VPN一台から会社の決算が止まる ― サイバー攻撃で有価証券報告書が出せなくなる仕組みと、企業がとるべき対策
2026年3月のオーミケンシへのサイバー攻撃は、VPN経由の侵入からランサムウェアによる基幹システム停止、そして有価証券報告書の提出延期にまでつながりました。事件を入口に、『VPN侵入をどう防ぐか』『なぜサイバー攻撃で決算・有価証券報告書が出せなくなるのか』を、KEVの露出実態と金融商品取引法の両面から、インフラ/セキュリティの実務目線で解説。MFA・パッチ・ネットワーク分離・ゼロトラストの実務チェックリスト付き。
目次
2026年3月のオーミケンシへのサイバー攻撃は、VPN経由の侵入からランサムウェアによる基幹システム停止、そして有価証券報告書の提出延期にまでつながりました。事件を入口に、『VPN侵入をどう防ぐか』『なぜサイバー攻撃で決算・有価証券報告書が出せなくなるのか』を、KEVの露出実態と金融商品取引法の両面から、インフラ/セキュリティの実務目線で解説。MFA・パッチ・ネットワーク分離・ゼロトラストの実務チェックリスト付き。
2026年3月、繊維メーカーのオーミケンシで起きたサイバー攻撃が、社内ネットワークの入口であるVPNから基幹システム(会社の受発注や会計などを支える中核の仕組み)の停止、さらに有価証券報告書の提出延期にまで及びました。有価証券報告書は、上場企業が一年の経営成績を国に報告する、いわば「会社の成績表」にあたる書類です。攻撃を受けたのはIT機器ですが、影響は決算という会社の根幹にまで届きました。
この記事では、この事例をもとに2つの点を実務の視点で整理します。1つは「VPN経由の侵入をどう防ぐか」、もう1つは「なぜサイバー攻撃で決算・有価証券報告書が出せなくなるのか」です。攻撃経路にはまだ公式に確定していない部分があるため、確認できた事実と、推測にとどまる部分を分けて扱います。専門用語には短い説明を添えます。
何が起きたのか ― 侵入から基幹停止、決算の延期まで
起きたことを時系列で整理します。以下は各社の報道と当該企業の開示にもとづくもので、攻撃経路や犯人像にはまだ公式に確定していない情報が含まれます。その箇所は明示します。
| 時期 | 出来事 | 確度 |
|---|---|---|
| 3/16 深夜 | 不正アクセスを検知。基幹システムが停止し、サーバー上の各種ファイルが暗号化される | 開示済み |
| 3/23・4/13 | サイバー攻撃の発生と続報を公表。一部サーバーで外部へのデータ送信も確認 | 開示済み |
| 攻撃経路 | 「VPN経由で社内ネットワークへ侵入された可能性が高い」と説明、外部調査を継続 | 可能性・調査中 |
| 犯行声明 | 「The Gentlemen」を名乗る集団がダークウェブで犯行声明。ただしサンプルデータ未公開で真偽不明 | 未確認 |
| 6/29 | 有価証券報告書の提出期限延長を申請・公表(本来 6/30 → 承認で 9/30) | 開示済み |
これは一晩で終わった障害ではありません。3月中旬の侵入から基幹システム(会社の受発注・生産・会計などを担う中核システム)の停止が長期化し、年に一度の決算開示である有価証券報告書の提出期限(本来は事業年度末から3か月後の6月30日)に間に合わず、9月30日への延長申請に至りました。一件のサイバー攻撃が、半年近くにわたって会社の根幹を揺らし続けています。以下では、この連鎖がどのように起きたのかを順に見ていきます。
ランサムウェア(身代金要求型ウイルス。ファイルを勝手に暗号化し、元に戻す鍵と引き換えに金銭を要求する攻撃)の被害は、一企業の情報漏えいにとどまりません。事業が止まり、決算が止まり、上場企業としての開示義務にまで波及します。
なぜサイバー攻撃で「決算」や「有価証券報告書」が出せなくなるのか
「ITの障害」と「有価証券報告書」は、一見すると無関係な言葉です。この2つがつながる理由を、決算のしくみからたどります。
決算は「帳簿というデータ」の上に成り立っている
