チキンは冷凍庫にあり、店も開いている。それでも全国のKFCが臨時休業を告知した。原因は自社のトラブルではなく、食材配送を委託していたニチレイのシステム障害でした。データは盗まれていない。それなのに、なぜフライドチキンが消えるのか。
株式会社ニチレイ(本社:東京都中央区、代表取締役社長CEO:嶋本和訓)は2026年7月13日、不正アクセスによるシステム障害が発生したと公表した。影響が生じているのは、ニチレイロジグループ各社の冷蔵倉庫の入出庫業務と、ニチレイフーズの冷凍食品出荷業務である。障害の範囲は日本国内に限られ、個人情報や顧客データの社外流出は確認されていない。復旧時期は未定である。
翌14日、日本ケンタッキー・フライド・チキンは、食材配送を委託する物流会社で第三者による不正アクセスに起因するシステム障害が発生し、14日以降のKFC店舗への食材納品に影響が生じる見込みだと公表した。影響対象はKFC全店舗であり、商品の一部品切れ、販売メニューの制限、営業時間の短縮、在庫状況による営業休止の可能性がある。
公式アプリとウェブサイトからのオンライン注文、モバイルオーダー、デリバリー、配達代行サービスは一時停止となった。復旧見込みは未定である。
From:
当社グループでのシステム障害発生について(株式会社ニチレイ)
From:
物流委託先のシステム障害に伴う一部店舗の営業への影響について(日本ケンタッキー・フライド・チキン株式会社)
【編集部解説】
この事案で押さえておきたいのは、影響の出発点がデータの流出ではないという点です。ニチレイは個人情報や顧客データの社外流出を確認していないと述べています。それでも、全国のケンタッキーフライドチキンは、品切れや臨時休業の可能性を告知するに至りました。
ニチレイの発表で影響が明示されているのは、冷蔵倉庫の入出庫業務と冷凍食品の出荷業務です。倉庫設備や車両、在庫そのものの状態については公表されていません。ただ、公表された事実だけを並べても、物理的なモノではなく、それを動かす業務システムのほうが止まったという構図は見えてきます。
ここで一般論として、低温物流を支える倉庫管理システム(WMS)に触れておきます。WMSは在庫、入出庫、ロケーション、出荷指示を統合管理する仕組みで、食品物流では温度帯やロット、賞味期限といった条件も扱います。こうしたシステムが停止すると、目の前に在庫があっても、それを「いつ、どこへ、どの順で出すか」の指示が出せなくなります。今回ニチレイで停止したシステムがWMSそのものかどうかは公表されていませんが、入出庫・出荷という影響範囲から、在庫管理系のシステムが関わっていると推測することはできます。
規模感を示す数字があります。ニチレイロジグループの低温物流を利用する顧客は年間で約5000社。そして、グループ外顧客向けの売上比率は92%です(ニチレイロジグループ公式サイト「数字で見る」)。
これは売上の比率であって、倉庫の保管量やパレット数の割合ではありません。それでも、外部の荷主への依存度がきわめて高い事業構造であることは読み取れます。1社の物流基盤が、実質的に日本の食品流通の一部を担っている。今回KFCが真っ先に影響を公表したのは、同社がチキンなど主要食材の配送をニチレイ子会社に委託していたからですが、同じ構造に置かれた企業が他にもいる可能性は高いと考えられます。あくまで推測ですが、約5000社という数字がその蓋然性を支えています。
もっとも、7月15日時点で影響を明示的に公表しているのは、公開情報で確認できる範囲ではKFCのみです。「広範な品薄が起きる」と断定できる段階ではありません。ここは慎重に見るべきところでしょう。
私が注目したのは、KFCのリリースが委託先の社名を書いていないことです。「食材配送を委託しております物流会社」——その先はITmedia NEWSの取材によってニチレイだと判明しました。
責めたい話ではありません。取引先の被害を自社が代弁して公表することの是非は、法務的にも商慣習的にも簡単ではないからです。ただ、サプライチェーンが実質的な社会インフラになった以上、「どこが止まったのか」を消費者が知る手段が、今回は報道の取材力に委ねられた。これは制度化された仕組みではなく、あくまで今回の一事例です。ここに引っかかりを覚えるというのが、私の解釈です。
復旧の見通しについては、前例が参考になります。
