セキュリティ対策を考えるとき、海外の派手な事件より「同じ国・同じ商習慣・同じ規制の下で起きた事故」のほうがはるかに参考になります。委託構造、Just-In-Time 生産、個人情報保護委員会や総務省の行政指導——日本企業ならではの文脈が、被害の広がり方と「効いた対策/効かなかった対策」を決めているからです。
この記事は、2020〜2025 年に公表された国内の主要なセキュリティインシデント 12 件を一覧で俯瞰し、そこから繰り返し現れる侵入口と失敗パターンを抽出します。個別事件の速報ではなく、「自社で同じことが起きないために何を確認すべきか」を引き出すための事例研究です。
主要インシデント一覧(2020–2025)
時系列で並べると、侵入口の多くが「VPN・境界機器」と「委託先・グループ会社」に集中していることが見えてきます。
| 事案 | 時期 | 種別・攻撃者 | 侵入口 | 主な被害 |
|---|---|---|---|---|
| 三菱電機 | 2020年1月公表 | 標的型APT(BlackTech) | ウイルス対策製品の管理サーバ(CVE-2019-9489) | 防衛・官公庁関連情報の流出懸念、延べ24.5万台が調査対象 |
| ホンダ | 2020年6月 | ランサム(EKANS/Snake・ICS標的) | 標的型(固有ドメイン判定をコードに内蔵) | 狭山・寄居など国内外の工場が相次ぎ停止 |
| 富士通 ProjectWEB | 2021年5月 | 不正アクセス(SaaS) | 正規の認証情報を悪用 | NISC・国交省・外務省など142組織に波及 |
| つるぎ町立半田病院 | 2021年10月 | ランサム(LockBit 2.0) | FortiGate VPN の未修正脆弱性(CVE-2018-13379) | 電子カルテ約60日停止・復旧費用約2億円 |
| 小島プレス工業(トヨタ) | 2022年2月 | ランサム(二重脅迫) | 特定に至らず | トヨタ国内全14工場停止・約1.3万台に影響 |
| 大阪急性期・総合医療センター | 2022年10月 | ランサム(Phobos亜種 Elbie) | 給食委託業者の FortiGate VPN を踏み台 | 電子カルテ約73日停止・被害額約20億円 |
| 名古屋港統一ターミナル(NUTS) | 2023年7月 | ランサム(LockBit・重要インフラ) | 特定に至らず(証拠が消失) | コンテナ約2万本・トヨタ4拠点が停止 |
| LINEヤフー | 2023年10月 | 不正アクセス | 委託先PCのマルウェア感染→共通認証基盤(NAVER) | 約44万件漏洩・総務省の行政指導 |
| HOYA | 2024年3月 | ランサム(Hunters International) | 窃取型 | 約170万ファイル窃取・15億円要求を拒否し約24日で復旧 |
| イセトー | 2024年5月 | ランサム(8Base) | 3年未更新VPN+7年同一の弱いパスワード+MFA無し | 307万件超漏洩・自治体/金融など30社以上に波及 |
| KADOKAWA | 2024年6月 | ランサム(BlackSuit) | EDR未導入・ESXi集中管理・ネットワーク分離不備 | ニコニコ等が約2ヶ月停止・約25.4万件漏洩・特別損失24億円 |
| アサヒグループHD | 2025年9月 | ランサム(Qilin) | VPN経由・パスワード脆弱性で権限奪取 | 30工場停止・191万件漏洩・損失70億円超 |
各インシデントの詳細(時系列)
一覧だけでは伝わらない「何が起きて、どこから入られ、なぜ被害が広がったのか」を、公表情報をもとに1件ずつ整理します。各事案の末尾に、自社で同じことを起こさないための教訓を添えています。
2020年1月:三菱電機 — セキュリティ製品が突破口になった標的型攻撃
2020年1月に公表された、中国系APT「BlackTech」による標的型攻撃。2019年に中国拠点で使われていたウイルス対策製品(ウイルスバスター法人版)の管理サーバのゼロデイ脆弱性(CVE-2019-9489)が突破口となり、製品の「アップデート配信」機能を逆用する形で国内拠点のPCにも感染が拡大しました。延べ24.5万台が調査対象となり、防衛装備庁・JAXA・原子力規制委員会など10以上の官公庁とのやり取りを含む機密情報が流出した可能性が指摘されました。ログが消去されていたため、被害の全容特定は難航しました。
