世界最大級のIT販売業者Ingram Microは2025年7月3日木曜日の早朝にSafePayランサムウェア攻撃を受けた。
攻撃者はGlobalProtect VPNプラットフォーム経由で侵入し、従業員の端末にランサムノートを残した。同社は7月5日土曜日に公式声明を発表し、内部システムでランサムウェアを検出したと発表した。
攻撃により2日以上にわたって同社のウェブサイトと注文システムがダウンし、米国、欧州、アジアの顧客に影響が及んだ。XvantageディストリビューションプラットフォームとImpulseライセンシングシステムが停止し、Microsoft 365やDropboxのライセンス処理に支障が生じた。
SafePayは2024年11月に初めて観測された新興ランサムウェアグループで、これまでに220件以上の被害者を出している。カリフォルニア州アーバインに本社を置くIngram Microは2021年にPlatinum Equityに72億ドルで買収され、2024年10月にIPOを実施した。
From: 
Ransomware Attack Triggers Widespread Outage at Ingram Micro
【編集部解説】
今回のIngram Microへのランサムウェア攻撃は、単なる一企業の被害を超えて、現代のIT業界全体の脆弱性を浮き彫りにした重要な事案です。この攻撃の背景と影響について、技術的・経済的観点から詳しく解説いたします。
SafePayランサムウェアグループの急速な台頭
攻撃を実行したSafePayは、2024年11月に初めて確認された比較的新しいランサムウェアグループですが、その活動は驚異的な勢いで拡大しています。これまでに220件以上の組織を被害者として掲載し、2025年5月には全ランサムウェア攻撃の18%を占め、最も活発なグループとして浮上しました。
このグループの特徴は、従来のRaaS(Ransomware-as-a-Service)モデルを採用せず、独自に攻撃を実行している点です。また、LockBitランサムウェアをベースとして開発された可能性が指摘されており、ユーザーアカウント制御(UAC)の回避やWindows Defenderの無効化など、高度な技術を駆使しています。
攻撃手法の巧妙さと技術的側面
今回の攻撃では、Ingram MicroのGlobalProtect VPNプラットフォームが侵入経路として利用されました。SafePayグループは、漏洩した認証情報やパスワードスプレー攻撃を通じてVPNゲートウェイ経由で企業ネットワークに侵入する手法を常用しています。
攻撃者は従業員の端末に「readme_safepay.txt」という身代金要求メモを残しましたが、実際にファイルが暗号化されたかどうかは不明です。これは「ダブルエクストーション」と呼ばれる手法の一部で、データの暗号化と情報漏洩の両方で企業を脅迫することが可能になります。
IT流通業界への波及効果とサプライチェーンリスク
Ingram Microは世界最大級のIT販売業者であり、その影響は計り知れません。同社のXvantageディストリビューションプラットフォームやImpulseライセンシングシステムの停止により、Microsoft 365やDropboxのライセンス管理に支障が生じ、数千社のパートナー企業が業務継続に困難を抱えることになりました。
この事案は、現代のIT業界におけるサプライチェーンの相互依存性の高さを明確に示しています。一つの中核企業への攻撃が、グローバルな技術エコシステム全体に連鎖的な影響を与える構造的リスクが浮き彫りになりました。
実際の被害事例から見る影響範囲
SafePayグループは過去にも重大な被害を引き起こしています。イギリスの車両追跡サービス企業Microliseへの攻撃では、1.2テラバイトのデータが盗まれ、大手配送企業DHLのコンビニエンスストアへの配送や、警備会社Sercoの囚人輸送システムにまで影響が及びました。
このように、ランサムウェア攻撃は直接の被害企業だけでなく、関連企業や取引先のサービスにも広範囲な影響を与える可能性があります。
セキュリティ投資の重要性と企業の対応策
今回の攻撃を受けて、多くのMSP(マネージドサービスプロバイダー)が自社のセキュリティ体制を見直しています。特に、サードパーティへの特権アクセス権限の管理や、多要素認証の強化が急務となっています。
企業は、単純なパスワード認証に依存せず、ゼロトラストアーキテクチャの導入や定期的なセキュリティ監査の実施が不可欠です。また、インシデント対応計画の策定と定期的な訓練により、攻撃を受けた際の被害を最小限に抑える準備が求められます。
長期的な業界への影響と規制動向
