2023年7月4日早朝、日本最大の貿易港・名古屋港で異変が起きた。コンテナ搬出入を一手に管理する統一ターミナルシステム(NUTS)が突然稼働を停止し、コンテナヤードの集中管理ゲートにトレーラーの行列が生まれた。LockBitランサムウェアによるこの攻撃は、約2万本のコンテナ搬出入とトヨタ自動車4拠点の稼働停止を引き起こした。約3日での復旧を優先した結果、バックアップからもマルウェアが検出されるなど証拠保全は困難となり、侵入経路は最終的に特定できなかった。この事案は「重要インフラを守る」「インシデント対応で何を優先すべきか」という本質的な問いを日本に突きつけた。
組織概要
名古屋港統一ターミナルシステム(NUTS:Nagoya United Terminal System)は、名古屋港のコンテナターミナルを一元管理するシステムだ。名古屋港は日本最大の貿易港であり、2022年の取扱貨物量は約3,251億円の輸出入額を誇る。日本の貿易総額の約10%を担うこの港には、トヨタ自動車・デンソー・愛知製鋼などの自動車・製造業のサプライチェーンが依存している。
NUTSを運営する名古屋港埠頭株式会社は、名古屋港の港湾施設の管理・運営を行う第三セクターだ。NUTSはコンテナの搬出入・荷役スケジュール・蔵置管理などを統合管理しており、このシステムが停止するとコンテナヤードの業務が手作業でしか行えなくなる。
何が起きたのか
タイムライン
- 2023年7月4日(火曜日)早朝:NUTSがランサムウェアに感染し、物理サーバー・全仮想サーバーが暗号化される。コンテナターミナルの集中管理ゲートにトレーラーが滞留し始め、搬出入作業を中止。LockBitの脅迫文がシステムに接続されたプリンターから自動的に印刷された。
- 2023年7月4日 午前:名古屋港埠頭が緊急対応チームを立ち上げ、外部のサイバーセキュリティ専門家および警察に通報。全てのコンテナ搬出入作業を中止。
- 2023年7月4〜5日:復旧作業を進める一方、バックアップシステムからもマルウェアが検出される。単純なバックアップからの復元ができず、マルウェア除去作業が追加で必要となり復旧に時間を要した。
- 2023年7月6日(木曜日)午前7時30分:NUTSが復旧し、コンテナ搬出入作業を再開。発覚から約2日半(約54時間)での復旧。
- 2023年7月〜8月:愛知県警・名古屋港埠頭が感染経路の調査を継続。しかし「証拠保全が十分にできなかった」(後の検証記事より)ため、侵入経路は最終的に特定できず。
攻撃経路の分析
初期侵入経路:不明(調査で特定できず)
このインシデントの最大の謎が侵入経路だ。名古屋港埠頭は「リモート接続機器の脆弱性を確認し、この脆弱性の悪用により不正アクセスを受けたとみられる」と発表したが、具体的な機器名・脆弱性のCVE番号・侵入の詳細は公表されていない。
インシデント対応の過程で「証拠保全が全くできていなかった」(後の検証報道より)という問題が生じ、フォレンジック調査に必要なログ等の証拠が保全される前にシステム復旧作業が進んでしまった。このため侵入経路の最終的な確定には至らなかった。一部報道でUSBメディア経由の感染説が流れたが、公式には確認されていない。
ランサムウェアの動作(確認済み)
LockBitは侵入後、以下の動作をしたとみられる:
- 物理サーバーおよびその上で動作する全仮想サーバーを暗号化
- バックアップシステムへのアクセス・感染(バックアップからもマルウェアが検出された)
- ネットワークに接続されたプリンターから身代金要求文書を自動印刷(LockBitの特徴的な手口)
LockBitとは
