフォース・クレデンシャルスタッフィング
- フィッシングメール経由のマルウェア初期感染
- 既知脆弱性(未パッチ)を持つ公開サービスへの直接攻撃
- 初期アクセスブローカー(IAB)から購入したアクセス権限の利用
Hunters Internationalとは
Hunters Internationalは2023年末から活動を活発化させたランサムウェアグループで、コードの分析からHiveランサムウェア(2023年1月にFBI等の摘発で解体)の後継または後継者が設立したグループとみられている。完全な金銭目的で、製造業・医療・金融・教育機関を世界的に攻撃している。二重脅迫モデル(データ暗号化+窃取データのリーク脅迫)を採用し、HOYAへの攻撃では「交渉なし・値引きなし」という強硬姿勢をとった。
横展開・被害拡大のメカニズム
HOYAの内部状況は非公開であるため、攻撃の詳細な手順は不明だ。ただし複数の工場・事業所・製品ラインのシステムが同時に停止したという事実は、攻撃者がHOYAの本社・グローバルITシステムの中枢に到達し、そこから全拠点への影響を与えたことを示唆する(推定)。製造業のグローバル企業では、ERPシステム・生産管理システム・受注システムが全社共通の基盤上で動作することが多く、この基盤への侵害が複数拠点への同時影響を引き起こす。
被害内容
システム・生産被害
- 影響を受けた事業・製品ライン:
- 眼鏡レンズの受注・生産システム(世界の製造拠点に影響)
- 医療機器(内視鏡等)の生産システム
- ハードディスク用ガラス基板の生産関連システム
- 半導体フォトマスク・フォトマスクブランクの受注・生産システム
- システム停止期間:攻撃発生(3月30日)から大部分の復旧(4月23日)まで約24日間
- 一部の納期遅延・受注対応の遅れは4月23日以降も継続
窃取データ・脅迫
- 攻撃者が主張する窃取データ:約170万ファイル(約2TB)
- 身代金要求額:1,000万ドル(2024年3〜4月時点の為替レートで約15億円)
- 支払い:拒否(HOYAの公式見解では確認されていないが、最終的に支払いなしで復旧した)
- 個人情報の漏洩:調査中として公式確認なし
なぜ被害が拡大したのか
1. グローバル統合ITインフラの一点集中リスク
HOYAのような多国籍製造業では、効率化・コスト削減のためにERPシステム・生産管理システム・受注システムをグローバルで一元管理するケースが多い。これは通常時のオペレーション効率を高めるが、中枢システムがランサムウェアに感染すると複数国・複数拠点に同時に影響が及ぶ「爆発半径の最大化」を引き起こす。
2. サプライチェーンへの波及:フォトマスクの重要性
HOYAの半導体フォトマスク事業が注目されたのは、フォトマスクが半導体製造の工程で代替不可能なコンポーネントだからだ。先端半導体を製造するには特定の仕様のフォトマスクが必要で、在庫が切れれば製造ラインを止めざるを得ない。HOYAのフォトマスク生産システムの停止が長期化すれば、ダウンストリームの半導体ファウンドリへの影響が生じる可能性があった(実際の影響の詳細は非公表)。
3. 製造業での復旧優先課題:品質保証との両立
製造業でのランサムウェア被害復旧は、ITシステムの単純なリカバリ以上に複雑な問題を含む。製造ラインの制御システム(OT)がITシステムに連動している場合、ITが復旧してもOT側の安全確認・品質管理プロセスが必要だ。特にHOYAのような医療機器・半導体製造の現場では、製造システムが正常に動作することの確認に時間が必要であり、24日間という復旧期間にはこうした検証コストが含まれていると考えられる。
4. 「1,000万ドルで交渉なし」が示す新しい脅威構造
Hunters Internationalが「交渉なし・値引きなし」のポリシーを公言したことは、ランサムウェアグループの成熟化を示している。かつての身代金交渉は「値下げの余地がある」という前提で行われることが多かったが、標的を絞った大企業への攻撃で大額の身代金を要求し、強硬な姿勢を維持するスタイルは増加傾向にある。HOYAが拒否した場合のデータリークは実行されず(2024年5月時点)、攻撃者が戦略的に公開タイミングを選んでいる可能性がある。
同様の攻撃を防ぐ方法
グローバル統合システムのセグメンテーション
- 全社共通のERP・生産管理システムにアクセスできる経路を最小化し、拠点ごとのネットワークセグメントを明確に分離する
- ERP等の基幹システムへの接続にはMFAを必須化し、接続元デバイス・ロールに応じたアクセス制御を実装する
