はじめに

サントリーホールディングス（HD）は2026年1月21日、広報業務の委託先がランサムウェア（身代金要求型ウイルス）によるサイバー攻撃を受け、個人情報が流出した可能性があると発表しました。

漏洩の恐れがあるのはメディア関係者など914人分の個人情報で、記者会見の出席登録に必要な氏名や所属会社名、連絡先などが含まれています。広報業務の一部を委託しているジエーピーエス（東京・中央区）のシステムが第三者による不正アクセスを受けたことが原因です。

本記事では、今回の事案の詳細に加え、日本企業を取り巻くランサムウェアの脅威と、委託先を含めたサプライチェーン全体でのセキュリティ対策について解説します。

事案の概要

流出した可能性のある情報

今回の攻撃で流出した可能性があるのは、メディア関係者など914人分の名刺などに記載されていた情報です。具体的には、氏名、所属会社名、電話番号、メールアドレスなどの連絡先情報が含まれています。

対象となるのは、2025年6月から12月の間にサントリーの記者会見に出席したり、広報文を受け取ったりした方々とされています。

攻撃の経緯

サントリーHDによると、広報業務の一部を委託しているジエーピーエス（東京・中央区）のシステムが第三者による不正アクセスを受けました。攻撃にはランサムウェアが使用されており、システムへの侵入後にデータが暗号化されるとともに、情報が外部に流出した可能性があります。

深刻化する日本企業へのランサムウェア攻撃

2025年の被害状況

2025年は、ランサムウェアを用いた攻撃により日本を代表する大企業が相次いで被害を受けた年となりました。警察庁の集計によると、2025年上半期の国内ランサムウェア被害報告は116件で、2022年下半期と並び最多を記録しています。

このうち中小企業が77件と半数以上を占めており、セキュリティ対策が手薄な中小企業が狙われ続けている状況です。

主要な被害事例

アサヒグループホールディングス

2025年9月29日、アサヒグループHDが犯罪グループ「Qilin（キリン）」によるランサムウェア攻撃の被害を受けました。物流システムに甚大な被害が生じ、数日間にわたる出荷停止に陥りました。アサヒスーパードライなどの出荷が止まり、「アサヒの××の入荷は未定です」という張り紙があちこちで目立つ事態となりました。

12月時点でもシステムの完全復旧には至っておらず、完全な正常化は2026年2月を予定しています。

アスクル

2025年10月、流通大手のアスクル株式会社が「RansomHouse（ランサムハウス）」というグループからランサムウェア攻撃を受けました。複数の通販サービスで出荷・受付業務の停止を余儀なくされ、10月21日から11月21日までの1カ月の売上高が前年同期と比べて95%の大幅減となりました。

自動車産業への攻撃

矢崎総業を狙った二重脅迫型のランサムウェア攻撃は2025年7月ごろに始まり、身代金1000万ドルが要求されました。2025年12月には攻撃者がダークWebで350GBの機密データを盗み出したと宣言し、設計図や取引先情報、契約書などが含まれると攻撃者は主張しています。

サプライチェーン攻撃の脅威

委託先を狙う手口

今回のサントリーの事案は、典型的な「サプライチェーン攻撃」の一形態です。サプライチェーン攻撃とは、関連企業や取引先企業などを経由して攻撃を仕掛けるタイプのサイバー攻撃です。

比較的セキュリティが手薄な中小企業や委託先へまずに侵入し、企業間のつながりを利用してターゲットとなる大企業の情報にアクセスする手口が増えています。

脅威ランキングでの位置づけ

IPA（独立行政法人 情報処理推進機構）が選出した「情報セキュリティ10大脅威 組織編」によると、「サプライチェーンの弱点を悪用した攻撃」は7年連続でランクインしており、2023年から2025年は2位に位置しています。

グローバルでもサプライチェーン経由の攻撃は2倍に増加しており、もはや自社だけのセキュリティ対策では不十分な時代となっています。

想定されるリスク

IPAでは、サプライチェーンリスクとして以下のものを掲げています。

• 内部不正・不正アクセスによる委託先からの情報流出
• 委託先からの納品物にマルウェアが混入
• 委託元・委託先からのサイバー攻撃メール
• 調達したソフトウェアの脆弱性による事故
• システム運用委託先における停止事故・情報流出

