3月だけで7社が被害公表。日本の製造業にランサムウェアが集中している
2026年3月、日本の製造業を中心にランサムウェア被害が集中。村田製作所は5年で3回目、アドバンテストは半導体テスト装置世界大手。何が起きているのかを整理します。
ニュース
kkm
Backend Engineer / AWS / Django
2026年3月、何が起きているのか
2026年3月の第1週だけで、日本国内の5つの組織がランサムウェア被害を公表しました。アドバンテスト、村田製作所、シード・プランニング、山藤三陽印刷、中央学院大学。そこから3週間のうちに、さらに東山産業、オーミケンシが続きます。
これらは1つの攻撃グループによる「連鎖攻撃」ではありません。複数の異なるグループが、同時期に日本の製造業を中心とした企業を狙っている状況です。警察庁の統計によれば、2025年の国内ランサムウェア被害件数は226件で前年比4件増。2026年はそのペースを明らかに上回っています。
被害企業の顔ぶれを見ると、半導体テスト装置の世界大手、電子部品の世界シェア4割を握る企業、東京都の行政データを扱う委託先と、いずれもサプライチェーンの要所に位置する組織ばかりです。
被害を公表した企業の一覧
2026年2月下旬から3月にかけて被害を公表した主な組織を時系列で整理します。
| 公表日 | 企業・組織 | 業種 | 攻撃グループ | 主な影響 |
|---|---|---|---|---|
| 2月19日 | アドバンテスト | 半導体テスト装置 | 未特定 | ITシステム一部停止 |
| 3月2日 | シード・プランニング | 市場調査 (東京都水道局の再委託先) | 未特定 | 約13万件の 個人情報漏洩リスク |
| 3月3日 | 山藤三陽印刷 | 印刷 | 未特定 | サーバー被害 |
| 3月4日 | 共立メンテナンス | ホテル・寮運営 | INSOMNIA | 調査中 |
| 3月5日 | 中央学院大学 | 教育 | 未特定 | VPN経由で 複数サーバー被害 |
| 3月6日 | 村田製作所 | 電子部品製造 | 未特定 | 社外関係者の データ読み出しの可能性 |
| 3月10日 | 東山産業 | 福祉用具レンタル (フランスベッド委託先) | 未特定 | 5府県の利用者 個人情報漏洩リスク |
| 3月12日 | 日本スウェージロックFST | バルブ・継手 | 未特定 | 全業務停止 (5日間出荷停止) |
| 3月23日 | オーミケンシ | 繊維製品製造 | TheGentlemen (犯行声明、真偽未確認) | 全サーバー ネットワーク隔離 |
| 3月23日 | Nafco | 小売 | Akira | 最大150GBの データ窃取を予告 |
攻撃グループが判明しているのはごく一部です。多くの企業は「不正アクセスを受けた」と公表するにとどまり、攻撃者の特定には至っていません。
村田製作所は5年で3回目の被害
村田製作所は3月6日に公式発表を行い、2月28日にIT環境への不正アクセスの可能性を把握したと説明しています。外部の関係者(取引先等)に関する情報と、社内情報が不正に読み出された可能性があるとのことです。
注目すべきは、同社が5年間で3回目の被害を受けている点です。2023年5月・6月にも不正アクセスが確認されています。SNS上では「なぜ世界有数の電子部品メーカーが繰り返し狙われるのか」という疑問の声が上がっています。
侵入経路は海外子会社のVPN機器とされています。村田製作所はMLCC(積層セラミックコンデンサ)で世界シェア約40%を握り、スマートフォンからEV、産業機器まで幅広い製品に部品を供給しています。同社の生産が止まれば、世界中のメーカーに影響が及ぶ可能性があります。
今回は受発注システムの稼働は継続しており、暗号化型ランサムウェアではなくデータ窃取型(ステルス攻撃)の可能性が指摘されています。どのグループも犯行声明を出しておらず、攻撃者は特定されていません。
オーミケンシを攻撃した「TheGentlemen」とは何者か
繊維製品メーカーのオーミケンシ(証券コード3111)は3月23日、3月16日にシステム障害が発生し、第三者からの不正アクセスを確認したと東証に適時開示しました。
同日、ランサムウェアグループ「TheGentlemen」がリークサイト上で犯行声明を掲載しています。ただし、RedPacket Securityは「TheGentlemenの被害者主張には未検証または捏造の申告が含まれることが報告されている」と注記しており、この声明が事実かどうかは確認されていません。
TheGentlemenは2025年7月頃に初めて確認されたRaaS(Ransomware as a Service)グループです。Trend Microの分析によれば、以下のような特徴があります。
| 項目 | 内容 |
|---|---|
| 侵入手口 | FortiGateの管理者アカウントを 侵害してVPN経由で侵入 |
| 防御回避 | BYOVD(脆弱なドライバを持ち込む手法)で セキュリティソフトを強制終了 |
| 暗号化方式 | X25519 + XChaCha20 (Go言語で実装、復号は実質不可能) |
| 収益配分 | 実行犯(アフィリエイト)に90% 運営者に10% |
| 攻撃対象外 | ロシア・CIS諸国を 明示的に除外 |
| 恐喝手法 | 二重恐喝(暗号化 + データ公開脅迫) |
特に注目すべきは「BYOVD」と呼ばれる手法です。これは正規の(ただし脆弱性のある)ドライバをシステムに持ち込み、カーネルレベルの権限でセキュリティソフトのプロセスを止めてしまう攻撃です。EDR(エンドポイント検知・対応ツール)を導入していても、この手法で無力化されるケースがあります。
