美濃工業へのサイバー攻撃、消し忘れアカウントが招いた被害

はじめに

2025年10月、岐阜県中津川市のアルミダイカスト製品メーカー美濃工業がランサムウェア攻撃を受け、大きな被害を出しました。侵入経路は、一時的な利用のために作成され、その後消し忘れられていたVPNアカウントでした。

この事例は、高度なハッキング技術ではなく、「一時アカウントの消し忘れ」「簡易なパスワードの使用」という、どの企業でも起こりうる基本的なミスが原因でした。攻撃者はシステムへの侵入からわずか61分で管理者権限を奪取しています。

本記事では、美濃工業の被害事例を詳しく解説し、中小企業が今すぐ取り組むべきセキュリティ対策について考えます。

美濃工業への攻撃の全貌

攻撃の概要と被害状況

2025年10月1日から4日にかけて、美濃工業はランサムウェア攻撃者グループ「SafePay」による攻撃を受けました。被害は深刻で、ドメインコントローラー（ActiveDirectory）、仮想化基盤（ESXi）を含む主要な業務系サーバー、一部のクライアントPCが暗号化されました。

さらに、主要なファイルサーバーからデータが窃取され、10月28日にはダークウェブ上の攻撃者が運営するサイトで約60GBのデータが公開されていることが確認されました。インターネット通信機器のログからは、10月2日夜から4日早朝にかけて約300GBもの情報が外部に送信されていたことも判明しています。

侵入経路は「消し忘れた一時アカウント」

攻撃の侵入経路は、FortiGate（SSL-VPN）を経由した正規VPNアカウントの悪用でした。注目すべきは、VPN機器のファームウェアは最新版に更新されており、脆弱性を利用した侵入ではなかったという点です。

問題となったのは、2025年4月10日に一時的な利用目的で作成された正規VPNアカウントでした。このアカウントは臨時で作成されたため、非常に容易なIDとパスワードで設定されていました（例：ID「temp」、パスワード「password1msys1」程度の簡易なもの）。利用終了後に削除されずにそのまま残存していたことが、今回の被害につながりました。

61分で管理者権限を奪取

攻撃のスピードは驚異的でした。2025年10月1日午後7時31分、攻撃者は不正に取得したID・パスワードを使い、社員用VPNアカウント経由で社内ネットワークに侵入しました。

そこからわずか61分後の午後8時32分には、攻撃者はシステム管理者のアカウント権限を悪用し、最高権限を掌握しています。この61分という時間は、従来のインシデント対応プロセスがもはや機能しないことを示しています。人間が異常に気付き、対応を判断し、実行に移すには短すぎる時間です。

発覚から対応まで

美濃工業がサイバー攻撃を検知したのは、10月4日午前2時25分のことでした。異変に気付いたのは米国出張中の従業員でした。土曜日未明に連絡を受けた情報管理課の係長と課長は、同日午前2時49分にネットワークを切断、午前4時45分にVPNを切断しました。

週末の間に多くのシステムを復旧させ、出荷への影響を最小限に抑えることができました。同日中に警察や関係各所への連絡、一部システムの復旧を開始し、8日には個人情報保護委員会に情報漏洩の可能性を報告しています。

なぜこのような被害が発生したのか

複合的な脆弱性

美濃工業の調査報告では、複数の脆弱性が指摘されています。

まず、管理者権限アカウントのパスワード強度が低かったことがあります（例：ID「admin-yamada」、パスワード「pw1mino01」程度）。次に、正規利用に限定するための認証（2段階認証、生体認証など）が導入されていませんでした。

また、不正利用を検知するためのパスワードロックの仕組みがなく、ネットワークも分割されていなかったため、一度侵入を許すと被害が全体に広がりやすい状態でした。

中小企業に共通する課題

美濃工業の事例は、決して特殊なケースではありません。同社の情報管理責任者を務める杉本崇副社長は「ケーススタディーとして他社の助けになればという思いで公開した」と話しています。

中小企業では、セキュリティ専任の人材が不足していることが多く、一時的に作成したアカウントの管理が行き届かないケースは珍しくありません。「後で消そう」と思いながら、日常業務に追われて忘れてしまうのです。

