美濃工業株式会社は2025年10月21日、ランサムウェアによるサイバー攻撃に関する第三報を公表した。
同社は10月1日19時31分に社員用VPNアカウントを悪用され、社内ネットワークへ侵入された。管理者権限がないため当初は徘徊に留まり、その後複数回にわたって徘徊を受けた。
10月3日20時58分にシステム管理者アカウント権限を悪用され、セキュリティシステムを含むシステムの破壊、ファイル暗号化、サーバー初期化等の攻撃が始まった。10月4日1時21分にランサムノートが社内フォルダ内に保存され、同日2時25分にサイバー攻撃を確認、2時49分にネットワークを切断した。
同社はアルミダイカスト製品などを製造する企業である。
From: 
サイバー攻撃によるシステム障害について(第三報) – 美濃工業
【編集部解説】
今回の美濃工業のケースは、ランサムウェア攻撃の「典型的な侵入経路」と「驚くべき速度」という2つの重要な教訓を示しています。
攻撃者は社員用VPNアカウントという「正規の入口」から侵入しました。これは2025年に入って世界中で急増している手口です。SafePayグループは、ダークウェブで購入した認証情報やVPNの脆弱性を悪用することで知られており、侵入後24時間以内にランサムウェアを展開する「スピード重視」の戦術を取ります。
美濃工業の事例では、10月1日の侵入から10月3日の本格的な攻撃まで約2日間の「徘徊期間」がありました。この間、攻撃者は管理者権限の奪取を試み、ネットワーク内を探索していたと考えられます。
興味深いのは、攻撃のタイムラインが極めて詳細に公開されている点です。多くの企業がサイバー攻撃の詳細を伏せる中、美濃工業は分単位で状況を開示しました。これは被害企業としての透明性の高さを示すと同時に、フォレンジック調査が迅速かつ徹底的に行われたことを物語っています。
製造業は2025年、ランサムウェア攻撃の主要なターゲットとなっています。グローバルでは製造業への攻撃が全体の約18%を占めており、日本でも中小企業を中心に被害が拡大しています。背景には、デジタル化の進展によるリモートアクセスの拡大と、セキュリティ投資の遅れという構造的な脆弱性があります。
VPN経由の侵入を防ぐには、多要素認証の導入、使用していないアカウントの無効化、VPNソフトウェアの定期的なパッチ適用が不可欠です。しかし最も重要なのは、侵入を「完全に防ぐ」発想から「侵入後の早期検知」へとセキュリティ戦略をシフトすることでしょう。美濃工業のケースでは、管理者権限奪取までに2日間の猶予がありました。この「ゴールデンタイム」をいかに活用するかが、被害の最小化を左右します。
SafePayグループは2024年後半に出現した比較的新しい組織ですが、2025年5月には単月で最多の被害者を出すまでに急成長しました。二重恐喝モデル(データ暗号化と流出脅迫)を採用し、金融、法務、医療といった機密性の高い業界を狙っています。日本企業への攻撃も増加傾向にあり、今後さらなる警戒が必要な状況です。
【用語解説】
ランサムウェア
身代金要求型マルウェアの総称である。感染したコンピュータのファイルを暗号化し、復号化と引き換えに金銭を要求する。近年は暗号通貨での支払いを求めるケースが大半を占める。
二重恐喝(Double Extortion)
ランサムウェア攻撃の手法の一つで、ファイルの暗号化に加え、事前に窃取したデータの公開を脅迫材料とする。被害者はシステムの復旧だけでなく情報流出の防止という二重の圧力にさらされる。2019年頃から急増した攻撃手法である。
VPN(Virtual Private Network)
インターネット上に仮想的な専用回線を構築し、安全な通信を実現する技術である。リモートワークの普及に伴い利用が拡大したが、認証情報の漏洩や脆弱性を狙った攻撃の標的となるケースが増加している。
多要素認証(MFA:Multi-Factor Authentication)
ユーザー認証において、知識情報(パスワード)、所持情報(スマートフォン、トークン)、生体情報(指紋、顔認証)のうち2つ以上を組み合わせるセキュリティ手法である。VPNへの不正アクセス対策として有効とされる。
SafePayランサムウェアグループ
2024年後半に出現した比較的新しいサイバー犯罪組織である。二重恐喝モデルを採用し、VPNの脆弱性や漏洩した認証情報を悪用して侵入する手口を特徴とする。2025年に入り日本企業への攻撃が増加している。
システム管理者アカウント権限
ネットワーク内のすべてのシステムやデータにアクセスできる最高権限である。攻撃者がこの権限を奪取すると、セキュリティシステムの無効化、データの窃取、広範囲な破壊活動が可能となる。
ランサムノート(身代金脅迫文)
ランサムウェア攻撃者が被害者に残す脅迫メッセージである。通常、暗号化されたシステム内に配置され、身代金の支払い方法や期限、データ公開の警告などが記載されている。
アルミダイカスト
溶融したアルミニウム合金を金型に高圧で注入し、精密な部品を大量生産する鋳造技術である。自動車産業において軽量化と高強度を両立する部品製造に欠かせない技術となっている。
【参考リンク】
美濃工業株式会社(外部)
岐阜県中津川市に本社を置くアルミダイカスト製造企業。主に自動車部品の鋳造・加工・組立を手がけ、電動化部品の生産にも注力している。
Check Point – SafePayランサムウェア解説(外部)
セキュリティベンダーによるSafePayランサムウェアの詳細な技術解説。攻撃手法、標的業界、防御戦略などが網羅的にまとめられている。
【参考記事】
SafePay Ransomware: An Emerging Threat in 2025(外部)
SafePayランサムウェアグループの戦術と技術について詳細に分析した記事。2024年秋の出現から2025年5月に最多被害者を記録するまでの急成長を追跡している。
What to Know About SafePay Ransomware Group(外部)
SafePayグループの組織構造と活動パターンをまとめたレポート。ダークウェブで入手した認証情報を活用する手口や侵入後の横展開技術の詳細が記載されている。
Ransomware Attacks Targeting Japanese Companies Will Increase(外部)
2025年における日本企業へのランサムウェア攻撃の統計分析。製造業が全攻撃の18.2%を占め最大の標的となっていることが示されている。
Ransomware Surge Hits Japanese Firms, Exposing Weak Cyber Defenses(外部)
Bloomberg通信による日本企業のサイバーセキュリティ状況の調査報道。2025年に入りランサムウェア被害が前年比で急増していることを報じている。
VPN Compromise: Ransomware Breach Analysis(外部)
VPN経由のランサムウェア侵入事例を技術的に分析したレポート。管理者権限の奪取までの平均時間が48時間であることを示し、早期検知の重要性を強調している。
【編集部後記】
皆さんの会社のVPNには多要素認証が導入されていますか?今回の美濃工業の事例を「大企業の話」と捉えるのではなく、自分たちの組織に置き換えて考えてみる機会にしていただきたいと思います。
攻撃者は侵入から本格攻撃まで約2日間かけていました。この「ゴールデンタイム」に異変を察知できるシステムや体制が整っているでしょうか。完璧な防御は存在しません。だからこそ「侵入されても早期に気づく」仕組みづくりが、私たち一人ひとりに求められています。
