週100億円の損失、政府が3,000億円保証 一企業への攻撃が国家危機に

英国を代表する自動車メーカー、ジャガー・ランドローバー(以下、JLR)がサイバー攻撃を受け、世界中の工場が操業停止に追い込まれた。

2025年8月31日に攻撃を検出したJLRは、被害拡大を防ぐため即座にシステムを遮断したものの、英国、中国、インド、ブラジル、スロバキアの全拠点で生産ラインが完全停止、巨額損失につながる事態に陥った。通常、JLRの英国内工場だけで1日約1,000台の車両を生産しているが、攻撃後、3万3,000人のスタッフが自宅待機を余儀なくされ、加えて工場閉鎖期間は当初の予定より大幅に延長されたという。

BBCによると、週あたりの損失は5,000万ポンド(約100億円)に達し、1日あたりでは約500万ポンドの利益が失われたと推定されている。また、5週間以上の生産停止で3万台を超える車両が「失われた」という報道もある。

より深刻なのは、サプライチェーン全体への波及効果だ。JLRは英国内で3万4,000人を直接雇用しているが、部品供給網全体での雇用数は約12万人に上る。自動車製造は数百社に及ぶサプライヤーが連携する複雑なエコシステムであり、「ジャストインタイム」方式で在庫を最小限に抑えているため、一つの企業が止まれば連鎖的に全体が機能不全に陥るリスクを抱えている。近年、この弱点を狙ったサイバー攻撃が増加傾向にあるのだ。

JLRのケースでは、実際サンルーフを製造する企業で従業員の解雇が始まり、別の部品メーカーでは約40人が一時解雇されたとも言われている。英国の労働組合Uniteは、サプライチェーン企業の従業員が給与なしまたは減額で解雇され、政府の失業手当への登録を勧められていると報告している。

事態の深刻さを受け、英国政府は異例の措置として15億ポンド(約3,000億円)のローン保証を発表し、JLRがサプライヤーへの支払いを継続できるよう支援に乗り出した。

今回の事件は、一企業へのサイバー攻撃が、政府介入を必要とする国家規模の経済危機に発展するリスクを示しており、特に英国以上に複雑なサプライチェーンを持つ日本にとって、警鐘を鳴らすものとなる。

トヨタも止まった「サプライチェーン攻撃」の現実

JLRの事件は対岸の火事ではない。日本企業も同様の攻撃に晒されており、サイバーセキュリティ対策のさらなる強化が求められる。

たとえば、トヨタは2022年3月1日に今回と同様のサイバー攻撃を受け、国内14工場・28ラインが全面停止に陥った経験を持つ。原因は、部品サプライヤーである小島プレス工業へのサイバー攻撃だ。同社は樹脂部品や電子部品をトヨタに供給する企業。2月末の週末にサーバーのエラーを発見、再起動後、ウイルス感染と英語で書かれた脅迫メッセージを確認したという。攻撃の性質から、ランサムウェアによるものと推測されている。

この攻撃により、トヨタが失った生産台数は約1万3,000台。これは同社のグローバル生産量の約3分の1に相当し、生産量を5%削減する事態となった。業務の停止はトヨタ本体だけでなく、日野自動車やダイハツ工業にも波及した。

前述したように、トヨタが採用する「ジャストインタイム」方式は、在庫を最小限に抑えコストを削減する効率的な生産システムだが、同時に最大の脆弱さをもつ方式でもある。トヨタは約400社の一次サプライヤーと直接つながっており、これらの企業は「かんばん」と呼ばれる生産管理システムで密接に連携している。JLRと同様、部品の在庫を持たないため、一社が止まれば全体のラインが即座に停止する構造なのだ。

攻撃者がこの弱点を熟知していることは明白だ。大企業は高度なセキュリティ対策を施しているが、中小のサプライヤーは予算や人材の制約からセキュリティが手薄になりがち。日本の経済産業大臣(当時)も、中小規模の下請け企業に対する懸念を表明していた。実際、小島プレス工業への攻撃と同じ週末に、ウォーターポンプメーカーのGMBもランサムウェアと疑われる不正アクセスを受けていたという。

さらに憂慮すべきは、トヨタへの攻撃が一度きりではなかったことだ。2024年8月には、ハッカー集団ZeroSevenGroupがトヨタの内部システムから240GBに及ぶ機密データを窃取したと主張。この事件は過去2年間で5回目の重大なIT関連インシデントと報じられている。

中小企業でもできる防御策

大規模な攻撃事例を見ると、防御は不可能に思えるかもしれない。しかし、基本的な対策を徹底するだけでも、リスクは大幅に低減できる。

まず着手すべきは、自社のサプライチェーン全体の把握だ。直接取引のある一次サプライヤーだけでなく、その先の二次、三次サプライヤーまで可視化する必要がある。各社が保有するデータの機密性や、プロジェクトの重要度を評価し、リスクに応じた対策を要求すべきである。契約書にセキュリティ条項を明記し、定期的な監査を実施し実際に遵守されているか確認することが重要だ。

次に、全従業員に対する多要素認証(MFA)の導入義務付けも必須となる。フィッシング攻撃に強い認証方式を選択することで、フィッシング被害を大幅に削減することができる。IBMの2025年脅威分析によれば、攻撃の30%が有効なアカウント情報を悪用した「なりすまし型」であり、フィッシングメールによる認証情報窃取は前年比84%増加している。パスワードは12文字以上で、数字、記号、大小文字を組み合わせた複雑なものを設定し、パスワードマネージャーで管理することが推奨される。

製造業が4年連続で最も攻撃を受けている業種である事実も見逃せない。古いシステムを使い続けている企業は特に狙われやすく、ソフトウェアの更新とパッチ適用を怠らないことが肝要だ。

ビジネスメール詐欺(BEC)への警戒も必須である。2013年10月から2023年12月の間に、全世界で約30万5,000件の被害が報告され、被害総額は約555億ドル(約8兆5,000億円)に達した。送金依頼や口座変更の要請があった場合、メール以外の手段で必ず確認を取る習慣をつけたい。

データのバックアップも忘れてはならない。定期的にバックアップを取得し、復旧テストを実施して実際に使えることを確認するのが望ましい。万が一攻撃を受けても、迅速に生産を再開できる体制を整えることが事業継続の鍵となる。

サイバーセキュリティは一度対策すれば終わりではなく、継続的な改善が求められる。脅威は日々進化しており、今日有効な対策が明日も通用するとは限らない。従業員への定期的な訓練と、最新の脅威情報の共有が不可欠だ。

文:細谷 元(Livit