決算とは、一年間のお金の動きを確定させ、正しい数字にまとめる作業です。その数字の源は、会計システムや基幹システム(ERP=会社の業務データを一元管理する仕組み)の中にある帳簿データと証憑(しょうひょう=取引の証拠となる伝票やデータ)です。ランサムウェアはこのデータそのものを暗号化して読めなくします。売上や在庫や債権の数字を確定させる土台が崩れ、今期の損益を計算する材料に手が届かなくなります。決算作業が止まるのは、担当者の問題ではなく、計算のもとになるデータが暗号化されて使えなくなるからです。
監査法人が「確認できない」と、開示は前に進めない
上場企業の決算数字は、独立した監査法人によるチェック(監査)を受けて初めて公にできます。監査は、帳簿の数字が実際の取引データと合っているかを突き合わせて確かめる作業です。元データが暗号化されて参照できなければ、監査法人も数字の正しさを判断できません。会社側の決算作業と監査法人の監査が、同じデータの停止で同時に止まります。復旧に数週間から数か月かかれば、開示もその分だけ遅れます。
提出期限は法律で決まっている
有価証券報告書は、投資家保護のために金融庁へ提出が義務づけられた、会社の成績表にあたる書類です。根拠法である金融商品取引法(金商法)は、提出期限を原則「事業年度の経過後3か月以内」と定めています。ただし、やむを得ない理由があるときは、内閣総理大臣(実務上は金融庁長官)の承認を受けた範囲で提出を遅らせることが認められています。過去には新型コロナウイルスの影響で一律の期限延長措置がとられた例もあり、承認された会社は金融庁の延長承認リストで公表されます。今回の延長申請も、この制度に沿った手続きです。書類はすべてEDINET(金融庁の電子開示システム)を通じて提出されます。
整理すると、流れはこうです。基幹システムの暗号化 → 帳簿データにアクセスできない → 決算数値を確定できない → 監査を完了できない → 提出期限(6月30日)に間に合わない → 金商法にもとづき延長を申請(9月30日)。ITの障害が、法律で定められた開示の期限にまで影響する構図です。
現場の視点:基幹システムは、止まると全部が同時に止まる設計になりがちです。受発注も生産も会計も一つのデータ基盤に相乗りしているため、そこが暗号化されると業務も決算もまとめて倒れます。可用性(止まらないこと)を優先して機能を一つにまとめた設計が、有事には「単一障害点」(そこ一つが止まると全体が道連れになる急所)になります。増改築を重ねた現場ほど、この弱点を抱えがちです。
なぜVPNが攻撃の「入口」になるのか
次に、なぜVPNが攻撃の入口になりやすいのかを見ます。VPN(Virtual Private Network=社外から社内ネットワークへ安全に入るための仮想の通り道)、とくにブラウザ経由で使うSSL-VPNは、インターネットに向けて常時、接続の窓口を開けている装置です。テレワークの普及で広く使われるようになった一方、攻撃者にとっては誰でも到達できる認証の入口に見えます。
オーミケンシの件で侵入に使われた具体的な製品名や脆弱性(CVE番号)は公表されていません(会社は「VPN経由の可能性が高い」とし、外部調査を継続中)。そのため個別のCVEは断定せず、VPN機器の脆弱性が実際の攻撃でどれだけ使われてきたかという一般的な傾向から見ていきます。
VPN機器の脆弱性は、実際に悪用され続けている
米国政府機関CISAは、現に攻撃で悪用が確認された脆弱性だけを集めた「悪用実績リスト(KEV)」を公開しています。このリストを追うと、VPN・ファイアウォールなどネットワークの境界機器が、攻撃者の初期侵入口として突出して狙われている実態が見えます。複数の集計によれば、2025年に「ランサムウェアに使われた」と分類された脆弱性のうち相当数がネットワーク境界機器に集中し、Ivanti Connect Secure は2024年以降だけで十数件、Fortinet の SSL-VPN、Citrix(いわゆる「CitrixBleed 2」=CVE-2025-5777)、Palo Alto の GlobalProtect、SonicWall などが繰り返し標的になってきました。どれが自社に該当するかは、当ブログのCISA KEV ダッシュボード(日本語版)で製品名から確認できます。
攻撃の型も共通しています。認証を回さずに突破する「認証バイパス」と、そのまま任意のコマンドを実行できる「遠隔コード実行(RCE)」の組み合わせで、ログインを飛ばして即座に機器の内部へ入り込む手口が多く見られます。日本のIPA(情報処理推進機構)も、VPN機器を踏み台にする「ネットワーク貫通型攻撃」への注意喚起を出しています。VPNを入口とする攻撃は、いまや常態化しています。