2025年10月、アスクルと子会社のASKUL LOGISTがランサムウェア攻撃で物流システム障害に見舞われた際、物流業務を委託していた良品計画とロフトが、ネットストアの受注・出荷を一時停止しました。アスクルはその後、対象品目を絞った手作業での出荷などを試行しながら段階的に再開し、システムを利用した出荷の本格再開までにはおおむね2カ月を要しています。一部サービスの制限は、その後も続きました。
この経緯は、もう一つのことを教えてくれます。自動化された物流でも、限定的な手作業運用は不可能ではない。ただし、その処理能力と精度は通常時から大きく落ちます。「人手でいくらでも代替できる」わけでも、「まったく代替できない」わけでもない。その中間に現実があります。
もうひとつの前例です。アサヒグループホールディングスは2025年9月29日にサイバー攻撃を公表した際、当初は「外部流出は確認されていない」としていました。その後ランサムウェアグループQilinが自ら関与を主張し、最終的には顧客・取引先・従業員などを合わせて約191.4万件が漏えい、またはそのおそれがあると公表されるに至ります。
「現時点で流出は確認されていません」は、「流出していません」ではありません。これは企業の不誠実を意味するのではなく、フォレンジック調査というものが本質的に時間を要するからです。ニチレイの発表も、今後の調査で内容が更新される可能性を前提に読むのが妥当だと考えます。
なお、障害の検知時刻について、ニチレイ広報の説明として複数の報道が7月13日午前6時50分ごろと伝えています。公式リリース本文には時刻の記載はありません。ランサムウェアによるものかどうかは調査中とされ、侵入経路や攻撃者も公式には特定されていません。「ランサムウェア攻撃」と断定するのは、現時点では早計です。
ここから先は、事実というより私の見立てです。この10年、製造や物流の現場では、在庫の圧縮やリードタイムの短縮といった効率化が大きな潮流でした。それは多くの場面で正しい選択でした。同時に、供給が途絶えたときの緩衝が薄くなる、という副作用も抱え込んできました。効率と、途絶への耐性。この二つは、しばしばトレードオフの関係に立ちます。
もちろん、企業がBCPや調達先の複線化、安全在庫の確保に取り組んでこなかったわけではありません。それでも今回のように、取引先のシステム障害が、自社の店舗運営にまで及ぶという形でリスクが顕在化すると、守るべき境界線が自社のファイアウォールの内側だけでは完結しないことを、あらためて突きつけられます。
KFCは、自社が攻撃されたわけではありません。全店舗が影響対象となり、オンライン注文の停止や一部店舗での営業制限という形で、消費者に見える影響が生じました。サイバー攻撃が、データを狙うものだけでなく、現実の業務そのものを止める形でも表面化する。その一例が、フライドチキンという生活に近い場所で起きた。ここに、この事案を報じる意味があると考えています。
【関連記事】
UNFIサイバー攻撃でホールフーズ全米品切れ─食品サプライチェーンの脆弱性が露呈(内部)
食品卸1社の障害が小売店頭の品切れに直結した米国の事例。今回のニチレイ→KFCと構造がそのまま重なる、最良の対比記事。
アスクルがランサムウェア感染で受注・出荷停止、止まらないサイバー攻撃(内部)
物流障害が良品計画・ロフトのネット通販を止めた国内前例。本文で触れた「復旧に約2カ月」の当該事案そのもの。
Blue Yonder被害:北米スターバックス1.1万店舗に影響|AI供給網管理の死角が露呈(内部)
供給網管理ソフト大手1社の障害が3000社超・スターバックス1.1万店に波及。1社の障害がどこまで広がるかを数字で示す好例。
【編集部後記】
ひとつ、宿題のように残っている疑問があります。もし今回止まったのがニチレイではなく、名前を聞いたこともない中堅の物流会社だったら、私たちは原因にたどり着けたでしょうか。
KFCという誰もが知る看板があったから、記者は委託先を追いかけ、社名まで報じました。けれど食卓を支える「見えない一社」の多くは、看板を持ちません。その一社が止まったとき、消費者が事情を知る道筋は、いまのところ用意されていない。
次に棚が空いたとき、あなたはその欠品が「たまたま」なのか、どこかのシステムが止まった結果なのか、区別できるでしょうか。
【用語解説】
不正アクセス
