2026 年 5 月 10〜15 日の わずか 1 週間 で、日本企業のランサムウェア・不正アクセス被害が 10 件以上 報じられた。注目すべきは、その多くで侵入経路が「日本本社」ではなく 海外子会社・販売子会社・業務委託先 だったことだ。前回 CAMPFIRE 記事で扱った「GitHub アカウント経由のクラウド到達」と並ぶ、もう一つのサプライチェーン構造を整理する。
直近 1 週間に集中した被害 #
- TEIKOKU のシンガポール販売子会社: Microsoft 365 アカウントに不正アクセス、セキュリティシステムに不審メール報告が集中して発覚
- 東京精密 (米国グループ会社): ランサムウェア攻撃
- 山一電機 (フィリピン子会社): ランサムウェア攻撃
- 住友金属鉱山 (海外子会社): 不正アクセス、業績影響なしと開示
- コープいしかわのギフトカタログオンラインショップ: 委託先 がランサムウェア攻撃を受けて影響
- メディカ出版 (出版子会社): ランサムウェア攻撃で国際看護学部入学生 431 名の個人情報が漏えいの可能性
- マルタケ / 公益財団法人 B&G 財団 / コタ (ヘア化粧品): それぞれ国内本体だがサーバ単位での被害
なぜ海外子会社・委託先が狙われるのか #
構造的要因は次の 3 点にまとめられる。
- セキュリティ統制の段差: 本社のセキュリティポリシーが海外現地法人や委託先に同じ水準では適用されない。ID 管理・EDR・MFA の運用に温度差が出やすい
- 共有 SaaS テナント: Microsoft 365 や Workspace のように本社と子会社で同じテナント・同じ管理者権限スコープを持つ場合、子会社の 1 アカウント陥落から本社側の情報まで横展開しうる
- 契約上の被害責任: 委託先で起きた事故は「委託元の責任」として開示・補償対象になる。これが「外注しているから安心」という誤った想定を打ち砕く
本社が打つべき統制は「境界」ではなく「アイデンティティ」 #
ファイアウォール / VPN といった境界製品をいくら強化しても、海外子会社の Microsoft 365 アカウントが落ちれば素通しだ。ID 管理 (MFA・条件付きアクセス・テナント間アクセス制御) こそが現代のサプライチェーン防御の主軸である。海外現地法人ごとに別テナントを切り、本社テナントとの間で監査ログ付きのフェデレーションを構成する、といった設計判断が必要になる。
個人・自宅ラボ運用者でも他人事ではない #
「自分は会社員じゃないし関係ない」と思う読者にも、応用できる教訓がある。
- 自宅で使う SaaS の管理者アカウント (Google Workspace, AWS, GitHub 等) は、本人だけの所有物ではなく、家族や副業先の情報を巻き込む可能性がある
- 副業や受託で他人のテナントを操作する人 は、自分のアカウントが「他社のサプライチェーンの一部」になっている自覚を持つべき
CAMPFIRE 事案は「自社内の GitHub アカウント陥落」、今回の連鎖は「海外子会社の M365 陥落」── 形は違うが、ID ひとつで組織全体に到達できる構造 は同じだ。
参考 #
- TEIKOKU シンガポール販売子会社 M365 不正アクセス (ScanNetSecurity, 2026-05-15)
- 東京精密 米国グループ会社 ランサムウェア攻撃 (ScanNetSecurity, 2026-05-14)
- 山一電機 フィリピン子会社 ランサムウェア攻撃 (ScanNetSecurity, 2026-05-11)
- 住友金属鉱山 海外子会社 不正アクセス (ScanNetSecurity, 2026-05-13)
- コープいしかわ 委託先ランサム被害 (ScanNetSecurity, 2026-05-14)
- メディカ出版 ランサム 国際看護学部 431 名漏洩可能性 (ScanNetSecurity, 2026-05-12)
- マルタケ システム障害・ランサムの可能性 (ScanNetSecurity, 2026-05-15)
- B&G 財団 マルウェア攻撃 (ScanNetSecurity, 2026-05-15)
- コタ (ヘア化粧品) ランサム 決算開示遅延 (ScanNetSecurity, 2026-05-12)