教訓: 全端末に高権限で接続する「セキュリティ製品の管理基盤」自体が狙われると、防御の要が攻撃の配送路に変わります。管理基盤の保護・監視と、改ざんされにくいログ保全が欠かせません。
2020年6月:ホンダ — 製造ライン(ICS/OT)を狙った初期のランサムウェア
2020年6月8日、本田技研工業がSNAKE(EKANS)ランサムウェアに感染し、埼玉製作所(狭山・寄居)を含む国内外の工場が相次いで停止しました。EKANS は産業制御システム(ICS/OT)関連のプロセスを明示的に停止対象へ含む点が新しく、検体に mds.honda.com というホンダ固有の内部ドメインを確認するコードが組み込まれていたことから、無差別ではなく標的型と判断されました。
教訓: ランサムウェアが「事務PCの暗号化」から「製造を止める」フェーズへ移行した転換点。OT領域を含めた封じ込め計画と、IT/OTの分離が必要です。
2021年5月:富士通 ProjectWEB — SaaS 1本の侵害が142組織へ
2021年5月、富士通が提供するクラウド型プロジェクト管理ツール「ProjectWEB」が不正アクセスを受け、内閣サイバーセキュリティセンター(NISC)・国土交通省・外務省・成田国際空港など142の顧客組織の情報が漏洩しました。正規の認証情報を悪用した「侵入に見えにくい」攻撃で、共同利用される基盤の1点が破られると、政府・重要インフラ全体へ一気に波及しました。同サービスは最終的に提供終了に至っています。
教訓: 共有SaaS基盤は便利な反面、単一障害点になります。預けるデータの最小化と、提供側の侵害を前提にした監視・契約上の要件定義が重要です。
2021年10月:つるぎ町立半田病院 — 地方公立病院が機能停止
2021年10月31日、徳島県のつるぎ町立半田病院がLockBit 2.0に感染し、電子カルテが約60日間停止しました。侵入口は FortiGate VPN 機器の未修正脆弱性(CVE-2018-13379)——パストラバーサルで認証情報が窃取される既知の重大バグです。復旧費用は約2億円に達し、新規患者の受け入れ制限など地域医療に直接の影響が出ました。
教訓: 「パッチ未適用のVPN」という最も基本的な穴。境界機器の脆弱性管理は、人命に直結する現場ほど後回しにできません。
2022年2月:小島プレス工業 — トヨタ国内全14工場が停止
2022年2月26日夜、トヨタ自動車のTier1サプライヤー小島プレス工業がランサムウェア(二重脅迫型)に感染。翌3月1日、トヨタは国内全14工場28ラインを停止し、約1万3,000台の生産に影響が出ました。1社のサプライヤー停止が完成車メーカー全体を止めた、ジャスト・イン・タイム(JIT)生産の脆弱性を象徴する事案です。侵入経路は調査でも特定に至りませんでした。
教訓: サプライチェーンのセキュリティは「自社+直接の取引先」まで含めて考え、取引先被害時の縮退・代替を事前に計画しておく必要があります。
2022年10月:大阪急性期・総合医療センター — 委託業者のVPN経由で電子カルテ73日停止
2022年10月31日、Phobos亜種「Elbie」に感染。侵入口は給食委託業者(ベルキッチン)の古い FortiGate VPN(v5.4.8)を踏み台にしたものでした。電子カルテが完全停止し、完全復旧(2023年1月11日)まで約73日、被害額は約20億円に上りました。全ユーザーに管理者権限・パスワード共通化・ウイルス対策ソフト未設定という三重の管理不備が、侵入後の被害を大きくしました。
教訓: 委託先の脆弱性が自院に直結します。加えて、内部の権限設計・パスワード運用の甘さが「入られた後」の被害規模を決定づけます。
2023年7月:名古屋港 NUTS — 重要インフラ停止と証拠保全のジレンマ
2023年7月4日、日本最大の貿易港・名古屋港の統一ターミナルシステム(NUTS)がLockBitに感染し、コンテナ搬出入約2万本とトヨタ4拠点が停止しました。約3日で復旧を優先した結果、バックアップからもマルウェアが検出されるなど証拠保全が困難になり、侵入経路の特定には至りませんでした。
教訓: 事業継続のための早期復旧と、原因究明のための証拠保全はしばしば対立します。平時に優先順位と手順を決めておくことが重要です。