このような大規模攻撃の頻発により、政府レベルでのサイバーセキュリティ規制強化が予想されます。特に、重要インフラを担う企業に対しては、より厳格なセキュリティ基準の遵守が義務化される可能性が高まっています。
また、サイバー保険市場においても、保険料の上昇や補償条件の厳格化が進むと考えられます。企業は、保険に依存するのではなく、予防的なセキュリティ投資を優先する戦略転換が必要になるでしょう。
技術進歩とセキュリティのバランス
AI技術の発達により、攻撃者の手法はより巧妙化していますが、同時に防御側でもAIを活用した脅威検知システムの開発が進んでいます。今後は、人工知能を活用したリアルタイム脅威分析や、自動的なインシデント対応システムの導入が、企業のセキュリティ戦略の中核となることが予想されます。
【用語解説】
ランサムウェア
コンピューターシステムやデータを暗号化し、復旧と引き換えに身代金を要求する悪意のあるソフトウェア。近年は暗号化と同時にデータを窃取し、公開すると脅迫する「ダブルエクストーション」手法が主流となっている。
RaaS(Ransomware-as-a-Service)
ランサムウェア・アズ・ア・サービスの略。ランサムウェアの開発者が、悪意のあるコードやツール、初期アクセス権限を他のサイバー犯罪者に提供し、身代金の一部を受け取るビジネスモデル。
MSP(Managed Service Provider)
マネージドサービスプロバイダーの略。企業のITインフラやシステムの運用・管理を代行する事業者。多数の顧客企業のネットワークに深いアクセス権限を持つため、ランサムウェア攻撃の標的になりやすい。
IT販売業者(IT Distributor)
ITハードウェア、ソフトウェア、クラウドサービスなどを製造業者から仕入れ、リセラーやMSPなどの販売パートナーに卸売りする中間業者。グローバルなIT供給網の重要な役割を担う。
8-Kフォーム
米国証券取引委員会(SEC)に提出が義務付けられている臨時報告書。企業の重要な出来事や変更事項を投資家に迅速に報告するための書類。
パスワードスプレー攻撃
多数のアカウントに対して、よく使われるパスワードを試行する攻撃手法。アカウントロックアウトを回避しながら、弱いパスワードを使用しているアカウントを特定する。
ダブルエクストーション
データの暗号化と情報窃取を同時に行い、復号化と情報漏洩防止の両方で身代金を要求する攻撃手法。被害者に対する圧力を高める効果がある。
【参考リンク】
Ingram Micro(外部)
世界最大級のIT販売業者の公式サイト。ハードウェア、ソフトウェア、クラウドサービスの流通を手がける企業情報を提供。
Platinum Equity(外部)
Ingram Microの親会社であるプライベートエクイティファーム。約500億ドルの資産を運用する投資会社の公式サイト。
Palo Alto Networks(外部)
GlobalProtect VPNソリューションを開発するサイバーセキュリティ企業。企業向けセキュリティプラットフォームを提供。
NCC Group(外部)
サイバーセキュリティ分野の専門企業。月次脅威レポート「Threat Pulse」でランサムウェア攻撃の動向分析を提供。
【参考記事】
Ingram Micro outage caused by SafePay ransomware attack(外部)
BleepingComputerによる詳細報道。SafePayランサムウェア攻撃の手法とVPN経由での侵入について解説。
Ingram Micro says ongoing outage caused by ransomware attack(外部)
TechCrunchによる報道。システム障害の詳細と顧客への影響、SafePayグループの関与について詳しく解説。
SafePay Ransomware Report(外部)
Quorum Cyberによる詳細な脅威分析レポート。SafePayランサムウェアグループの活動履歴と攻撃手法を包括的に解説。
【編集部後記】
今回のIngram Microの事案を見て、皆さんはどのように感じられたでしょうか。私たちが日常的に使っているクラウドサービスやソフトウェアライセンスが、実は見えないところで複雑なサプライチェーンに支えられていることに、改めて気づかされました。
もし皆さんの会社でも同様の攻撃を受けたとしたら、どのような対策を最優先に考えますか?また、VPN接続の安全性や多要素認証の重要性について、どのような取り組みを進めていらっしゃるでしょうか。
ぜひSNSで、皆さんの率直なご意見をお聞かせください。一緒に考えることで、より安全で持続可能な技術社会の在り方を模索していければと思います。
