2026年3月31日、Dark Readingはアリエル・ウォルドマンの記事として、製造業と医療業界がパスワード管理において共通の脆弱性を抱えていることを報じた。
Black Kiteの「2025 Manufacturing Research Report」によると、製造業は4年連続でランサムウェアグループの標的No.1となっている。両産業では、オペレーターや医師が認証情報を共有したり、パスワードを使用しなかったりする慣行が確認されている。
ElisityのフィールドCTOであるミック・コーディと、Marshのプラクティスリーダーであるリサ・コールドウェルは、原因として文化的意識の違いとレガシー技術への依存を挙げている。改善策として、不審なログイン活動の監視強化と、リスクに関する継続的な説明が提言されている。
From: 
Manufacturing and Healthcare Share Struggles with Passwords
【編集部解説】
「なぜセキュリティの専門家でもない人が、パスワードなんかに気を使わなければならないのか」——この記事を読んで、そう感じた方もいるかもしれません。しかし、この問いそのものが、問題の本質を突いています。
製造業と医療業界という、一見まったく異なる2つの産業が、同じ病に侵されています。それは「セキュリティよりも、目の前の仕事」という優先順位の問題です。組み立てラインを止めない、患者を待たせない——その現場感覚は正当です。しかし、そのためにパスワードを使い回し、IDを共有することが常態化した結果、両産業は今、ランサムウェアの最大の標的になっています。
重要なのは、これが「個人のモラル」の問題ではないという点です。レガシー技術が根付いた環境では、多要素認証などの現代的なセキュリティ対策をそもそも実装できないケースが多く存在します。技術的な制約が、文化的な慣行を固定化させているのです。Black Kiteのレポートが示す通り、製造業の75%が深刻な脆弱性(CVSSスコア8以上)を抱え、15%はここ90日以内に認証情報の漏洩が確認されています。問題の根は、意識よりずっと深いところにあります。
見落とされがちな視点として、サプライチェーンへの波及効果があります。工場1か所の認証情報が漏れれば、そこに連なるサプライヤーや取引先、さらには顧客企業のシステムまで連鎖的に影響を受けます。2024年に発生したChange Healthcare(UnitedHealth傘下)へのランサムウェア攻撃は、侵入経路が「MFAなしのCitrix認証情報」という、まさにパスワード管理の甘さが直接の引き金でした。その結果、1億9,270万人分の医療データが流出し、全米で医療・請求情報オペレーションに大規模な障害が発生しました。パスワードひとつが、これほど広大な被害を生む時代になっています。
記事が提言する「不審なログイン活動の監視強化」は、すぐに着手できる現実的な第一歩です。一方で、より長期的な解決策としては「パスワードレス認証」への移行が業界で議論されています。生体認証やパスキーなどの技術は、パスワードという概念そのものを不要にするアプローチで、特に医療現場のような緊急性の高い環境での採用が期待されています。
規制面でも圧力は強まっています。米国では2025年にHIPAAセキュリティルールの大幅改定が提案され、MFAの義務化などが議論されました。製造業においても、Black Kiteのレポートが浮き彫りにしたように、サプライチェーン全体のセキュリティ管理を求める声が高まっています。現場の自主的な意識改革だけに期待する時代は、終わりつつあるのかもしれません。
「パスワード問題」は、小さく見えて巨大なリスクです。それが解決されない限り、高度なセキュリティ投資も、入口の鍵を開けたまま金庫に大金を入れるようなものでしょう。
【用語解説】
運用技術(OT:Operational Technology)
工場の製造ラインや産業設備など、物理的なプロセスを制御・監視するためのハードウェア・ソフトウェアの総称。近年、IT(情報技術)ネットワークとの接続が進んだことで、サイバー攻撃の対象になりやすくなっている。
CVSS(Common Vulnerability Scoring System)
ソフトウェアの脆弱性の深刻度を0〜10のスコアで数値化する国際的な標準指標。CVSS v3.1では、スコア 7.0〜8.9 は「High(高)」、9.0〜10.0 は「Critical(緊急)」 に分類される。
HIPAA(医療保険の携行性と説明責任に関する法律)
米国の医療情報保護に関する連邦法。患者の医療情報(PHI)の取り扱いに関するセキュリティ基準を定めており、違反した場合には多額の制裁金が科される。2025年に大幅な改定が提案され、MFAの義務化などが議論された。
サプライチェーンリスク
企業が依存する仕入先・外注先・取引先など、供給網全体に潜むセキュリティリスクのこと。1社の認証情報漏洩が、連鎖的に多数の企業へ被害をもたらす「連鎖攻撃」の温床になりうる。
【参考リンク】
Black Kite(外部)
サードパーティのサイバーリスクをリアルタイムで評価・監視する企業。製造業の年次ランサムウェアレポートを発行している。
Elisity Cybersecurity(外部)
アイデンティティベースのマイクロセグメンテーションを提供。製造・医療向けゼロトラスト実現を支援するセキュリティ企業。
Marsh(外部)
世界最大級の保険ブローカー兼リスクコンサルティング企業。製造・自動車産業のサイバーリスク管理支援で実績を持つ。
【参考記事】
Black Kite’s 2025 Manufacturing Report(PR Newswire)(外部)
製造業が4年連続ランサムウェア標的No.1。年収10億ドル超の企業の38.9%が被害、前年比9%増と報告。
2025 Manufacturing Report: Ransomware Risk Hits Manufacturers(Black Kite公式)(外部)
製造業の75%がCVSSスコア8以上の脆弱性を保有。15%は直近90日で認証情報の漏洩が確認されている。
120+ Latest Healthcare Cybersecurity Statistics for 2025(Dialog Health)(外部)
医療機関へのサイバー攻撃の34%が認証情報漏洩に起因。ランサムウェアによる平均ダウンタイムは約19日と報告。
Compromised Credential Statistics 2025(Deepstrike)(外部)
盗まれた認証情報が全侵害の約22%を占める。Change Healthcare攻撃の経緯と波及リスクを詳述している。
IBM Report: Escalating Data Breach Disruption Pushes Costs to New Highs(IBM)(外部)
医療業界が14年連続で侵害コスト最高額。2024年の平均は$9.77Mで全産業平均($4.88M)の約2倍に相当。
【編集部後記】
「パスワードくらい、大丈夫だろう」——正直、私たちもそう思ってしまうことがあります。でも、この記事を読んで、そのひとつの油断が工場を止め、病院を麻痺させる引き金になりうると知りました。あなたの職場では、どうでしょうか。セキュリティと現場の速度、どのように折り合いをつけているのか、ぜひ考えてみてください。
