岐阜県中津川市に本社を置く美濃工業。連結で約2800名の従業員を擁し、自動車部品を中心としたアルミダイカスト製品のリーディングカンパニーとして、地域を代表する企業の1つだ。
2025年10月、美濃工業はランサムウェア攻撃者グループ「SafePay」による深刻なサイバー攻撃を受けた。しかし同社は、攻撃確認の当日に第一報を公開し、その後も計5回にわたって段階的に情報を開示。最終報告では、侵入経路となった脆弱なパスワードの具体例や、自社のセキュリティ上の問題点まで踏み込んで公表するという、異例の対応を行った。
この一貫した透明性ある情報開示が高く評価され、美濃工業は第11回情報セキュリティ事故対応アワード優秀賞を受賞した。同社 代表取締役副社長 杉本崇氏と、経営企画部 部長 片桐恵美氏に、インシデント対応の舞台裏を聞いた。
-
(左から)美濃工業 代表取締役副社長 杉本崇氏と、経営企画部 部長 片桐恵美氏
発覚から24分、現場判断でネットワークを遮断
攻撃が発覚したのは、2025年10月4日土曜日、日本時間の午前2時25分だった。最初に異変に気付いたのは、米国に出向中の社員だったという。現地時間では、金曜日の朝9時台。業務のために本社のサーバへアクセスしたところ、データが全て閲覧不能となっており、ランサムノートだけが残されていた。
「ランサムノートが当社のサーバ上に保存されたのは日本時間の午前1時20分ごろでした。それを出向社員が発見し、すぐに本社のセキュリティ担当へ連絡が入り、発覚に至りました」(杉本氏)
土曜の深夜に攻撃を仕掛けるのは、製造業を狙う攻撃者の常套手段だという。月曜の出社時に初めて発覚すれば、出荷や生産の対応で現場が混乱することを、攻撃者は見越している。米国からの早期発見がなければ、被害はさらに拡大していた可能性がある。
早期発見の背景には、日ごろの徹底した訓練があった。同社では、不審なメールを受信した際は開封の有無を問わず情報管理課へ報告するよう、全社員に周知していた。この習慣が功を奏し、出向社員が「何か変だ」と感じて即座に報告したことが、迅速な初動につながった。
さらに注目すべきは、その後の対応の早さだ。連絡を受けた情報管理課の担当者はすぐに出勤。同課課長は出勤前、自宅からの遠隔操作によって、攻撃発覚からわずか24分後にネットワークを切断。さらにその約2時間後にはVPNも遮断したうえで、PCの起動禁止やメール送信の停止を全社に周知した。
「実はこのとき、役員などの経営層に判断や指示を仰ぐことなく課長の判断のみで実行してくれました。私に連絡が来たのは朝の5時ごろです。しかし、これが当社ならではの強みだったと思います。現場には『副社長ならすぐにネットワークを遮断するよう指示するだろう』『原因分析のレポートよりも、まずは感染拡大を食い止めろと言うはずだ』と、トップの考えが浸透していました。そのため、課長の自己判断で即座に遮断できたのです」(片桐氏)
「当社は岐阜県中津川市という小さな町にあり、社員同士の距離も近く、普段から壁のないコミュニケーションがとれています。そうした社風が、緊急時のトップダウンを待たない機動力につながりました」(杉本氏)
そして、翌日の日曜日には、部長以上のメンバーを全員集めて緊急の情報共有を実施。月曜日に従業員を出勤させる範囲や代替業務の手順などをあらかじめ決めておいたため、週明けの業務開始時に大きなパニックや混乱を招く事態は回避されたという。
「数日だけ」が招いた侵入、“例外運用”の危うさ
事後調査の結果、侵入には、2025年4月に作成された一時利用の正規VPNアカウントの認証情報が悪用されていたことが判明した。同社では侵入を防ぐ対策は講じていたものの、正規の手続きを外れた「ルールの例外」を突かれたかたちだ。
「このアカウントは、海外出張する役員が急遽VPNを使いたいということで、一時的かつ例外的に作成されたものでした。本来なら強固なパスワードを設定すべきところを、『数日間だけだから』と覚えやすい簡易的なものにしてしまっていたのです。他の経営者の方々にも講演等でお話ししていますが、こうした『例外』をつくるのはたいてい権力者です。ルールをしっかりつくっていても、例外をつくればそこが糸口になってしまいます」(杉本氏)
一方、ネットワーク遮断後の復旧作業においては、内製チームの存在とバックアップが大きな助けとなった。バックアップデータは無事だったため、直前の木曜日のデータを使っておおむね復元でき、土曜日のうちに生産活動再開の目処が立った。また、生産設備自体はシステムやPCを経由せずアナログで動かせたことも幸いした。
「当社では情報管理部門がシステム開発もインフラもセキュリティも兼任しています。そのため、『どこを先に復旧すべきか』という急所を内部で把握しており、外部の業者に任せるよりも圧倒的に早く動けました」(片桐氏)
しかし、復旧作業を通じて新たな課題も浮き彫りになった。業務を再開するためにデータを復元しようとした際、データが部門ごとのサーバに散在しており、「この業務を行うために、あちこちのサーバからデータをかき集めなければならない」という事態に陥ったのだ。
「何かあったときに復元することを考えれば、部門ごとではなく、業務ごとにフォルダを整理しておく必要性を痛感しました。現在、その再構成を進めているところです」(杉本氏)
さらに、個人情報の特定でも現場は混乱した。「流出させたかもしれないデータがある人は報告してほしい」と呼びかけたところ、多くの部署から声が上がったが、ふたを開けてみると、自社で作成したマニュアル内の顧客名など、保護すべき個人情報・機密情報に該当しないものが大半だった。
