2026 年 5 月 11 日、エネサンスホールディングス (ENEOS グループ傘下の LP ガス事業統合会社) が、2025 年 10 月に発生したランサムウェア被害について第 4 報を公表した。流出した顧客情報は約 36 万 5 千件。発生から半年、ようやく規模が確定したかたちだが、それ以上に重い一文も同時に出ている。「侵入経路は特定できなかった」 ということだ。
タイムラインを半年で並べる #
ランサム被害公表の典型的な後追い型だ。攻撃を受けてから世間に件数を出すまで、ほぼ 7 カ月かかっている。
2025/10/21 — システム障害発生
サーバと端末のデータが暗号化。フォレンジック調査が開始される。
2025/11/30 — ダークウェブに掲載
窃取データが Qilin 系リークサイトに公開。RaaS グループによる二重恐喝の典型ルート。
2026/5/11 — 第4報、36.5 万件と確定
侵入手口は「インターネット接続口から侵入された可能性が高い」までしか判明せず、決定打は不明のまま再発防止策へ。
経路不明のまま再発防止策を出す重さ #
フォレンジックが初期侵入を再現できないケースは珍しくない。VPN 機器のログが上書きされていた、保持期間を超えていた、攻撃者がピボット痕跡を消した — どれも現実的なシナリオだ。だが、インフラ事業者がそれを認めて公表したことにハッカー視点では注目したい。Qilin はロシア語圏に拠点を置く RaaS で、関連グループ込みで医療・物流・エネルギーを連続して刈っている。「規模 > 痕跡」を割り切ったオペレーションで、被害側はゼロデイなのか流用認証なのか分からないまま、エッジ機器のパッチ徹底と多要素強化で「面」を塞ぐしかなくなる。発表された再発防止策が個別 IoC への対症療法ではなく、全方位の常識セキュリティに寄るのは、その帰結だ。
LP ガスは住宅と商業設備に物理で届くライフラインで、検針データと住所が結合した 36.5 万件は、フィッシング・訪問詐欺・なりすまし請求の原資としても価値が高い。「うちは攻撃対象じゃない」と構えていた事業者が標的に入りはじめている、というメッセージのほうが、件数そのものより重い。
COMMENTS 1