LockBitは2019年から活動する世界最大規模のRaaS(Ransomware as a Service)グループで、2023年時点で世界のランサムウェア攻撃の約40%を占めていた。RaaSモデルにより、技術的知識の低い攻撃者でもLockBitのツールを使って攻撃を実行できる。VPN機器・RDP・フィッシングメールなど多様な侵入経路を活用し、世界中の病院・自治体・企業・重要インフラを無差別に攻撃した。2024年2月に国際共同捜査(Operation Cronos)で一時的にインフラが破壊されたが、グループは完全には壊滅していない。
被害内容
システム被害
- 物理サーバー・全仮想サーバーが暗号化(台数は非公表)
- バックアップシステムにもマルウェアが感染(単純復元不可)
- NUTSの全機能:約54時間にわたり完全停止
物流・業務被害
- コンテナ搬出入への影響:約2万本
- 影響を受けた船舶:37隻
- 最大の遅延時間:約24時間
- トヨタ自動車4拠点が稼働停止(部品の搬出入ができなくなったため)
- 自動車部品・電子部品・食品など多品目のコンテナが身動きできない状態に
情報漏洩・身代金
- 情報漏洩:公式に確認されていない
- 身代金支払い:公式に確認されていない(支払いを否定する発表もなし)
なぜ被害が拡大したのか
1. バックアップも感染:復旧の遅延要因
NUTSの復旧に約54時間を要した主因の一つが、バックアップシステムへのマルウェア感染だ。通常、ランサムウェア被害の復旧はバックアップからのリストアで行うが、バックアップにもマルウェアが含まれていると、そのままリストアすれば再感染するリスクがある。マルウェアを除去した上で復旧する必要があり、追加の作業時間が必要になった。
バックアップが本番ネットワークと同一のネットワークセグメントに存在したり、本番システムからアクセス可能な状態にあった場合、ランサムウェアはバックアップも含めて暗号化・感染できる。これは「ランサムウェアがバックアップを標的にする」という現代的な攻撃手口の典型例だ。
2. 証拠保全の失敗:侵入経路が永遠に不明に
名古屋港の事案で特に重要な教訓が「復旧優先 vs 証拠保全」のジレンマだ。港湾の停止は貿易・製造業・物流に直接的な経済損失をもたらすため、復旧を最優先するのは現場の正しい判断に見える。しかし、フォレンジック調査に必要な揮発性データ(メモリ、ログ等)を保全する前に復旧作業を進めてしまうと、侵入経路の特定が永久にできなくなる。
侵入経路が特定できないということは、「同じ攻撃者が同じ経路で再び侵入できる状態が続く」ことを意味する。また、根本原因が分からないため、再発防止策の有効性も検証できない。
3. 重要インフラのセキュリティ設計の問題
港湾のOT(運用技術)システムは、ITシステムと比べてセキュリティ対策が遅れがちな分野だ。産業制御システムは安定稼働を最優先とし、セキュリティパッチの適用・セキュリティ製品の導入が困難なケースが多い。また24時間365日稼働する港湾システムにはメンテナンスウィンドウの確保も難しく、脆弱性の放置につながりやすい。
4. 単一システムへの依存:攻撃の「爆発半径」が最大化
NUTSが停止すると名古屋港のコンテナターミナル全体が機能しなくなるという単一障害点の構造が、攻撃の被害範囲を最大化した。分散化・冗長化・手動バックアップ手順の整備が重要インフラには不可欠だが、コスト・複雑さ・運用負荷の観点から集中管理になりがちだ。
同様の攻撃を防ぐ方法
インシデント対応における証拠保全の事前計画
- ランサムウェア発覚時に「最初の30分間にやること」を手順書化しておく。証拠保全(メモリダンプ・ネットワークログ・イベントログの保存)を復旧作業より前に行うステップとして明記する
- 外部フォレンジック会社との事前契約(リテーナー)を締結し、発覚時に数時間以内に専門家が介入できる体制を作る
- システム担当者と経営層が「証拠保全 vs 復旧速度」のジレンマについて事前に認識共有しておく
バックアップの3-2-1ルールとオフライン保管