狙われる機器は、いま日本にどれだけ「見えて」いるか
攻撃者は、脆弱なVPN機器を一台ずつ手で探すわけではありません。インターネット上に露出した機器を丸ごと検索できる調査サービス(ShodanやCensysなど、公開されている機器の一覧を提供するツール)を使えば、特定メーカーのVPNでパッチが当たっていない世代のものを、まとめて絞り込めます。攻撃する側と守る側が、同じ情報を見ています。
【公開データで見る】VPN機器は、外部からどれだけ「見えている」か
以下は、攻撃を一切行わず、公開されている観測データだけを突き合わせた露出の実態です。数値は、インターネット上の機器を検索できる調査サービス(Shodan)や、世界規模で公開機器を観測する非営利組織シャドウサーバー財団(Shadowserver Foundation)などの公開情報にもとづきます。当サイトが機器へアクセス・スキャンして計測したものではなく、いずれもある時点のスナップショットで日々変動します。個別企業の特定や攻撃の再現は行っていません。
| 対象のVPN機器 | 外部から見えている数の目安 | 直近の観測 |
|---|---|---|
| Fortinet FortiGate (SSL-VPN) | 世界で約36万台が インターネット公開(Shodan集計) | 2026年6月の認証情報流出「FortiBleed」で、 ログイン情報を抜かれた機器は世界で約8.6万台。 日本も被害が確認された国に含まれる |
| Ivanti Connect Secure | 重大な欠陥の公表時に 世界で約1.6万台が露出 | 過去の公表時、国内でも 数千台規模(約2,000台)の 未対策機器が観測された |
これは一部の古い機器だけの話ではありません。2026年6月のFortiBleed(フォーティブリード)で認証情報を抜かれた約8.6万台は、インターネットに公開されたFortinet機器の相当な割合にあたると報じられ、米CISA(サイバーセキュリティ・インフラセキュリティ庁)もFortinet機器の緊急の設定見直しを呼びかけました。重大な欠陥が公表されても、数週間たっても修正されないまま公開され続ける機器が、世界で数万台単位で残ります。Shadowserverの観測でも、Ivantiの欠陥公表時でも、同じ状況が繰り返されてきました。日本の機器も例外ではありません。
ここから言えるのは、パッチを当てていないVPNは世界中から見える状態にあり、いつ攻撃の対象になってもおかしくない、ということです。オーミケンシで何が使われたかにかかわらず、同じ構造は多くの企業に当てはまります。
1台のVPNから、なぜ全社停止まで広がるのか

VPNが破られただけなら、被害は入口の一台にとどまりそうに見えます。しかし実際には、そこから全社の基幹システムの暗号化まで一気に進みます。攻撃者がたどる典型的な道筋(攻撃の連鎖=キルチェーン)は、次のように整理できます。以下は特定の事件の断定ではなく、ランサムウェア攻撃に共通する流れです。
| 段階 | 攻撃者の動き | 効く対策 |
|---|---|---|
| ① 初期侵入 | パッチ未適用のVPN、または多要素認証なしの資格情報で入口を突破 | パッチ/多要素認証 |
| ② 権限奪取 | 社内の認証基盤(Active Directory)から管理者権限や資格情報を収集 | 最小権限/管理者棚卸し |
| ③ 横展開 | 奪った資格情報でサーバーからサーバーへ侵入範囲を広げる | ネットワーク分離/EDR |
| ④ バックアップ破壊 | 復元の頼みであるバックアップを先に暗号化・削除 | オフライン保管/復元試験 |
| ⑤ 暗号化+暴露 | 基幹データを暗号化し、盗んだデータの暴露も盾に身代金を要求(二重恐喝) | データ暗号化/通信監視 |
鍵になるのは②〜③です。多くの社内ネットワークは、いったん中に入られると横移動が容易な「平ら(フラット)」な構造になっています。全社員が同じActive Directory(社内のユーザーとパソコンを一括管理する認証の"戸籍"のような仕組み)にぶら下がり、管理者権限が広く共有されていると、攻撃者は一つの資格情報を足がかりに横展開(ラテラルムーブメント=隣のサーバーへ次々に侵入範囲を広げること)で全体へ回り込みます。入口の一台が、社内全体への通行証になります。
