日本郵船 船舶燃料調達システム不正アクセス 詳細レポート|2026年3月
secure① インシデント概要
| 発生日 | 2026年3月24日(午後) |
| 発覚形態 | システム異常の検知 |
| 攻撃種別 | 不正アクセス(データ持ち出し型) |
| 攻撃者 | 不明(第三者) |
| 侵入経路 | 調査中(非公表) |
| 対象システム | 船舶燃料調達システム(業務支援系) |
| 漏えい情報の可能性 | 社員・取引先企業社員の氏名、会社名、電話番号、メールアドレス |
| 漏えい件数 | 非公表 |
| 暗号化・身代金要求 | なし |
| サービス停止期間 | 3月24日〜3月27日(3日間) |
| 二次被害 | 未確認 |
| 公表日時 | 2026年4月9日(発生から約2週間後) |
② 発生から対応までの時系列
10月
日本郵船のグループ会社・MTIが8月のランサムウェア被害を報告。認証情報の窃取がランサムウェア感染の原因と特定。社員・取引先の個人情報漏えいの可能性が公表された。
3月24日
午後
システム異常を検知。直ちにシステムをネットワークから隔離して使用を停止。対策チーム設置、外部専門機関への相談開始。
システムの復旧作業完了。同日、個人情報保護委員会を含む各国関係当局に速報を提出。
調査状況をまとめ、所轄警察に報告。刑事告訴の準備を開始。
不正アクセスによるデータ持ち出しの可能性を公表。対象情報は社員・退職者・取引先企業社員の連絡先データ。データ暗号化や身代金要求はなく、ランサムウェアではなく情報窃取目的の攻撃と推定。
③ 技術的詳細:海運業界のセキュリティ特性と今回の攻撃パターン
海運業界のIT/OTセキュリティの複雑性
海運業界のシステムは「IT系(企業会計・人事・営業管理)」と「OT系(船舶機関・航海機器)」の両領域で構成される。今回被害を受けた「船舶燃料調達システム」は業務支援系ITであり、基幹系システム(会計・契約管理)とは異なるセキュリティレベルで運用されるケースが多い。業務効率を優先する傾向から、アクセス制御・監視ログが基幹系ほど厳格でないことが実態だ。
IACS UR E26/E27(IMO 2024年発効):国際海事機関(IMO)による船舶・陸上施設のサイバーセキュリティ要件。造船所・船舶機関(OT)にはこの規則が適用されるが、陸上の企業システム(IT)には直接適用されない。このため企業によってセキュリティレベルがばらつく傾向がある。
船舶燃料調達システムの位置付け:受発注・請求・支払い管理であり、業務支援系に分類される。基幹系(ERP)に比べてセキュリティが後手になりやすく、多くの場合VPN経由のリモートアクセス、複雑な外部連携が特徴。
2024年MTI事案との関連
2024年10月、日本郵船のグループ会社・MTIがランサムウェア被害を受けた際、根本原因は「認証情報の窃取」と特定されている。今回の日本郵船本体への不正アクセスも、類似する初期侵入パターンの可能性が指摘されている。グループ全体でVPN・リモートアクセスへのMFA導入が急がれているが、完全な展開にはまだ時間がかかる状況も推測される。
今回の攻撃パターン:ランサムウェアではなく情報窃取
注目すべき点は、データの暗号化も身代金要求もない点だ。これはランサムウェア攻撃(BlackSuit、Royal等)とは異なり、企業情報・個人情報を狙った「情報窃取型」の攻撃パターンと推定される。
- ランサムウェア型攻撃(例:KADOKAWA):データ暗号化 → 身代金要求 → データ公開脅迫
- 情報窃取型攻撃(今回):認証情報窃取 → ネットワーク侵入 → 目的データの持ち出し → 攻撃者がデータ販売または企業に直接交渉
情報窃取型の攻撃は発覚が遅れやすく、漏えい規模の把握が困難となる傾向がある。データが「いつ」「どこに」持ち出されたのかを物理的に追跡することは難しく、時間経過後に第三者に情報が悪用される可能性もある。