- 特権アカウント(ERP管理者・サーバー管理者)へのアクセスはPAM(特権アクセス管理)ツールで管理し、ジャストインタイムで必要最小限の権限を払い出す
製造業固有のOT/ITセキュリティ
- 工場のOT環境(PLC・SCADA・MES)とIT環境を分離し、相互通信が必要な場合も一方向通信(データダイオード)・DMZ経由の制御された接続とする
- 製造ラインが停止した場合に手動オペレーションで最低限の生産を継続できるOT-BCPを策定し、現場担当者が訓練する
- 生産システムが停止した場合の受注・出荷の代替フロー(電話・FAX・他拠点への振替等)を事前定義する
身代金要求への組織的対応方針の事前決定
- 「身代金を払うか払わないか」の方針を平時にサイバー保険・法律家・経営層で事前に合意しておく。発覚後の混乱した状況で初めて議論するのは最悪のタイミングだ
- 身代金支払いに頼らない復旧手順を整備しておく。「払えば早く戻る」という前提は危険だ——HOYAのケースでは交渉が決裂し、結局HOYAは自力で復旧した
- データが漏洩した場合の対外発表・個人情報保護委員会への報告・取引先への通知フローを事前に準備する
サプライチェーンリスクの開示と管理
- 自社が取引先サプライチェーンの重要部品・部材を供給している場合、サイバー攻撃による生産停止が取引先に与える影響をリスクとして把握し、取引先に開示する計画を持つ
- 取引先から同様の供給停止リスクを受ける立場でもある。主要サプライヤーのサイバーセキュリティ体制を確認するサプライヤー評価プロセスを導入する
情シス担当者が確認すべき項目
- グローバルで共通利用しているERP・生産管理・受注システムへの接続経路を把握しているか。MFAは設定されているか
- 工場のOT環境(PLC・SCADA・MES)はITネットワークから分離されているか
- 特権アカウント(ERP管理者・ドメイン管理者)のパスワードは強固か、MFAは設定されているか
- バックアップは本番ネットワークから隔離されたオフライン環境に保管されているか
- 複数工場のシステムが同時停止した場合の事業継続計画(BCP)はあるか
- 主要製品の生産ラインが停止した場合、取引先への影響・通知タイムライン・代替供給の選択肢は把握されているか
- サイバーインシデント対応として「身代金支払いの方針」を経営層と事前に合意しているか
- サイバー保険に加入しているか。ランサムウェア被害をカバーする条件を確認しているか
- 外部のIRサービス(インシデントレスポンス会社)と事前契約(リテーナー)があるか
- 個人情報が含まれるデータが流出した場合の個人情報保護委員会への報告・対象者への通知手順が整備されているか
類似事例
- アサヒグループホールディングス(2025年9月):Qilinランサムウェアによる攻撃で30工場停止・191万件漏洩・約70億円損失。製造業のグローバル統合ITが攻撃の爆発半径を最大化した事例として共通する。OT/IT分離により製造設備は守られた。
- Norsk Hydro(ノルスクハイドロ、ノルウェー、2019年3月):世界最大規模のアルミニウム製造企業がLockerGoGaランサムウェアに攻撃され、製造ラインを手動オペレーションに切り替えながら対応。被害額は約710億円。「身代金を払わず手動で復旧」という対応方針はHOYAとも共通する。
- Change Healthcare(米国、2024年2月):ALPHV/BlackCatランサムウェアに攻撃された米国の医療決済大手。被害額は15億ドル超。製造業ではなく医療分野だが、重要インフラとしての社会的影響の大きさ・身代金支払い後のデータ返還不履行など、HOYAとは異なる教訓も含む。
参考情報
- HOYA株式会社「IT system incidentに関するお知らせ」(2024年4月)
- HOYA株式会社「システム復旧状況のアップデート」(2024年4月23日)
- BleepingComputer「Optics giant Hoya hit with $10 million ransomware demand」(2024年4月)
- piyolog「HOYAのシステム障害についてまとめてみた」(2024年4月)
- IoT OT Security News「HOYA へのサイバー攻撃:Hunters International が $10 M の身代金を要求」
- 日経クロステック「HOYAが3月末に発生したシステム障害からほぼ復旧、今期業績への影響は精査中」(2024年4月)
- Cyber Daily「Hunters International takes credit for Hoya Optics attack, demands US$10m」