④は、被害を復旧不能に近づける決定打です。多くの組織は「バックアップがあるから大丈夫」と考えますが、攻撃者はそれを見越して、暗号化の前にまずバックアップを探し出して壊します。バックアップが本番と同じネットワークに常時つながっていれば、それも一緒に暗号化されます。⑤の二重恐喝(データを暗号化して業務を止めるだけでなく、盗み出したデータを「払わなければ公開する」と脅す二段構え)が成立するのもこのためです。今回「一部サーバーで外部へのデータ送信も確認」された開示は、この持ち出しの痕跡にあたります。なお「The Gentlemen」を名乗る犯行声明が出ていますが、サンプルデータは未公開で真偽は不明であり、この記事では犯人像を断定しません。
現場の視点:VPNやネットワークの「平らさ」が放置される理由は、多くの場合「止められないから」です。VPNは全社員の在宅勤務の生命線で、パッチ適用の再起動一つにも業務停止の調整が要ります。ネットワーク分離は動いているものを切り分ける手間を伴い、後回しにされます。機器の棚卸しも、増改築を重ねた社内では全体を把握しきれていないのが実情です。可用性を守るための現実的な判断の積み重ねが、結果として侵入後の被害を大きくします。だからこそ、あらかじめ区画を分けておくことが効きます。
何から対策するか
対策は、前章のキルチェーンの各段階を断ち切る順に考えると整理しやすくなります。まず優先すべきは入口を塞ぐことです。VPNには多要素認証(MFA)を必須にします。MFAはパスワードに加えてスマホの確認などもう一段の本人確認を挟むしくみで、パスワードが漏れても初期侵入の大半を止められます。パッチはすべてを一律に急ぐのは難しいため、KEVダッシュボードで実際に攻撃に使われていると分かっている脆弱性を優先し、VPNやファイアウォールを最上位で扱います。あわせて、退職者や検証用の放置アカウントは攻撃者の裏口になるため、使っていないVPN・管理者アカウントを定期的に棚卸しし、アクセスログも長期に保全します。
入られた後に被害を抑える備えも欠かせません。基幹システムや会計サーバーを一般の業務ネットワークから区切り(セグメンテーション)、管理者権限を最小限に絞れば、一つの資格情報が奪われても横展開の範囲を封じられます。各機器の不審な挙動を検知して対応するEDR(Endpoint Detection and Response)は、入口を抜けた攻撃者を見つける網になります。バックアップは、3つの複製を2種類の媒体に、うち1つは離れた場所に置く「3-2-1」に加え、本番ネットワークから切り離したオフラインの保管を1本持ち、戻せることを定期的に試すことが、暗号化への保険になります。試していない復元は、無いのと同じです。
より長い目では、境界を守るという発想そのものを見直す動きがあります。従来のVPNは一度入れば中を信用するモデルで、これが横展開を許す一因でした。近年は、アクセスのたびに本人と端末を検証し続けるゼロトラスト(Zero Trust)や、その実装として必要なアプリにだけ最小限の接続を許すZTNA(Zero Trust Network Access)への移行が進んでいます。全社の入れ替えは一朝一夕には進みませんが、境界防御の限界を踏まえれば、向かうべき方向はここにあります。
経営が知っておくべき事業影響と復旧の現実
ランサムウェア被害は、IT部門だけの問題ではありません。今回の事例が示すとおり、復旧は数週間から数か月に及び、その間ずっと事業と決算と開示が止まり続けます。売上機会の損失、取引先の信用不安、株主・投資家への説明責任、社会的評価(レピュテーション)の低下と、被害額は身代金の有無をはるかに超えて膨らみます。
経営としてあらかじめ決めておくべきことは、少なくとも次の3つです。第一に、身代金は「払わない」を原則に、意思決定の筋道を事前に固めておくこと。支払っても復旧の保証はなく、次の標的にされる懸念もあり、国内外の当局も支払いに慎重な立場です。第二に、インシデント発生時の公表と当局対応の段取り。個人データが絡めば個人情報保護委員会への報告義務が生じ、上場企業なら適時開示(投資家に向けて重要な出来事を速やかに公表すること)、そして今回のように開示書類の期限にも波及します。第三に、サイバー保険と事業継続計画(BCP)を実際に使えるものにしておくこと。復旧の初動、代替手段、連絡体制を、平時に一度でも机上で回しておくかどうかが有事を分けます。
