自動車用樹脂部品メーカーのダイキョーニシカワは2026年6月、インドネシア子会社がサイバー攻撃を受け、システム内のデータの一部が外部に送信されていたと公表しました。生産活動への支障はないとしていますが、注目すべきは「攻撃の入り口が本社ではなく海外子会社だった」という点です。セキュリティ対策が手薄になりがちな海外拠点やグループ会社は、いまや攻撃者にとって格好の侵入口になっています。
本記事では、この事案を起点に、なぜ海外子会社が狙われるのか、そして本社の情シスがグループ全体をどう守るべきかを実務目線で整理します。
この記事でわかること
- ダイキョーニシカワの海外子会社攻撃で起きたことの要点
- なぜ海外子会社・委託先が攻撃の侵入口になりやすいのか
- サプライチェーン攻撃が脅威ランキング上位の常連である根拠
- 本社の情シスがグループ全体で取るべき対策と公的指針
何が起きたのか(ダイキョーニシカワの事案)
公表された情報を時系列で整理します。
| 時点 | 内容 |
|---|---|
| 2026年3月26日 | インドネシア子会社のシステムで異常な挙動を検知。第三者によるサイバー攻撃と判明 |
| 2026年6月17日 | システム内に保存されていたデータの一部が外部に送信されていたことを確認 |
| 2026年6月25日 | 公表。生産活動への支障はないとし、外部協力のもと原因特定と影響範囲を調査中 |
攻撃の種別(ランサムウェアか否か)や、外部送信されたデータの具体的な種類・件数は現時点で公表されていません。注目したいのは、異常検知(3月26日)から「データの外部送信」を確認(6月17日)まで、約3か月を要している点です。攻撃の全容把握、とりわけ海外拠点が絡む調査に時間がかかる現実がうかがえます。出典:Security NEXT(2026年6月25日)。
なぜ海外子会社が攻撃の侵入口になるのか?
理由はシンプルで、グループ内で海外拠点はセキュリティ対策が手薄になりがちだからです。本社と同等の予算・人員・監視体制を海外子会社に行き渡らせるのは難しく、その「最も弱い環」を攻撃者は突いてきます。
典型的な攻撃の流れは次の通りです。攻撃者はセキュリティレベルの低い海外拠点に侵入したのち、ログを消すなどして長期間ネットワーク内に潜伏・偵察し、足場を固めます。そのうえで脆弱な内部機器を中継地点として悪用し、本社や他拠点へと感染を横展開していきます。過去には、海外拠点のサーバーを踏み台にランサムウェアがグループ全体へ拡散し、複数の子会社にまで被害が及んだ事例も報じられています。海外子会社の事故は「現地だけの問題」では終わらない、というのが怖いところです。
こうした横展開は、メールアカウントの侵害が踏み台になるケースとも通じます。攻撃の起点が小さく見えても被害は連鎖する点は、メールアカウント侵害でスパム踏み台にされた事例でも触れた通りです。
サプライチェーン攻撃は脅威ランキングの常連
海外子会社や委託先を経由する攻撃は、いわゆるサプライチェーン攻撃の一形態です。IPAの「情報セキュリティ10大脅威 2026」(組織編)では、「サプライチェーンや委託先を狙った攻撃」が2位にランクインしました。1位の「ランサム攻撃による被害」とともに、この2つは2023年以降4年連続で順位が変わっていません。攻撃側にとって、防御の薄い周辺から本丸を狙う手口が、いかに有効で定着しているかを示しています。
経済産業省とIPAの「サイバーセキュリティ経営ガイドライン Ver3.0」も、自社の対策不足がグループ・取引先を経由した被害や、他社への二次被害を招くリスクを明確に指摘しています。グループ全体の防御は、もはや経営課題として位置づけられているのです。
本社の情シスはどうすべきか
海外子会社を含むグループ全体を守るうえで、まず押さえたい論点を整理します。
1. 拠点の「見えない資産」を可視化する
守るべきは、把握できている資産だけではありません。海外拠点が独自に立てたサーバーやVPN機器、放置された古いシステムが侵入口になります。グループでどんな外部公開資産があるかを棚卸しし、脆弱性を継続的に把握する仕組み(攻撃対象領域の管理)が出発点です。
2. 最低限の共通基準をグループで定める
本社と完全に同一の対策は難しくても、「多要素認証の必須化」「OS・機器の更新」「ログの取得と保全」といった最低ラインだけはグループ共通の必達事項として定めることが重要です。認証強化の考え方は多要素認証(MFA)の解説記事もあわせてご覧ください。
3. 国境をまたぐインシデント対応を事前に決めておく
今回の事案で調査に時間を要したように、海外拠点の事故は言語・時差・現地法制度の壁で対応が遅れがちです。「誰がいつ本社に報告するか」「現地と本社の役割分担」「外部専門家の手配」を平時に決め、できれば机上演習で回しておくと、いざという時の初動が変わります。
具体的な進め方は、自前でチェックリストを抱え込むより公的指針を土台にするのが効率的です。まずは以下を参照してください。
- IPA・経産省「サイバーセキュリティ経営ガイドラインと支援ツール」(経営層への説明材料に有効)
- IPA「インシデント対応 机上演習教材」(拠点をまたぐ対応の訓練に)
- IPA「中小企業の情報セキュリティ対策ガイドライン」(規模の小さい拠点の底上げに)
現場目線の所感
正直なところ、海外子会社のセキュリティは本社の情シスにとって最も手が届きにくい領域です。現地の担当者と顔も合わせられず、何の機器がどう繋がっているかも見えにくい。本社の方針を伝えても「現地の事情」で骨抜きになることもあり、もどかしさを感じている担当者は多いはずです。
それでも、攻撃者は組織図の都合など考慮してくれません。完璧な統制が無理でも、「最低ラインの共通基準」と「事故時の連絡経路」という2点だけは、平時のうちにグループで握っておく価値があります。今回の事案は、その備えを点検するよい契機だと感じます。
まとめ
- ダイキョーニシカワの事案は、攻撃の入り口が本社ではなく海外子会社だった。海外拠点・委託先は対策が手薄になりやすく、攻撃の侵入口になる。
- サプライチェーンを狙う攻撃はIPA10大脅威で4年連続2位。海外拠点の事故は横展開でグループ全体に波及しうる。
- 本社の情シスは「資産の可視化」「グループ共通の最低基準」「国境をまたぐ事故対応の事前設計」の3点を、公的指針を土台に整えておくとよい。