「個人情報やお客さま情報の定義、何を保護すべきかという教育が浸透しきっておらず、トリアージに手間取りました。また、『こんなところにあるはずがない』という場所に機密データが保管されていたケースも見つかり、日ごろのデータ管理の甘さも浮き彫りになりました」(片桐氏)
「噂が広まる前に、こちらから正確な情報を出す」
ランサムウェア被害において経営層が迫られるのが「身代金を支払うか否か」の判断だ。しかし、同社においてその迷いは一切なかった。片桐氏は「朝6時半に私が副社長に一報を入れた際に、『身代金は支払わない』と意思表示されていました」と振り返る。そもそもデータが取り返せるのかといった議論以前に、「社会悪にお金を渡さない」という確固たる方針がトップにあったためだ。
「土曜日のうちに業務復旧の目処が立っていたこともありますが、お金を払ったところでデータを確実に消去してくれる確証もありません。それよりも、サイバーテロという社会の敵に対して金銭を支払うべきではないという思いが強かったです」(杉本氏)
そして、同社のインシデント対応で最も称賛を集めたのが情報公開の在り方だ。第一報から最終報告に至るまで、同社は分単位のタイムラインから、脆弱なパスワードの具体例まで、自社の問題点を赤裸々に開示した。
多くの企業が詳細を伏せるなか、なぜここまで踏み込んだ発表ができたのだろうか。
「私たち経営企画部が当初作成したプレスリリースは一般的なテンプレートでしたが、副社長が直接手を入れて完成させました。『ここまでさらけ出すんですか?』と私自身も意見しましたし、フォレンジック調査をお願いしたベンダーからも『ここまで出す企業はいませんよ』と驚かれました」(片桐氏)
しかし、杉本氏には「サイバーセキュリティは、社会全体で守るべき」という強い信念があった。
美濃工業の社長が地元の商工会議所の会頭を務めていることもあり、中津川市の経営者同士のつながりは非常に強い。同社が攻撃を受けた直後、杉本氏が他の経営者から「何があったのか」「どう対策すればいいのか」と聞かれ、自社の弱点を話すと、多くの経営者が「うちもそこまでの対策はできていない」と口にしたという。自社が特別弱かったわけではなく、地方の企業には当たり前にある弱点なのだと気付かされた。
「サイバー攻撃を防げなかったのは当社の事業責任ですが、攻撃自体は反社会的な明確な悪意によるものです。一企業が個別にお金をかけて対応するだけではなく、社会全体で防衛体制を採っていくべきだと考えています。当社の攻撃を受けた経験や弱点が皆さんの役に立つのであれば、公開すべきだと思い、詳細な開示に踏み切りました」(杉本氏)
結果的に、この詳細な開示は大きなメリットを生んだ。営業担当者が顧客企業に状況を説明する際、詳細なプレスリリースがあることで理解を得やすく、安心感を与えることができたのだ。また、コロナ禍の際に事実と異なる風評被害が広まった苦い経験があり、「噂が広まる前に、こちらから正確な情報を出す」という姿勢が功を奏し、従業員や地域社会の不安を払拭することにつながった。
「あなたが悪いわけではない」——責任追及より挽回を優先する組織風土
インシデント発生直後、情報管理の担当者は「すみませんでした」と謝罪から入ったが、杉本氏はまず「あなたが悪いわけではない」と伝えたという。
「守れなかった弱さはあったとしても、攻撃を受けたこと自体は担当者のせいではありません。起きてしまったことは仕方がないのだから、とにかく自社の弱点を見つめ直し、これ以上感染拡大をさせないことと、心配や迷惑をかけないこと。つまり『前に進むこと』を優先しようと話しました」(杉本氏)
こうしたトップの姿勢が、現場を力強く後押しした。
「当社の経営層は、今回のインシデントが起きる前から『起きたことの責任より、いかに挽回するか』という姿勢を見せてくれていました。だからこそ、現場も初期対応で迷わず、果断な処置ができたのだと思います。経営者の考えが社員に浸透していることの重要性を実感しました。
また、起きないようにする努力だけでなく、起きたときのシミュレーションをしておくべきだという意識が強まりました。この考え方は、サイバーセキュリティに限らず、地震や火災などの自然災害に対しても社内で広がっています。情報部門ではない部署からもそうした声が上がるようになったのは、大きな収穫でした」(片桐氏)
被害企業を責めるだけでは、防衛力は高まらない
現在、同社はEDRや振る舞い検知の導入、多要素認証の適用など、侵入を許さないための対策をすでに実施。今後は、前述の業務ごとのフォルダ管理など、復旧の迅速化に向けた体制づくりを進めていくという。
最後に、同じようにサイバー攻撃の脅威に晒されている企業に向けて、杉本氏はこうメッセージを送る。
「情報公開に対して『恥ずかしい』『ここまで出したらダメかな』と躊躇する企業も多いと思います。もちろん、事業形態や状況によって出せる情報の限界はあるでしょう。しかし、私たちは勇気を持って公開してみて、マイナスになったことはほとんどありませんでした。社会全体で情報を共有し、防衛力を高めていくことが大切です。
一方で、被害に遭った企業の現場では、数日間眠らずに最前線で対応している担当者がいます。世間には、そうした企業に対して『対応が悪い』と心無い言葉を投げるのではなく、被害者側が立ち直ろうとする努力を理解してほしいと願っています」(杉本氏)
自らの失敗を隠すのではなく、社会の教訓として提示した美濃工業。その透明性の高さとトップのリーダーシップは、インシデント対応の1つの理想形として、多くの企業の道標となるだろう。
10年で桁違いに巧妙化したサイバー脅威 - EmEditor開発者が2度目のアワード受賞で語る、サプライチェーン攻撃のリアル