主な感染経路と対策

VPN機器からの侵入が最多

2025年上半期において、ランサムウェアの主な感染経路として最も多く確認されているのが「VPN機器からの侵入」です。この傾向は警察庁が集計を開始した2021年以降、毎年1位を占め続けています。

美濃工業の事例では、社員用のVPNアカウントを悪用され、正規のIDとパスワードで侵入されました。侵入からわずか1時間で管理者権限を奪取され、300GB以上のデータが流出しています。

メールを利用した攻撃の巧妙化

メールを利用したランサムウェア感染も依然として高い割合を占めています。AIを活用した自然な文章生成により、フィッシング・なりすまし攻撃が巧妙化しており、従来のセキュリティ意識だけでは防ぎきれなくなっています。

クラウドサービスへの攻撃

2026年以降は、クラウドサービスのアクセス権限を窃取し、サービスの標準機能を悪用する攻撃が、主要な攻撃手法として確立していく可能性が指摘されています。

委託元企業に求められる対策

セキュリティ対策状況の把握

経済産業省の「サイバーセキュリティ経営ガイドライン」では、ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握および対策を求めています。

具体的には、以下の対策が推奨されています。

• 委託先のサイバーセキュリティ対策状況の報告を受け、把握する
• 重要な情報を委託先に預ける場合は、情報の安全性確保が可能か定期的に確認する
• 委託先がSECURITY ACTIONやISMS等の認証を取得していることを確認する
• 緊急時に備え、委託先がサイバー保険に加入していることが望ましい

契約時の責任範囲の明確化

サプライチェーンの情報セキュリティにおいて責任の所在が曖昧な場合、以下のリスクが生じます。

• 委託先が十分なセキュリティ対策を講じない
• インシデント発生時に責任の所在についてトラブルが発生する
• 攻撃を受けた際に原因究明が困難になる

契約時にセキュリティ対策について確認し、自社で対応する部分と委託する部分を明確に切り分けておくことが重要です。

注意点・今後の展望

技術的対策の限界

ソフトウェアや機器のアップデート、EDRやクラウド監視などの技術的対策に加え、人の行動・判断に依存しない防御が不可欠です。多要素認証の導入と不審なログインの監視は、もはや基本的な対策となっています。

バックアップの重要性

ランサムウェア対策として、バックアップのオフライン保管が欠かせません。加えて、変更や削除ができないイミュータブルバックアップを導入することで、暗号化された場合でもデータを復旧できる体制を整えることが重要です。

BCP（事業継続計画）への組み込み

アサヒグループの事例が示すように、ランサムウェア攻撃は事業継続に深刻な影響を与えます。BCP（事業継続計画）にランサムウェア攻撃を含め、攻撃を受けた際の対応手順を事前に整備しておくことが求められます。

まとめ

サントリーHDの広報業務委託先へのランサムウェア攻撃は、大企業であっても委託先を経由した情報漏洩リスクから免れないことを示しています。914人分の個人情報漏洩は規模としては限定的ですが、サプライチェーン攻撃の脅威を改めて認識させる事例です。

企業には、自社のセキュリティ対策だけでなく、委託先や取引先を含めたサプライチェーン全体でのセキュリティ体制構築が求められています。契約時の責任範囲の明確化、定期的な対策状況の確認、そして緊急時の対応計画の整備が、今後ますます重要になります。

参考資料:

• 記者らの個人情報漏えいか サントリーの広報委託先 - 神戸新聞
• 2025年の国内セキュリティインシデントを振り返る - トレンドマイクロ
• アサヒグループへのランサムウェア攻撃事例を記者会見から考察 - トレンドマイクロ
• 数字で読み解く2025年のランサムウェア脅威と2026年への備え - NTTインテグレーション
• サプライチェーン攻撃とは？ - LAC WATCH
• 中小企業こそ意識したい！サプライチェーン攻撃のリスクと対策 - PFU