お役立ち記事
サイバー攻撃の実態理解とその対策

月間83,046名の
製造業ご担当者様が閲覧しています*

*2025年5月31日現在のGoogle Analyticsのデータより

調達購買ノウハウ

投稿日：2025年6月6日

サイバー攻撃の実態理解とその対策

サイバー攻撃が製造業にもたらすリスクとは

製造業の現場では「サイバー攻撃」と聞くと、金融やIT、ネット業界の問題と捉えがちですが、近年の攻撃事例を見るとその認識は大きな誤解であることがわかります。

実際、2022年以降、日本国内の大手自動車メーカーや部品メーカー、さらには中小の下請け企業までもがランサムウェア（身代金要求型ウイルス）や情報流出、システム停止といった被害に見舞われています。

その理由は、製造業がサプライチェーンで密接につながり、多種多様なシステムや装置を社内外で連携させているからです。
また、長年にわたり現場で蓄積されたノウハウや、最新の生産技術、品質データなど、外部からみて非常に魅力的な「知的資産」が豊富であるため、標的にされやすいという背景もあります。

加えて、製造現場には昭和時代の設備や、更新が遅れているシステムが未だに多く残っています。
加えて、従業員のITリテラシーも十分とはいえない状況が多く、「自分には関係ない」と思っている隙間こそが攻撃者の格好の入り口となっているのです。

よくあるサイバー攻撃の手法とその実態

フィッシングメール（なりすましメール）

もっとも典型的な手口は、取引先や上司を装い、添付ファイルやURLを開かせる「フィッシングメール」です。
パッと見たところ取引先や旧知のバイヤーからのメールに見えますが、内容が微妙に不自然、あるいは普段送ってこないPDFやエクセルファイルが付いている場合は要注意です。

うっかり添付ファイルを開いてしまうと、マルウェアが端末内に侵入し、ネットワークを介して工場全体のシステムやサーバーにまで拡大、重要ファイルが暗号化されたり、情報が盗み出されるといった事案が日本でも実際に発生しています。

ランサムウェア攻撃

特に2020年代以降は、企業ネットワークに侵入し、一斉にファイルやシステム全体を暗号化してしまい、解除と引き換えに多額のビットコインなどで「身代金」を要求する「ランサムウェア攻撃」が急増しています。

たとえば「OT（運用技術）ネットワーク」――製造現場の制御系端末やロボット、PLC等がつながる内部ネットワークが狙われ、出荷停止や生産ラインのダウンタイムに直結するケースもあります。
2022年には実際、日本の自動車関連企業でサプライチェーン全体への出荷に数日間の遅れが生じ、数億円単位の損失に至った事件がありました。

サプライチェーン攻撃

大手メーカーだけでなく、サプライヤーや外注先、中小企業も標的になります。
理由は、セキュリティ水準や予算に差があり、狙いやすい「弱点」になりがちだからです。
また、クラウド型の生産管理システムや、グローバルでの部材発注システムが広まるにつれ、取引先のシステム経由でウイルスに感染する「サプライチェーン攻撃」も目立っています。

OT・IoT機器への直接攻撃

工場の自動化が進む中、IoT機器やネットワークカメラ、PLC制御端末などが外部と繋がることで、安全対策が不十分な機器が「入り口」になることも珍しくありません。
セキュリティパッチが十分に適用されていなかったり、初期パスワードのまま運用していたりすると、知らず知らずのうちに外部から操作され、ラインが停止してしまうリスクもあります。

昭和時代のアナログ体質が生む”落とし穴”

日本の製造業、とくに中堅・中小の現場では「設備は長持ちが大正義」「なじみの職人技の蓄積を守る」という価値観が根強く残っています。
そのため、IIoT（産業用IoT）やDX化、AIやビッグデータの活用が叫ばれる現代でも、古い機械をだましだまし使ったり、ExcelとFAX、紙伝票が全盛だったりという現場も多いのが実情です。