なぜ日本の製造業が狙われるのか
日本がランサムウェアグループにとって「おいしいターゲット」になっている背景には、いくつかの構造的な要因があります。
Cisco Talosの分析によれば、2025年上半期の日本国内インシデント68件のうち、被害の69%は資本金10億円未満の中小企業でした。大企業本体のセキュリティが強固でも、その取引先である中小のサプライヤーが侵入口になっています。
KasperskyのICS CERTレポートは、日本企業の「従業員の良識に過度に依存する」企業文化をセキュリティ上の弱点として指摘しています。セキュリティツールへの投資よりも「注意喚起メール」で済ませがちな傾向があるということです。
具体的な侵入経路として最も多いのはVPN機器の脆弱性です。中央学院大学もVPN経由で侵入されました。FortiGate、Citrix、Pulse Secureといった機器のセキュリティパッチが適用されないまま放置されているケースが後を絶ちません。
もう1つの要因は、日本の製造業が持つサプライチェーンの密度です。村田製作所のMLCCが止まればスマートフォンメーカーが困り、アドバンテストの検査装置がなければ半導体の出荷ができません。この「止められない」構造が、身代金を支払わせるための圧力として機能します。
Dark Readingの報道は、日本企業がインシデント後の業務復旧に長期間を要する傾向があることを指摘しています。OT(工場の制御系)とIT(業務系)が複雑に絡み合った環境では、1つのシステムを止めると全体に影響が波及するためです。
時系列で振り返る
← スワイプで移動
10月に施行される「能動的サイバー防御」法とは
こうした被害の拡大を受け、日本政府は法整備を進めています。2026年10月1日に施行予定の「能動的サイバー防御」法は、自衛隊と警察に対し、サイバー攻撃に使われるインフラを「攻撃・無力化」する権限を新たに付与するものです。
従来、日本のサイバー防衛は「攻撃を受けてから対応する」受動的な姿勢に限定されていました。新法により、攻撃の準備段階で攻撃者のサーバーを無力化するといった先制的な対応が法的に可能になります。
ただし、国際戦略研究所(IISS)は日本のサイバー能力を「第3階層」(インドやベトナムと同水準)と評価しており、法律があっても実行能力が追いつくには時間がかかるという見方が支配的です。ランサムウェアグループの大半はロシア・CIS諸国を拠点としており、攻撃インフラの無力化がどこまで実効性を持つかは未知数です。
自社が被害を受けていないか確認するためのポイント
今回の一連の攻撃を受けて、特に製造業のIT担当者が確認すべき点をまとめます。
確認すべき項目
- 1. VPN機器のファームウェアは最新か。FortiGate、Citrix、Pulse Secureが特に狙われています。パッチ適用状況を今すぐ確認してください
- 2. 海外拠点・子会社のVPN機器も対象。村田製作所は海外子会社経由で侵入されました。国内本社だけでなく、全拠点のVPN機器を確認する必要があります
- 3. EDRはBYOVD対策をしているか。TheGentlemenは脆弱なドライバを持ち込んでEDRを無力化します。ドライバのブロックリスト機能が有効か確認してください
- 4. バックアップの3-2-1ルール。3つのコピー、2種類のメディア、1つはオフサイト。ランサムウェアに暗号化されても復旧できる体制が整っているか
- 5. 委託先・取引先のセキュリティ体制。シード・プランニング(東京都の再委託先)や東山産業(フランスベッドの委託先)のように、委託先経由で情報が漏洩するケースが増えています
2026年3月の集中的な被害は、特定の企業だけの問題ではありません。日本の製造業全体がランサムウェアグループにとって魅力的なターゲットになっているという構造的な問題です。VPN機器の脆弱性対応と、サプライチェーン全体でのセキュリティ水準の底上げが、今もっとも急がれる対策です。
参照元
- • アドバンテスト サイバーセキュリティインシデント公式発表
- • 村田製作所 Notice Regarding Unauthorized Access(公式)
- • オーミケンシ サイバー攻撃によるシステム障害についてのお知らせ(日経)
- • 東京都水道局 委託先のランサムウェア感染について
- • Trend Micro: Unmasking The Gentlemen Ransomware
- • Cisco Talos: Ransomware incidents in Japan during the first half of 2025
- • Kaspersky ICS CERT: Q4 2025 industrial cybersecurity incidents
- • The Japan Times: Ransomware attacks reported in Japan number 226 in 2025
- • Dark Reading: Japanese Firms Suffer Long Tail of Ransomware Damage
- • The Register: Japan to allow 'proactive cyber-defense' from October 1st
- • RedPacket Security: THEGENTLEMEN Ransomware Victim: Omikenshi
- • セキュリティ対策Lab: オーミケンシ、サイバー攻撃によるシステム障害を公表
