1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. エネルギー・水道インフラ向けスマートメーター大手 Itron、社内システムへの不正アクセス

エネルギー・水道インフラ向けスマートメーター大手 Itron、社内システムへの不正アクセス

セキュリティニュース

投稿日時: 更新日時:

エネルギー・水道インフラ向けスマートメーター大手 Itron、社内システムへの不正アクセス

2026年4月24日(現地時間)、電力・ガス・水道向けスマートメーターおよびインフラ管理システムの世界的リーダーであるItron, Inc.(NASDAQ: ITRI、本社:米国ワシントン州Liberty Lake)は、米国証券取引委員会(SEC)への8-Kフォームの提出を通じてサイバーセキュリティインシデントを開示しました。2026年4月13日に第三者が同社社内システムの一部に不正アクセスしたことが判明しており、同社はサイバーセキュリティ対応計画を発動して封じ込めを完了したとしています。

この記事のサマリー

  • 2026年4月13日、Itronは第三者が社内システムの一部に不正アクセスしたことを通知されました。8-Kでの開示は4月24日です。
  • Itronは直ちにサイバーセキュリティ対応計画を発動し、外部アドバイザーを起用して調査・封じ込めを実施。法執行機関にも積極的に通知しています。
  • 不正活動の除去は完了しており、その後の社内システムへの不正活動は確認されていません。また、顧客がホストするシステム部分への不正活動も確認されていません
  • コンティンジェンシープランとデータバックアップシステムにより、業務は実質的に影響なく継続しています。
  • 直接コストの大部分は保険でカバーされる見込みで、現時点では重大な事業への影響はないと同社は評価しています。
  • 現時点でランサムウェアグループからの犯行声明はありません。法的申告・規制上の通知の必要性について評価中としています。

事案の概要

項目 内容
不正アクセスの通知日 2026年4月13日
開示(8-K提出)日 2026年4月24日
被害範囲 社内システムの一部(特定のシステム)への不正アクセス
顧客ホスト環境への影響 確認されず
業務継続 コンティンジェンシープランとバックアップにより実質継続
ランサムウェアグループの犯行声明 現時点でなし
保険適用 直接コストの大部分をカバー見込み
重大性判定 現時点では重大な影響なし

8-Kには以下の通り記載されています。

「2026年4月13日、Itron, Inc.は、第三者が同社システムの一部に不正アクセスしたことを通知された。同社はサイバーセキュリティ対応計画を発動し、外部アドバイザーの支援のもと、不正活動の評価・軽減・修復・封じ込めのための調査を開始した。対応には法執行機関への積極的な通知が含まれる」

Itron, Inc.とは——8,000以上のユーティリティが依存するエネルギー・水道インフラの要

Itronがどのような企業かを理解することが、本件の重要性を把握するうえで不可欠です。

Itron, Inc.は1977年に設立された米国のテクノロジー企業で、電力・ガス・水道向けのスマートメーター・計量データ管理システム・通信ネットワーク・ソフトウェア・コンサルティングサービスを提供しています。世界130カ国以上で8,000以上のユーティリティ企業・自治体が同社の製品・サービスに依存しており、年間売上高は約24億ドル(約3,600億円)、従業員は約9,000名規模です。

事業セグメントは以下の4つです。Device Solutions(スマートメーター等のハードウェア)、Networked Solutions(スマートメーター・通信モジュール・ネットワークインフラ)、Outcomes(AI・機械学習・データ分析ソフトウェア)、Resiliency Solutions(レジリエンス関連ソフトウェア・サービス)で構成されています。

スマートメーターの市場シェアは、電力で約65%、ガスで約80%、水道で約30%と圧倒的な世界シェアを持つ同社が攻撃を受けた事実は、エネルギー・水道インフラのサプライチェーンセキュリティという観点から注視が必要です。

なぜ本件が注目されるのか——重要インフラサプライヤーへの攻撃の意味

ItronはIoT・スマートグリッド・分散型エネルギーリソース管理等の重要インフラを担うテクノロジー企業です。直接的なユーティリティ(電力会社・ガス会社・水道局)ではなく、それらを支える「テクノロジーサプライヤー」への攻撃として位置づけられます。

今回の8-Kでは「顧客がホストするシステム部分への不正活動は確認されなかった」と述べていますが、「内部サーバーに保存されていた顧客関連データへのアクセス有無」については明示的な「no customer data accessed」という表現を使っていない点が指摘されています。調査は継続中であり、今後の続報での詳細開示が見込まれます。

本件はランサムウェアグループの犯行声明がない点も特徴的です。国家的な脅威アクターによる標的型攻撃の可能性も排除できず、今後の調査結果が注目されます。

SEC 8-K開示という対応の意義——米国の規制当局への開示義務

本件でItronがSEC 8-K(重要事象報告書)を通じて開示を行った背景には、2023年に米国SEC(証券取引委員会)が施行した新しいサイバーセキュリティ開示規則があります。上場企業は「重大なサイバーセキュリティインシデント」を検知してから4営業日以内にForm 8-Kで開示することが義務付けられています。

今回のItronの開示(4月13日通知→4月24日開示)はこの規則に基づく対応です。8-Kには「現時点では重大な影響はない」と記載しつつも、「法的申告・規制上の通知の必要性を評価中」とあり、調査継続に伴って追加開示が行われる可能性を示しています。

情シス・セキュリティ担当者へのポイント

本件はエネルギー・水道インフラを支えるテクノロジーサプライヤーへの攻撃という点で、サプライチェーンリスク管理の観点から重要な事例です。電力・ガス・水道のスマートメーターや管理システムを導入している組織にとって、機器・ソフトウェアのサプライヤーに対するセキュリティ評価(TPRM:サードパーティリスク管理)の重要性を改めて示しています。

国内の電力・ガス・水道事業者もItronの製品・サービスを利用している可能性があることから、本件の続報(データ漏洩の有無・攻撃者の特定等)を継続的に確認することが推奨されます。

▶ 関連記事:サイバー攻撃とは——定義・種類・対策を専門家が解説【2026年最新】

関連記事

エプスタインに関わる情報漏洩と関連する日本人のまとめ-エプスタイン文書では伊藤 穰一氏、林 千晶氏、田中 美歌氏のアテンド記録もエプスタインの情報漏洩と関連する日本人のまとめ-エプスタイン文書では松本 大氏や伊藤 穰一氏、林 千晶氏のアテンド記録も Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報などが大量に漏洩オンラインコード/JSON 整形ツールに貼り付けた機密情報が世界に晒されている-秘密鍵や個人情報など大量に漏洩 SonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれるSonicWall(ソニックウォール)、不正アクセスで全クラウドバックアップ 顧客のファイアウォール 設定が盗まれる Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセスGoogleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス 中国系ハッカー グループがReact Server Componentsの脆弱性 React2Shell(CVE-2025-55182)を即日悪用-AWSが警告中国系ハッカー グループがReact Server Componentsの脆弱性 React2Shell(CVE-2025-55182)を即日悪用-AWSが警告 LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデントLINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデント Gmailのアカウント 情報、最大25億人分が漏洩の可能性-パスワード変更を推奨Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨 Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)Androidで重大な脆弱性と2件のゼロデイ- 12月セキュリティパッチで緊急修正(CVE-2025-48631,CVE-2025-48633,CVE-2025-48572)