美濃工業のランサムウェア被害 正規ID悪用で侵入され300GBの流出を確認：セキュリティニュースアラート

美濃工業はランサムウェア被害によって相当量の顧客情報が流出したと報告した。正規IDの悪用で侵入され、暗号化と身代金要求に至っている。現状の被害は未確認だが300GBの不正通信を把握しており、外部機関と復旧を進めている。

[後藤大地，ITmedia]

　美濃工業は2025年11月3日、自社が受けたランサムウェア攻撃に関する最新情報を「第四報」として公表した。これまでの調査結果を訂正し、新たに顧客情報や個人情報の一部が外部に流出したことを確認したと発表した。

　2025年10月21日に公表した第三報では「極小容量の通信の痕跡」としていたが、再度分析を実施した結果、「相当量の通信の痕跡」が確認され、情報の持ち出しが発生していたことが判明している。

美濃工業のランサムウェア被害　不正通信の総量は約300GB

　同社によると、2025年10月1日19時31分、従業員用VPNアカウントが不正に使用され、社内ネットワークへ侵入された。VPN機器自体の脆弱（ぜいじゃく）性を悪用したものではなく、正規のID／パスワードが不正利用されていた。

　攻撃者は侵入後、システム管理者権限を奪取し、複数のクライアント端末を経由してデータを外部に送信。その後、2025年10月3日夜にシステムが破壊され、データも暗号化された。そして、翌4日未明に身代金を要求する文書が社内フォルダに残されていた。

　攻撃を確認した同社は、直ちにネットワークを遮断し、警察や関係各所に通報。受注や生産、出荷に関するシステムや資金決済システムを確認し、順次復旧を進めた。この他、個人情報保護委員会への報告や外部専門機関によるフォレンジック調査を開始し、2025年10月28日にはダークWebサイトで情報漏えいの事実を確認したが、翌29日夕方に該当サイトが閉鎖され、現在は詳細確認を続けている。現時点で確認されている不正通信の総量は約300GBとされている。

　同社は、現時点で具体的な被害や不正利用の事実は確認されていないとしている。現時点での対策として、EDR（Endpoint Detection and Response）製品や振る舞い検知の新規導入や全サーバと端末のウイルススキャンを実施した。また、全従業員のID／パスワードを変更し、VPNを含む外部接続経路を封鎖した。外部との通信を制限し、ネットワークから切り離した専用端末を利用する体制に移行している。

　国内で相次いでランサムウェア被害が報告されている。2025年10月にはアサヒグループホールディングスやアスクルなどでも被害が報告され、製造や物流を中心に深刻な影響が生じた。攻撃の多くは、正規アカウントの不正使用や電子メール経由での侵入に始まり、内部ネットワークの支配や情報持ち出し、暗号化といった一連の行動を取る傾向がある。特にVPNアカウントが流出している環境や、多要素認証を導入していない環境は、狙われやすいとされる。

　今回の美濃工業の事例は、企業規模にかかわらず標的型攻撃が拡大している現状を示している。システムの冗長化や多層防御、アクセス権限の最小化、アカウント管理の徹底が今後いっそう求められる。特にVPNやリモートアクセス環境を運用する企業にとって、パスワード流出対策とログ監視の強化は不可欠といえる。

　美濃工業は声明の中で、引き続き外部機関と連携しつつ安全性の確認と復旧を実施するとし、同様の被害を防ぐために得られた情報を共有する方針を示した。サイバー攻撃は業種や規模を問わず発生しており、企業や組織は自社の状況を過信せず、最新の攻撃手口を踏まえた備えを講じることが求められている。