セキュリティ投資は「効果の見えないコスト」と見なされがちです。しかし、VPN一台の侵入から決算の停止、法定開示の遅れまで一本につながった今回の経緯を見れば、それが事業そのものを守る投資であることがわかります。対策は、いちばん効く一手であるVPNのMFAから順に進めるのが現実的です。
まとめ ― いま打てる手と今後の見通し
9月30日に延長された有価証券報告書が予定どおり提出されるか、攻撃経路が公式に確定するかは、今後の発表を待つことになります(判明しだい、この記事の末尾の更新履歴に追記します)。一方で、この事例から得られる2つの論点は、状況が変わっても有効です。「VPN経由の侵入をどう防ぐか」は、MFA・パッチ・ネットワーク分離・ゼロトラストで。「なぜ攻撃で決算・有価証券報告書が止まるのか」は、基幹データという単一障害点への備えで、いずれも今日から着手できます。
まず着手すべきは、VPNへの多要素認証です。ここを固めることが、被害の入口をふさぐ最も確実な一手になります。
よくある質問
VPN経由の侵入を防ぐ、いちばん効く対策は何ですか?
まずVPNへの多要素認証(MFA)の必須化です。パスワードが漏れても、もう一段の本人確認があるだけで初期侵入の大半を止められます。次に、実際に悪用されている脆弱性を優先したパッチ適用(KEVダッシュボードを参照)、使っていない管理者アカウントの棚卸しが続きます。
なぜサイバー攻撃で有価証券報告書が出せなくなるのですか?
決算の数字は、基幹システム内の帳簿データの上に成り立っています。ランサムウェアがそのデータを暗号化すると、決算数値を確定できず、監査法人の確認も進みません。有価証券報告書は金融商品取引法で提出期限(原則、事業年度後3か月)が定められているため、間に合わない場合は金融庁長官の承認を得て提出期限を延長します。
身代金は払うべきですか?
原則「払わない」を推奨します。支払っても確実な復旧の保証はなく、再度の標的になる懸念もあり、当局も支払いに慎重です。平時に「支払わない前提での復旧計画(オフラインバックアップからの復元など)」を用意しておくことが、有事の意思決定を支えます。
中小企業でも狙われますか?
はい。攻撃者は露出したVPN機器を機械的に探すため、企業規模ではなく「開いている・パッチが古い」機器から順に狙われます。むしろ対策の手が薄い組織ほど侵入されやすいのが実情です。
復旧までどれくらいかかりますか?
被害範囲によりますが、基幹システムが暗号化された場合、数週間から数か月に及ぶことも珍しくありません。今回の事例では、3月の被害から決算開示(有価証券報告書)の提出が9月まで延期される事態に至っています。
更新履歴
- 2026-07-14初版公開。オーミケンシの事例(VPN侵入→基幹停止→有価証券報告書の提出延期)をもとに、VPN侵入対策と、攻撃で決算が止まるしくみを解説。
- 追記予定9月30日に延長された有価証券報告書の提出結果、攻撃経路の公式確定、新たなVPN機器CVEのKEV追加を、判明しだい追記します。
参照元
- ▸オーミケンシ、サイバー攻撃はVPN経由か―ランサムウェアグループが犯行声明(セキュリティ対策Lab)
- ▸オーミケンシ、サイバー攻撃による基幹システム停止で有価証券報告書の提出期限延長を申請(セキュリティ対策Lab)
- ▸有価証券報告書等の提出期限の延長について(金融庁)
- ▸有価証券報告書等の提出期限の延長が承認されている会社一覧(EDINET)
- ▸VPN機器等に対するネットワーク貫通型攻撃のおそれについて(IPA)
- ▸Network appliance vulnerabilities exploited for ransomware(CyberScoop)
- ▸NVD - CVE-2025-5777(Citrix、いわゆる CitrixBleed 2)

堀川 慎
Backend Engineer / AWS / Django / Go