VPN経由のサイバー攻撃が増加している背景

VPNが最大の侵入経路に

警察庁のデータによると、2024年にランサムウェア被害に遭った100企業・団体のうち、55%がVPN経由で発生しており、他の経路を大きく上回っています。VPN機器が約47%、リモートデスクトップが約36%で、この2つで約83%を占めるというデータもあります。

トレンドマイクロが過去2年間に行ったインシデント対応支援でも、約7割がネットワーク機器経由の侵入であり、そのすべてがVPN経由でした。

中小企業の被害が6割超

2024年上半期のランサムウェア被害114件のうち、約64%が中小企業でした。大企業と取引がある中小企業は、サプライチェーン攻撃の標的にもなりやすく、より一層の注意が必要です。

VPNは構造上インターネットに一部晒されており、セキュリティパッチの適用が不十分であったり、弱い認証情報を使用していたりすると、攻撃者に格好の侵入口を提供してしまいます。

今すぐ実施すべきセキュリティ対策

1. アカウントの棚卸しと整理

まず取り組むべきは、VPN機器やシステムに登録されているアカウントの棚卸しです。一時的に作成したアカウント、退職者のアカウント、使われていないアカウントがないかを確認し、不要なものは直ちに削除しましょう。

定期的な棚卸しをルール化し、アカウント作成時には有効期限を設定することも有効です。

2. パスワードポリシーの強化

簡易なパスワードの使用を禁止し、強固なパスワードポリシーを導入しましょう。最低文字数、大文字・小文字・数字・記号の組み合わせ要件、定期的な変更要件などを設定します。

パスワードの使い回しも厳禁です。外部のサービスからパスワードが漏洩しても被害を増やさないよう、組織内でセキュリティ教育を実施しましょう。

3. 多要素認証の導入

パスワードだけでなく、多要素認証（MFA）を導入することで、認証情報が漏洩してもすぐに侵入を許さない仕組みを構築できます。スマートフォンアプリを使った認証や、ハードウェアトークンなど、複数の手段があります。

4. 機器のアップデートと脆弱性対応

VPN機器やOS、ソフトウェアを常に最新の状態に保つことが重要です。ただし、美濃工業の事例では機器は最新版だったにもかかわらず被害が発生しました。アップデートだけでなく、認証管理も同様に重要です。

5. ネットワーク分割とバックアップ

ネットワークを適切に分割することで、侵入を許した場合でも被害の拡大を防げます。また、定期的なバックアップは、万が一データが暗号化されても復元できる保険となります。

注意点・今後の展望

経営層の関与が不可欠

セキュリティ対策はIT部門だけの問題ではありません。経営層が関与し、必要な予算と人員を確保することが重要です。美濃工業の事例は、基本的な対策の不備が大きな被害につながることを示しています。

VPN依存からの脱却

セキュリティ専門企業の深谷玄右氏は「日本の組織は豊富な情報資産に比して、従来からのやり方の踏襲を好むあまり、VPNへの依存といった課題が残っており、攻撃者はこうした弱点を突こうとしています」と指摘しています。

Fortinetは2026年5月にSSL-VPNトンネルモードの技術サポートを全て終了すると発表しており、ゼロトラストセキュリティへの移行が今後のトレンドになると見込まれます。

まとめ

美濃工業の事例は、「一時アカウントの消し忘れ」という身近なミスが、わずか61分で管理者権限の奪取、数百GBのデータ漏洩という深刻な被害につながることを示しました。

高度なハッキング技術ではなく、基本的なセキュリティ対策の不備が原因だったことは、多くの中小企業にとって他人事ではありません。アカウントの棚卸し、パスワード強化、多要素認証の導入など、今すぐ実施できる対策から始めることが重要です。

同社が被害状況を詳細に公開したのは、「他社の助けになれば」という思いからでした。この教訓を無駄にせず、自社のセキュリティ対策を見直す機会としてください。

参考資料:

• 美濃工業 サイバー攻撃に関する最終報告 兼 安全宣言
• システム侵入後、1時間で管理者権限を奪取｜ITmedia NEWS
• 専門家レポート：美濃工業ランサムウェアインシデントの全貌
• VPN、サイバー攻撃被害に共通するセキュリティの注意点｜トレンドマイクロ
• 中小企業で被害多数 ランサムウェア｜政府広報オンライン