2023年10月:LINEヤフー — グループ共通の認証基盤を突かれて44万件
2023年10月9日、ユーザー・取引先・従業員の個人情報合計約44万件が漏洩。経路は、NAVER Cloud社の委託先企業の従業員PCがマルウェアに感染→旧LINE社の社内システムとNAVER Cloudが共有していた認証基盤を経由した侵入という、国際的なグループ企業間の認証連携が生んだ複合的リスクでした。総務省は「資本関係の見直しを含む経営体制の見直し」という前例のない行政指導を行いました。
教訓: グループ・委託先と共有する認証基盤は単一障害点になり得ます。境界と権限の分離、委託先端末のセキュリティまで管理範囲に含める必要があります。
2024年3月:HOYA — 15億円要求を拒否して自力復旧
2024年3月30日、光学・半導体部品大手のHOYAがHunters Internationalに侵害され、約170万ファイル(約2TB)を窃取された上で1,000万ドル(約15億円)の身代金を要求されました。HOYAは支払いを拒否し、約24日で復旧。眼鏡レンズ・医療機器・半導体フォトマスク(EUVリソグラフィ関連)など複数の製品ラインに影響し、チップ製造サプライチェーンにも波紋が及びました。
教訓: 「払わない」を選べるかは、バックアップと復旧体制の強さで決まります。支払い拒否でも事業を立て直せた好例です。
2024年5月:イセトー — 初歩的な三重の欠陥で307万件・委託元30社超へ波及
2024年5月、BPO企業イセトーが8Baseに侵害され、307万人超の個人情報が漏洩。VPN機器を3年間未更新、管理者パスワードは英小文字のみ11桁を7年間変更なし、MFA未導入という初歩的な三重の欠陥が重なりました。豊田市・徳島県・和歌山市などの自治体や、三菱UFJ信託銀行・伊予銀行などの金融機関を含む30以上の委託元に被害が波及し、個人情報保護委員会の行政指導に至りました。
教訓: 「基本のき」(パッチ・パスワード・MFA)の放置が最大のリスク。委託先が大量の委託元データを抱える構造は、1社の事故が広範囲に及びます。
2024年6月:KADOKAWA — 払っても戻らなかった日本最大級の事案
2024年6月8日、BlackSuitに侵害され、ニコニコ動画・N高など複数サービスが約2ヶ月停止、最大254,241人の個人情報が流出、特別損失24億円を計上しました。EDR未導入・ESXi/vSphereの集中管理・ネットワーク分離の不備という三重の弱点が重なり、検知から3日間、攻撃を阻止できませんでした。身代金を支払ったとされますが、データの回復にはつながりませんでした。
教訓: 仮想基盤(ESXi)の集中管理は、1点を取られると全VMを失います。EDR・分離・バックアップの不在が被害を最大化します。「払えば戻る」は幻想です。
2025年9月:アサヒグループHD — VPN経由で30工場停止、OT分離が効いた
2025年9月、Qilinに侵害され、30工場停止・191万件漏洩・推定70億円超の損失。侵入は検知の10日前からVPN経由で始まり、業務時間外に横展開し、パスワードの脆弱性を突いて管理者権限を奪取されました。一方でOT/ITの分離が製造ラインの一部を守った成功要因とされ、同社はVPNの廃止を決断しています。
教訓: VPNは侵入口になりやすく、潜伏で検知が遅れます。OT/IT分離は被害を限定します。侵入を前提に、横展開・時間外アクセスを検知する監視が要ります。
横断して見える共通パターン
パターン1:VPN・境界機器の「未更新」が最大の入口
半田病院(CVE-2018-13379)、大阪急性期・総合医療センター(委託業者の古い FortiGate)、イセトー(3年間 VPN 未更新)、アサヒ(VPN 経由)——侵入口が判明した事案の多くが、VPN や境界機器の既知脆弱性・設定不備でした。境界機器は「インターネットに常時露出し、かつ社内へ直結する」ため、パッチ遅れが致命傷になります。
- VPN/ファイアウォール/メール gateway のファーム更新を最優先のSLAで運用する
- EOL(保守終了)機器を残さない。使っていない VPN アカウント・機器は廃止する
- VPN に多要素認証(MFA)を必須化する(MFA / TOTP / FIDO2)
パターン2:委託先・グループ会社経由(サプライチェーン)