他人の識別符号を悪用したり、システムの脆弱性を突いたりして、権限のない者がアクセス制御を破って侵入する行為を指す。不正アクセス禁止法で禁じられている。目的はデータ窃取に限らず、業務システムの機能停止そのものが狙いとなる場合もある。
WMS(倉庫管理システム/Warehouse Management System)
倉庫内の在庫、入出庫、ロケーション、出荷指示を統合管理するシステムである。低温物流では温度帯、ロット、賞味期限といった条件が加わる。大規模倉庫ほど運用の依存度が高く、停止時に人手で代替する難度も上がる。
低温物流(コールドチェーン)
生産から消費まで、一定の低温を保ったまま食品を輸送・保管する仕組みを指す。常温物流と異なり専用の冷蔵・冷凍設備が必要となるため、障害発生時に代替拠点を短期間で確保することが難しい場合が多い。
先入先出(FIFO)
先に入庫した在庫から先に出荷する管理原則である。賞味期限のある食品で広く用いられる重要な運用原則だが、期限の近いものを優先するFEFOが適する場面もある。
ジャストインタイム(JIT)
必要なものを、必要なときに、必要な量だけ調達する生産・調達方式である。在庫コストを圧縮できる一方、供給が止まった際の緩衝在庫が薄くなり、物流障害の影響を受けやすくなる面がある。
ランサムウェア
データを暗号化して使用不能にし、その復旧と引き換えに身代金を要求するマルウェアである。近年は、窃取したデータの公開を脅迫材料に加える「二重恐喝」型が広く用いられている。暗号化を伴わない恐喝型も存在する。
Qilin
ランサムウェアグループの一つ。2025年9月のアサヒグループホールディングスへのサイバー攻撃について、自ら関与を主張したと複数のセキュリティ報道が伝えている。
デジタルフォレンジック
端末やネットワークに残された記録を解析し、侵入経路や被害範囲を特定する調査手法である。十分な記録が残っている場合に有効となる。全容解明には相応の時間を要するため、初期発表の内容が調査の進行に伴って更新されることは珍しくない。
モバイルオーダー
スマートフォンアプリから事前に注文・決済を行い、店舗で受け取る仕組みである。KFCは今回の障害を受けて一時停止した。
【参考リンク】
株式会社ニチレイ 公式サイト(外部)
冷凍食品事業と低温物流事業を柱とする食品グループの持株会社。加工食品、水産、畜産、低温物流の4事業を展開する。
ニチレイロジグループ 公式サイト(外部)
ニチレイの低温物流事業を担うグループ。冷蔵倉庫の保管・入出庫と輸配送を手掛け、他社荷主の貨物も広く受託している。
ニチレイロジグループ「数字で見る」(外部)
年間顧客約5000社、グループ外顧客売上比率92%など、同社の事業規模を数値で示すページ。本記事の数値の出典。
ニチレイフーズ 公式サイト(外部)
ニチレイの加工食品事業会社。「本格炒飯」「特から」など家庭用・業務用の冷凍食品を製造・販売する大手メーカー。
日本ケンタッキー・フライド・チキン ニュースリリース(外部)
KFCブランドを国内で展開する企業の公式リリース一覧。今回の物流委託先のシステム障害に関する告知も掲載されている。
【参考記事】
ニチレイに不正アクセス、冷凍食品の生産や入出庫に関する業務に影響(日経クロステック)(外部)
広報への取材で検知時刻や「調査中」を確認。約5000社・売上比率92%を提示し、アスクル事案との類似を指摘する。
KFC、全店舗で品切れや臨時休業のおそれ 原因はニチレイへの不正アクセス(ITmedia NEWS)(外部)
KFCが伏せた委託先の社名を独自取材で特定。両社の発表を突き合わせ、供給網の連鎖を明示した報道の一つ。
ケンタッキー、食材調達滞り臨時休業も ニチレイで不正アクセス(日本経済新聞)(外部)
KFCが主要食材の配送をニチレイ子会社に委託する取引関係を報道。鶏肉配送の停滞と全国店舗への影響を伝える。
サイバー攻撃による情報漏えいに関する調査結果と今後の対応について(アサヒグループホールディングス)(外部)
顧客・取引先・従業員など合計約191.4万件の漏えい、またはそのおそれを公表。初期発表が更新された経緯を示す一次資料。
アスクルのサイバーセキュリティ(アスクル)(外部)
2025年10月のランサムウェア被害と、段階的な業務再開の経緯を掲載する公式ページ。復旧の実像を確認する一次資料。












