オーミケンシ株式会社は2026年7月、3月に発生したランサムウェアによるとみられるシステム障害について、外部専門家によるデジタルフォレンジック調査およびダークウェブ調査が完了したとして、最終報を公表しました。VPN経由での不正アクセスと外部クラウドストレージへのデータ送信が確認された一方、送信された具体的なファイルの特定には至らず、攻撃者のリークサイト上でも期限経過後に実データの公開が確認されていないという、判断の難しい状況が続いています。当サイトでも3月の初報以降継続して報じてきましたが、今回は一連の調査の締めくくりとなる報告です。
サマリー
- オーミケンシは2026年7月、3月16日深夜に発生したランサムウェアによるとみられるシステム障害について、外部専門家によるデジタルフォレンジック調査およびダークウェブ調査の完了を受け、最終報を公表した
- 調査の結果、不正に取得された認証情報を利用したVPN経由の侵入が確認され、攻撃者が特定のサーバーへ侵入し、外部サービスを利用した遠隔操作経路を構築した可能性が確認された。また、特定のサーバーから外部クラウドストレージサービスへデータが送信されたことも確認されている
- 一方、外部に送信された具体的なファイルの内訳については、利用可能なログおよび痕跡等から特定に至らなかったとしている
- ダークウェブ調査では、攻撃者側のリークサイト上に同社名・会社概要・ロゴが掲載されていることを確認したが、攻撃者が設定した公開期限を経過した後も、盗取されたとされる実データの公開は確認されず、データ欄には攻撃者への連絡先のみが表示されている状態だった。複数のランサムウェアグループの関連サイトを横断的に調査したが、取引先に関係する新たな情報の掲載・流通も確認されていない
- 同社は、実データの公開が確認されていないことについて「攻撃者がデータを保持していないことを確定するものではない」と、慎重な評価を明記している
- 取引先に関わるリスクについて、現時点で取引先に関係する情報が外部へ送信され、またはダークウェブ等で公開・流通していることを直接裏付ける事実は確認されていないとしつつ、送信データの具体的な内訳を特定できていないため、外部送信の可能性を完全には否定できないとしている
- 侵入経路に対する必要な対策(該当認証情報・アカウントへの措置、VPNアカウントの確認・整理)は実施済みで、通信・ログの監視体制強化、多要素認証の対象拡大、アクセス制御の強化等、さらなるセキュリティ強化策の導入を検討中としている
| 項目 | 内容 |
|---|---|
| 公表 | 2026年7月(最終報) |
| 発生日 | 2026年3月16日深夜 |
| 過去の開示 | 2026年3月23日(第一報)、4月13日(続報)、6月29日(有価証券報告書提出期限延長) |
| 侵入経路 | 不正取得した認証情報によるVPN経由 |
| 確認された事実 | 特定サーバーへの侵入、外部サービスを利用した遠隔操作経路の構築、外部クラウドストレージへのデータ送信 |
| 特定できなかった事項 | 外部送信された具体的なファイルの内訳 |
| リークサイトの状況 | 社名・概要・ロゴは掲載、公開期限経過後も実データの公開は未確認 |
| 取引先情報の流出 | 直接裏付ける事実はないが、完全な否定はできないとする慎重な評価 |
| 現在の業務 | 安全確認・復旧対応済みの環境で継続中 |
何が起きたか-これまでの経緯
当サイトで既報の通り、オーミケンシは2026年3月23日、同月16日深夜に発生したサイバー攻撃によるシステム障害を第一報として公表していました。続く4月13日の続報では、VPN経由で社内ネットワークへ侵入された可能性が高いこと、基幹システムの停止とサーバー・ファイルサーバー上のファイル暗号化が発生していたこと、一部サーバーで外部へのデータ送信が確認されたことが明らかにされ、ランサムウェアグループ「The Gentlemen」による犯行声明も確認されていました。この時点では、顧客の個人情報は含まれておらず、漏えいの可能性がある情報は従業員に関する氏名等に限定されるとの説明がなされていました。その後6月29日には、基幹システムの停止が決算・監査業務に影響し、2026年3月期の有価証券報告書の提出期限延長を申請することも公表されています。
関連:ランサムウェア グループ The Gentlemen(ザ・ジェントルメン)-急成長RaaS 日本の企業6社へのサイバー攻撃を主張
最終報で判明した調査結果
今回公表された最終報は、外部専門家によるデジタルフォレンジック調査およびダークウェブ調査が完了したことを受けたものです。調査の結果、不正に取得された認証情報を利用したVPN経由の侵入が確認され、攻撃者が特定のサーバーへ侵入したうえで、外部サービスを利用した遠隔操作経路を構築した可能性が確認されました。また、特定のサーバーから外部クラウドストレージサービスへデータが送信されたことも確認されています。しかし、外部に送信された具体的なファイルの内訳については、利用可能なログおよび痕跡等から特定に至らなかったとしています。
ダークウェブを対象とした調査では、攻撃者側のリークサイト上に同社名・会社概要・ロゴが掲載されていることを確認しましたが、攻撃者が設定した公開期限を経過した後においても、盗取されたとされる実データの公開は確認されず、データ欄には攻撃者への連絡先のみが表示されている状態だったとしています。あわせて、複数のランサムウェアグループの関連サイトを横断的に調査しましたが、取引先に関係する情報を含め、新たな情報の掲載・流通は確認されていません。
同社はこの点について、実データの公開が確認されていないことは「攻撃者がデータを保持していないことを確定するものではない」と明記しており、断定を避けた慎重な評価を示しています。
取引先に関わるリスクの評価
以上の調査結果を踏まえ、同社は現時点で取引先に関係する情報が外部へ送信され、またはダークウェブ等において公開・流通していることを直接裏付ける事実は確認されていないとしています。
一方で、外部に送信されたデータの具体的なファイル内訳を特定できていないため、当該情報が外部に送信された可能性を完全に否定することはできないとも説明しています。同社は、これは調査上の制約を踏まえた慎重な評価であり、取引先に関係する情報の流出を確認したものではないと、あらためて明記しています。
現在の対応状況と今後の対応
同社は、今回確認された侵入経路に対する必要な対策として、該当する認証情報・アカウントへの必要な措置、VPNアカウントの確認・整理を含め、同一の侵入経路を利用した不正アクセスを防止するための措置を講じているとしています。そのうえで、通信およびログの監視体制強化、多要素認証の対象拡大、アクセス制御の強化等、さらなるセキュリティ強化策について、導入に向けた検討を進めているとしています。現在の業務は、必要な安全確認および復旧対応を実施した環境において継続しているとしています。今後については、ダークウェブ等における情報の公開・流通状況の監視を継続し、取引先に関係する新たな重大事実が確認された場合には速やかに報告するとしています。