ところが、こうしたアナログ文化と最新のデジタル技術が中途半端に混在している状態こそが、サイバー攻撃にとって格好の「踏み台」になってしまうのです。

たとえば、工場の生産管理データを持ち出すために、一部クラウド化やWeb会議用のパソコンを導入したものの――
・パスワード管理がずさん
・誰でもUSBメモリが使える
・アクセス権限の設定が曖昧
・見知らぬ業者がLANを直に差し込む
こうした隙だらけの環境が、攻撃者にとって”ザル”のような状態になっています。

また「現場は忙しいから…」と、セキュリティパッチの適用が遅れたり、IT担当が少人数で兼任だったりすれば、予兆を検知できず、致命的な損害が出てから気づく――まさに最悪のシナリオに陥りかねません。

バイヤー・サプライヤー双方の目線で考えるべきこと

バイヤー目線：なぜ調達担当も”サイバーリスク”を理解する必要があるか

調達担当（バイヤー）は「コスト削減」「納期遵守」などの目標に集中しがちですが、取引先選定の際、「サイバーセキュリティ規格」「ISMS認証取得」「委託先のセキュリティ体制」などを確認することが不可欠になりつつあります。
なぜなら、万が一、サプライヤー経由で攻撃を受け、納入部品に混入したマルウェアが自社の生産ライン停止に発展すれば、膨大な損失が生まれるからです。

また、大手顧客からは「情報セキュリティ方針書」の提出や、年次監査でのセキュリティ対策の証明を求められる動きも加速しています。
バイヤーは”サプライヤーの情報セキュリティ”を見落とさず、調達戦略の一部として真剣に組み込むことが、今や競争優位の条件となっています。

サプライヤー目線：何を強化し、どうアピールすべきか

サプライヤー側は「品質」「コスト」「納期」の三大条件（QCD）に加え、「いかに安全な体制でものづくりしているか」も取引選定の決定打となる時代です。

たとえば「ISMS」「ISO27001」「NIST基準」などの国際セキュリティ規格を取得したり、社内外のアクセス制御、従業員への定期的な教育・訓練、不審な動きがあった際のインシデント報告体制を構築しておくことが差別化要素になります。
実際、私の経験でも「ITセキュリティ責任者を明確に配置しているか」を重視する大手バイヤーが増えています。

また、これらの取り組みは単なるコストではなく、「自社の信頼性」「ブランド価値」向上のための投資であることを意識し、積極的にバイヤーへ説明・提案することが新しいビジネスチャンスにつながります。

実例から学ぶ”被害”と”教訓”――現場で何が起こったか

大手自動車メーカーの生産停止事件

2022年初頭、日本の一大自動車メーカー系列の部品供給業者がランサムウェア被害に遭い、情報システムがダウン。
結果、国内全工場で約1日半もの生産ライン停止が発生しました。
直接の被害はもちろん、数万社にわたるサプライチェーン全体に影響が広がり、納入受注の遅延、それに関連する多額の損失を生みました。

この事故をきっかけに、グループ会社全体で「エンドポイント（末端機器）の監視体制強化」「メールの監視ルール整備」「従業員のサイバー教育」が緊急に見直され、一部では「サイバーセキュリティ費」の専用予算を毎年確保する体制となりました。

中堅精密機械メーカーの機密情報流出事件

ある中堅メーカでは、「退職した元取引先のアカウント」がそのままシステム内に残っており、外部から侵入路として使われてしまいました。
工場の技術データや生産工程ノウハウが、外部にダダ漏れ状態となって発覚。
顧客からは「再発防止策が取られない限り今後の発注はできない」と厳しい指摘を受け、社内体制の抜本見直しを余儀なくされました。

この事案から分かるのは、「人的管理」「アカウント管理」「権限制御」の重要性です。
現場業務の慣習的な運用や、退職・部署異動時のアカウント消去漏れといった”ちょっとしたアナログ対応の甘さ”が、重大事故へとつながるリスクであることを認識する必要があります。