- バックアップは本番ネットワークから物理的・論理的に隔離したオフライン環境に保管する(エアギャップドバックアップ)
- バックアップへのアクセスは書き込み専用(書き込みはできるが読み込み・削除は別の認証が必要)とし、ランサムウェアが自由にバックアップを操作できない設計にする
- バックアップからの復元テストを少なくとも年2回実施し、「実際に使えることを証明」する
重要インフラのネットワーク設計
- OT(運用技術)ネットワークとIT(情報技術)ネットワークを物理的または論理的に分離し、相互の通信を一方向通信(データダイオード)で制御する
- 外部からのリモートアクセスを厳格に管理し、VPN機器のパッチ適用・MFA設定・接続ログの監視を日常的に行う
- NUTSが停止した場合に手動オペレーションで最低限の港湾業務を継続できるBCP(事業継続計画)を策定・訓練する
VPN機器の脆弱性管理
- CISA KEV(既知悪用脆弱性カタログ)を毎週モニタリングし、自社で使用するVPN機器のCVEが追加された場合は72時間以内にパッチ適用を完了する
- VPN機器のEOL(サポート終了)スケジュールを把握し、EOL機器は予算計画に組み込んで計画的に更新する
- VPN認証には必ずMFAを設定し、パスワード単体での認証を廃止する
情シス担当者が確認すべき項目
- ランサムウェア発覚時の「最初の30分の手順書」は存在するか。証拠保全のステップが含まれているか
- 外部のインシデントレスポンス(IR)会社との事前契約(リテーナー)があるか
- バックアップは本番ネットワークからアクセスできない隔離環境に保管されているか
- バックアップからの復元テストを直近6ヶ月以内に実施したか
- VPN機器のファームウェアは最新か。EOL機器はないか
- VPN認証にMFAが設定されているか
- VPNアクセスログを毎日確認する担当者・手順があるか
- システムが完全停止した場合に手動・紙ベースで最低限の業務を継続できる手順が文書化されているか
- 経営層・関係部門・取引先への連絡フロー(危機対応コミュニケーション計画)が整備されているか
- OTネットワーク(製造・物流設備の制御システム)はITネットワークと分離されているか
類似事例
- 大阪急性期・総合医療センター(2022年10月):給食委託業者のVPN経由でPhobos亜種「Elbie」が侵入し電子カルテが73日停止。医療という重要インフラへの攻撃で、委託業者ネットワーク管理の重要性が共通する教訓だ。
- Colonial Pipeline(米国、2021年5月):米国最大の石油パイプライン企業がDarkSideランサムウェアに攻撃され、5日間の操業停止。米国東海岸の燃料供給に深刻な影響。重要インフラへのランサムウェア攻撃の代表的事例で、「VPN認証情報の漏洩」が侵入経路となった点は名古屋港の事案と共通する可能性がある。
- アサヒグループホールディングス(2025年9月):Qilinランサムウェアによる攻撃で30工場が停止・191万件漏洩。OT/IT分離により製造設備は守られたが、IT系の停止が工場操業(受発注・物流管理)に波及した点は名古屋港と同じ構造だ。
参考情報
- 名古屋港埠頭株式会社「名古屋港統一ターミナルシステムにおける障害について」(2023年7月)
- 日経クロステック「名古屋港のランサム被害、約3日で復旧もログまで暗号化され感染経路はいまだ不明」
- 日経クロステック「バックアップからもマルウエア検出で復旧遅れ、名古屋港統一ターミナルシステム」
- トレンドマイクロ「名古屋港の活動停止につながったランサムウェア攻撃〜今一度考えるその影響と対策」(2023年7月)
- CISA Advisory on LockBit Ransomware(2023年)
- JPCERT/CC「制御システムセキュリティ対策ガイド」