富士通 ProjectWEB(SaaS 1 本の侵害が 142 組織へ)、LINEヤフー(委託先 PC →グループ共通の認証基盤)、イセトー(BPO 企業の侵害が委託元 30 社超へ)、大阪の医療センター(給食委託業者の VPN)——自社の防御が堅くても、つながった先の弱点から侵入される構図が繰り返されています。
- 委託先のセキュリティ要件を契約で明示し、定期的に点検する
- グループ間の共通認証基盤は「単一障害点」になり得る。境界・権限を分離する
- 外部に預けるデータは最小化し、不要になったら確実に削除させる
ソフトウェア側のサプライチェーンについては サプライチェーン攻撃の6類型と防御 も合わせてご覧ください。
パターン3:認証の弱さ(共通パスワード・長期間未変更・MFA無し)
イセトー(英小文字のみ11桁を7年間使い回し)、大阪の医療センター(全ユーザー管理者権限・パスワード共通化)が典型です。侵入後に横展開と権限昇格を容易にしたのは、こうした認証運用の甘さでした。
- 管理者権限は最小化し、共有アカウント・共通パスワードを廃止
- 長く強い資格情報を使う(Password Generator)。可能ならフィッシング耐性のある MFAへ
- ゼロトラストの発想で「内部だから信頼」をやめる(ゼロトラストとは)
パターン4:製造ライン・重要インフラへの波及(Just-In-Time の脆さ)
小島プレス(Tier1 の停止でトヨタ全14工場が止まる)、ホンダ(ICS/OT を標的)、名古屋港(港湾機能の停止)、アサヒ(30工場停止)——IT の事故が物理の生産・物流を止める段階に来ています。在庫を絞る JIT は効率的な反面、1点の停止が全体に波及します。
- OT/IT を分離する(アサヒでは製造ラインを守った成功要因とされる)
- 主要サプライヤーのインシデント時の代替・縮退運転を事前に計画する
パターン5:復旧優先か、証拠保全か
名古屋港は約3日で復旧を優先した結果、バックアップからもマルウェアが検出され、侵入経路の特定に至りませんでした。事業継続のための早期復旧と、原因究明・再発防止のための証拠保全は、しばしば対立します。平時に方針を決めておくことが重要です(インシデント対応の進め方)。
パターン6:身代金を「払っても戻らない」
KADOKAWA は身代金を支払ったとされますがデータは回復しませんでした。一方 HOYA は 15 億円の要求を拒否して自力で復旧しています。支払いは復旧も漏洩停止も保証せず、攻撃者の資金源になります。「バックアップと復旧計画」こそが交渉力です。なお、暗号化を伴わない窃取型恐喝の増加など最新動向は 2026年のランサムウェア を参照してください。
パターン7:セキュリティ製品・管理サーバ自体が踏み台に
三菱電機ではウイルス対策製品の管理サーバのゼロデイが突破口になり、更新機能を通じて感染が拡大しました。高権限で全端末に接続する管理基盤(資産管理・EDR・MDM 等)は、攻撃者にとって魅力的な標的です。管理基盤の保護・監視・最小権限を忘れないでください。
日本企業が今すぐ確認すべきチェックリスト
- ☐ インターネットに面した VPN・境界機器のファームを最新化し、未使用機器/アカウントを廃止した
- ☐ VPN・管理系・特権アクセスに MFA を必須化した
- ☐ 管理者権限を最小化し、共有・共通パスワードを廃止した
- ☐ 委託先・グループ会社のセキュリティ要件を契約で定め、点検している
- ☐ バックアップをオフライン/イミュータブルで保持し、復旧手順を実際に試した
- ☐ OT/IT を分離し、主要サプライヤー停止時の縮退運転を計画した
- ☐ 資産管理・EDR・MDM など高権限の管理基盤を保護・監視している
- ☐ 早期復旧と証拠保全の優先順位を平時に決め、インシデント対応手順を整備した
関連する解説
おわりに
12 件を並べると、攻撃の名前や攻撃者は違っても、入口は「未更新の境界機器」と「委託・グループ経由」、被害拡大の鍵は「弱い認証」という共通項が浮かび上がります。逆に言えば、ここを押さえるだけで多くの事案は防げた、あるいは被害を小さくできた可能性が高い、ということです。自社の状況を上のチェックリストで一度棚卸ししてみてください。
※ 本記事の事実関係は、各社・各機関の公表資料、IPA/JPCERT/CC、個人情報保護委員会・総務省などの公開情報に基づく事例研究です。詳細・最新の状況は各一次情報をご確認ください。