④ 中小企業への教訓
日本郵船は業界最大手だが、以下の課題は中小企業でも同様に存在する可能性が高い。
今回漏えいの対象に「取引先企業社員の連絡先」が含まれている。中小企業は大手企業の取引先として、その情報システムに連絡先を保有される立場にある。大手企業が被害を受ければ、自社の個人情報も漏えい対象になるという二次的リスクを認識しておく必要がある。
- 大手取引先がセキュリティ方針を公表している場合は確認する
- セキュリティ要件を取引条件に含める
- 自社の連絡先・営業データの提供を最小限に抑える設定の見直し
調達・受発注・請求管理等の業務支援系システムは、基幹系よりセキュリティ対策が後手になりがちだ。実際には多くのステークホルダーの個人情報を保有している。
- 保有しているすべてのシステムを一覧化し、保有データの種類と件数をリストアップする
- 個人情報を含む場合は対策の優先度を引き上げる
- 外部との連携が多いシステムほどアクセス制御を厳格にする
日本郵船グループで2024年MTI→2026年本体と、わずか1年半で2度の被害が発生。攻撃者は初回の被害で組織構造・セキュリティレベルを把握し、改善が不十分な領域を狙う傾向がある。
- 親会社・関連会社がインシデントを公表した場合、速やかに内容を確認する
- 同じ攻撃パターンが自社にも適用可能でないか再点検する
- 他社のセキュリティ状況が改善されるまで情報提供や外部接続を制限することも検討する
- VPN・リモートアクセスにMFA(多要素認証)が有効化されているか
- 業務支援系システムのアクセス権限が適切に制限されているか
- バックアップはオフライン保管されているか
- ネットワークスキャンツールで脆弱性が検出されていないか
- 外部との連携が多いシステムについて通信ログの監視が有効化されているか
- 親会社・取引先企業のセキュリティ方針を確認し自社の対応状況を把握する
⑤ 日本郵船の対応状況
初動対応
3月24日午後にシステム異常を検知した後、日本郵船は直ちに船舶燃料調達システムをネットワークから隔離し、外部の専門機関に調査を依頼した。システムの復旧は3月27日に完了し、3日間のダウンタイムで済んだ。
情報開示のタイムライン
3月24日の検知から4月9日のプレスリリース公表まで約2週間を要している。個人情報保護委員会への速報は3月27日に提出されており、官庁への報告と公表の間に時間差がある。
開示内容と課題
漏えいの可能性ある情報は「氏名、会社名、電話番号、メールアドレス」だが、件数は「非公表」。情報窃取型の場合は特定が困難になるケースが多い。
再発防止策の方向性
具体的な対策内容は非公表だが、以下の領域での強化が推測される。
- VPN・リモートアクセス環境へのMFA導入(MTI事案の教訓適用)
- 業務支援系システムのアクセス制御の見直し
- 外部との通信監視強化(DLP機能等)
- インシデント検知・対応体制の改善
- グループ全体でのセキュリティガバナンス強化
⑥ 続報
本セクションは新たな事実・続報が入り次第、更新します。侵入経路や被害の全容については調査継続中です。
編集部まとめ
日本郵船事案で注目すべきは、ランサムウェアではなく「情報窃取型」の攻撃パターンであること、そして「基幹系ではなく業務支援系が狙われた」という点だ。攻撃者はこの「優先度の低さ」を利用して侵入を試みる。
グループ内での被害の繰り返しも重要な警告だ。2024年MTI→2026年本体という被害パターンは、グループ全体での統合的なセキュリティガバナンスが必要であることを示している。
中小企業にとって直接的なリスクは、大手取引先の情報漏えいによる「二次被害」だ。自社の連絡先が含まれている可能性を念頭に、不審な接触対応を準備しておくことが重要。
