日本農薬株式会社は2025年5月16日、同社の連結子会社である株式会社ニチノー緑化(以下、NR)が受けたランサムウェアによるサイバー攻撃の調査結果を公表しました。これは2月14日に発表された第一報に続くもので、外部の専門家による詳細調査が完了したことを受けての報告です。
目次
被害の概要と経緯
NRでは2025年2月11日、サーバ上のデータが暗号化され、アクセスできなくなる障害を確認。その後の調査により、第三者によるランサムウェア攻撃であることが判明しました。
当該サーバには、以下のような情報が含まれていたことが明らかになっています。
-
取引先の個人情報(氏名、住所、電話番号)
-
NRの事業活動に関わる技術情報および営業情報(管理会計データ、工事関連書面、製品試験データ など)
調査の結果、漏えいの量や種類は特定できないものの、一部情報について外部流出の可能性が否定できないとしています。
なお、今回攻撃を受けたサーバはNRのみが使用していたものであり、NICHINOグループの他のシステムには影響がなかったとのことです。
原因と技術的背景
侵入経路の完全な特定には至っていないものの、システムの脆弱性を突いた攻撃によって社内アクセス情報が窃取され、悪意のあるプログラムがインストールされたことでデータの暗号化が引き起こされたことが判明しています。
サプライチェーン全体におけるセキュリティ対策
サプライチェーン攻撃に対するセキュリティ対策は一般的には以下です
委託先・取引先に対するセキュリティ基準の明確化と契約化
-
セキュリティポリシーや管理基準(ISMSやNIST等)を明確に定め、取引契約やNDAに組み込むことで準拠を義務化。
-
特に機密情報や個人情報を扱う業務委託では、セキュリティ遵守を明文化し、違反時の責任範囲を明確にします。
サプライヤーリスクアセスメントの定期的な実施
-
委託先のサイバーセキュリティ体制・インシデント対応能力などを評価。
-
重要なサプライヤーに対しては、訪問監査や自己診断シートを用いて実態を確認。
-
リスクの高い委託先には、監査・改善指導を実施。
ゼロトラストモデルの導入
-
「すべての通信を信頼しない」前提で、委託先も含めたアクセス制御・検証を厳格化。
-
ネットワークセグメンテーションやマルチファクター認証(MFA)を導入し、委託先のアクセス権限を最小限に限定。
ソフトウェア/ハードウェアのサプライチェーン管理
-
利用する機器やソフトに関しても製造元や開発元の信頼性を確認。
-
未承認デバイスの接続制限や、SBOM(ソフトウェア部品表)の取得による脆弱性管理を実施。
インシデント対応体制の共有と訓練
-
インシデント発生時に迅速に連携できるよう、連絡体制や初動対応フローを共有。
-
委託先を含めたインシデント対応訓練(机上演習やログ分析)を年1回以上実施。
情報共有と脅威インテリジェンスの活用
-
業界団体やISAC(Information Sharing and Analysis Center)を通じて脅威情報を共有。
-
攻撃事例や新たなマルウェアに関する情報を委託先ともリアルタイムに共有。
人材教育・啓発の継続
-
社内外の関係者に対し、標的型攻撃メールの訓練やセキュリティ研修を定期的に実施。
-
委託先社員にも同等の教育を義務付けることが重要。
サプライチェーンにおけるセキュリティインシデントは、1社の脆弱性が全体の業務停止や社会的信用失墜につながるリスクがあります。上記のような技術的・人的・組織的な多層防御をバランスよく取り入れ、全体での防御力を高めていくことが、今後の企業に求められる対応です。
関連記事
髙野総合会計事務所のサイバー攻撃とランサムウェア攻撃による個人情報 漏洩のまとめ
ランサムウェアの事例 【2024年】
Google Cloudが2025年に多要素認証(MFA)を必須に
TOPPAN 海外子会社がランサムウェア 被害 一部 顧客 情報が流出の可能性
徳島大正銀行が業務委託先(イセトー)のランサムウェア被害を公表
ロンドンの病院がランサムウェア攻撃で800件以上の手術を中止
税理士法人夏目事務所が不正アクセスとランサムウェア 被害の第一報を公表
ランサムウェア BlackSuit(ブラックスーツ)がKADOKAWAから窃取した新たなデータを公開
関通、ランサムウェアによるサイバー攻撃の被害で純損失8.4億円を計上 特別損失・業務停止による影響が業績を圧迫
