チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「老舗の飲料メーカーまでランサムウェアに狙われるなんて、うちみたいな会社も他人事じゃないでしゅ……」
「会計データが15年分まるごと暗号化って、決算期にやられたら一発でアウトでしゅよね?」
チップス正直、もしうちで同じことが起きたら復旧に何ヶ月かかるか想像もできないでしゅ……。
ボスふふふ、現実に起きた事件から学ぶ機会だ。原因はとてもシンプル、しかし防げた話だ。
本記事ではトンボ飲料のランサムウェア事件を題材に、削除忘れの遠隔ツールがどう侵入口になったかを解説します。
読み終わるころには、自社で「使わなくなったツールが残っていないか」を点検する手順がイメージできます。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
1896年創業の老舗飲料メーカーで、何がどう壊されたのかを整理します。
2026年1月15日朝8時ごろ、トンボ飲料の本社で異変が発覚しました。
本社の業務サーバーとNASがLockBitによって暗号化され、会計システムに蓄積されていた過去15年分のデータが人質となります。
決算期末を控えた時期で、紙データの再電子化や手作業での経理処理を余儀なくされました。
1月20日には仕入先の銀行口座情報が漏洩した可能性も公表され、取引先への説明対応も発生しています。
被害の概要は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 被害日時 | 2026年1月15日朝8時ごろ発覚 |
| 使用されたマルウェア | LockBit |
| 暗号化範囲 | 本社業務サーバーとNAS、会計15年分 |
| 漏洩可能性 | 仕入先の銀行口座情報 |
取材記事は日経クロステックの解説で公開されています。
富山県警への報告後、約2ヶ月でデータの復号に成功し、3月2日の最終報告では追加の不正アクセスや情報漏洩を示す痕跡は確認されなかったと発表されました。
幸運な復旧事例ではありますが、業務停止と取引先対応の負荷はその間ずっと続きます。
復号できる保証はないと考えるのが、現実的でしょう。
チップス復号できたのはたまたまでしゅよね?普通は身代金を払うか諦めるしかないでしゅよね……
ボスそうだ。今回は県警の捜査で復号鍵に行きつけたが、それは例外。普段の備えが運命を分ける。
攻撃の入り口は新しい仕組みではなく、運用の隙でした。
攻撃者は、本社サーバーに以前から導入されていたリモートデスクトップツールを悪用しました。
業務利用するソフトを新しいものに切り替えたあとも、旧ツールがアンインストールされずに残っていた点が決定的な弱点です。
古いツールはセキュリティ更新も止まっており、認証情報も整理されないまま外部に口を開けていた可能性があります。
侵入を許した運用面の落とし穴は以下のとおりです。
すぐ動かすべきは、休眠ツールの棚卸しとオフラインバックアップの分離です。
「使っていないけど入っているソフト」を月1で点検し、不要なものは強制アンインストールの対象にしましょう。
NASは業務サーバーから常時マウントせず、世代別オフラインバックアップを物理的に分ける運用にしておくと、暗号化攻撃に巻き込まれません。
チップス休眠ソフトの棚卸しなら今日からでも始められそうでしゅ!
ボスそうだ。地味だが効く。攻撃者は派手な技術より、運用の隙を一番嫌わずに使ってくる。
トンボ飲料の事件は、特別な攻撃技術ではなく「削除し忘れ」が会計15年分を人質に変えた話でした。
復号には警察捜査による偶然が働きましたが、本来は身代金交渉か業務停止の二択になる場面です。
休眠ツールの棚卸し、外部公開ポートの再点検、オフラインバックアップの分離、この3点を今日から見直してください。
大企業だけの問題ではない、というのが今回の事件が突きつけた現実です。
ボス運用の隙はいずれ突かれる。だからこそ平時の棚卸しが、最大の防御策になる。
チップスうちもまず、使ってないツール一覧を出すところから始めるでしゅ!
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
