2026 年 5 月下旬、国内の中堅企業 5 社がほぼ同じタイミングでランサムウェアや不正アクセスによる被害を公表した。楽譜販売の松沢書店、検定団体の新日本検定協会、舗装業の東京鋪装工業、温水器メーカーの三浦工業、電池系商社のエナジーウィズ。業種はバラバラだが、報道のクラスターは偶然と言うには近すぎる。
公表のタイムライン #
松沢書店ではランサムウェアにより「楽譜ナビ」「注文くん」など主力 EC が停止。新日本検定協会では委託元である共栄火災海上保険の顧客情報まで漏えいの恐れが波及し、東京鋪装工業も顧客・取引先・従業員情報の流出可能性を完全には否定できないと発表した。三浦工業は不正アクセスで 5,021 件の個人情報漏えい疑いを認め、エナジーウィズは海外グループ会社の情報が既にダークウェブへ掲載されたことを確認している。
売上規模は中堅でも、扱うデータは大企業並み。だが SOC や EDR への投資は手薄で、グループ会社・海外法人・委託先まで含めた攻撃面が監視されていない。ランサム集団から見れば「身代金は払えるが、防御は薄い」という最適なターゲット帯になる。
サプライチェーンが見えていない #
特筆すべきは新日本検定協会の件で、攻撃を受けたのは検定協会だが、漏れた可能性があるのは保険会社の顧客情報だ。エナジーウィズもまた、本社ではなく海外グループ会社の管理情報が先に流出している。自社直営の境界を守ってもダメで、業務委託先・グループ全体・契約相手の顧客リストまで含めて「自分の責任で扱っているデータ」を棚卸ししない限り、こうした波及型の漏えいは止まらない。
ハッカー視点での次の一手 #
クラスターのタイミングからは、共通のイニシャルアクセスブローカーが日本企業の VPN・RDP 認証情報をまとめ売りした可能性が透けて見える。MFA 未強制の VPN 装置、長期間ローテーションされていない管理者パスワード、休眠アカウントの放置 — どれもイニシャルアクセスの定番だ。バックアップの 3-2-1 + 不変ストレージとインシデント初動の事前訓練は、もはや大企業限定の贅沢ではなく中堅以下にも必須の最低ライン。被害公表が連鎖した今週は、自社の VPN ログを見直す絶好の口実になる。
COMMENTS 0
No comments yet — be the first to leave one.