名古屋港がシステム停止した日
——サプライチェーン攻撃の現実

日本最大の貿易港が、突然止まった。2023年7月、名古屋港のコンテナ管理システムがランサムウェア攻撃を受け、トヨタを含む自動車部品の輸出入が約3日間ストップしました。その影響はサプライチェーンを通じて、港に直接関係しない中小企業にまで波及しました。「大企業の話」と思っていると、気づいたときには手遅れかもしれません。

何が起きたのか

2023年7月4日——海の日の翌日、名古屋港を管理する名古屋港湾局のコンテナ管理システム「NUTS（名古屋港統一ターミナルシステム）」がランサムウェアに感染しました。早朝から港の現場スタッフが異常に気づいたときには、すでにシステム全体が暗号化されていました。

感染したランサムウェアはLockBit 3.0。当時、世界で最も活発に活動していたランサムウェアグループが使うツールです。日本の基幹インフラを標的にした、組織的なサイバー犯罪の一件として国内外で注目を集めました。

名古屋港は日本最大の貿易港であり、自動車関連の輸出入が集中するハブです。ここが止まるということは、そこに繋がる膨大な企業の業務も連鎖的に止まることを意味しました。

サプライチェーン攻撃とは——たとえ話で理解する

「サプライチェーン攻撃」という言葉は難しく聞こえますが、構造はシンプルです。

名古屋港の事案では、港湾管理システムへの侵入経路の詳細は公表されていませんが、背景にあるのは同じ構造です。複数の組織・企業・システムが繋がる場所では、最も弱い接続点が全体のリスクになります。

中小企業が「踏み台」にされるリスク

「うちは港湾でも自動車メーカーでもないから関係ない」——そう思った方に、もう一歩踏み込んで考えてほしいことがあります。

大企業との取引が増えるにつれて、セキュリティ要件を取引条件として求められるケースが急増しています。「情報セキュリティの基準を満たしていること」「定期的な診断結果の提出」——これらを取引継続の条件として求める大企業が増えているのは、まさに「サプライチェーンの弱い輪」になることへの危機感からです。

攻撃者の視点では、大企業本体よりも中小のサプライヤーを狙うほうが「コスパがいい」のです。セキュリティ投資が手薄で、かつ大企業のネットワークへの接続経路を持っている——それが中小企業が狙われる理由です。

「自社は被害者」だけでは済まない時代

ひと昔前であれば、サイバー攻撃の被害は「自社の問題」でした。しかし今は違います。自社のシステムが踏み台にされて取引先に被害が出た場合、法的責任や賠償を問われるケースも現実に起きています。セキュリティは「自社を守るため」だけでなく、取引先との信頼関係を守るためでもあります。

今すぐできること

特別な知識がなくても、今日から確認・実行できることを4つ整理します。

• 1

  自社が取引先のネットワークに接続しているか確認する

  VPN・リモートデスクトップ・専用回線などで取引先のシステムに繋がっているか把握していますか？接続経路が存在する場合、自社が感染すれば取引先にも波及します。まず「繋がっているかどうか」を確認しましょう。

• 2

  VPN・リモートアクセスの管理を見直す

  社外から社内ネットワークへの接続に使うVPN機器は、定期的にアップデートされていますか？古いVPN機器の脆弱性はランサムウェアの主要な侵入口になっています。「何年も触っていない」機器があれば、今すぐメーカーサイトで最新ファームウェアを確認してください。

• 3

  「うちは下請けだから狙われない」という思い込みを捨てる

  攻撃者は「有名な会社」を狙っているのではなく、「侵入しやすい会社」を自動的にスキャンして探しています。むしろ大企業との繋がりを持つ中小サプライヤーは、攻撃者にとって「大企業への通路を持った侵入しやすいターゲット」です。

• 4

  自社のセキュリティ状態を第三者視点で確認する

  社内の人間は「いつもと同じ」状態に慣れてしまいがちです。外部から見たときに自社がどんなリスクを抱えているかを、第三者の目で確認することが対策の第一歩です。

まとめ——サプライチェーンの「弱い輪」にならないために

• 名古屋港の停止は「港だけの問題」ではなく、繋がる企業全体に波及した
• サプライチェーン攻撃は、最も弱い接続点を狙う——それが中小企業になりやすい
• 大企業との取引でセキュリティ要件を求められるケースが増えており、対策は競争力にも直結する
• 自社のリスクを「把握すること」が、すべての対策の出発点になる