_edited.png&w=3840&q=75){kind=small}
不正アクセス不正アクセスサプライチェーン海運業界個人情報漏洩
日本郵船、船舶燃料調達システムへの不正アクセスで個人情報流出の可能性
日本郵船株式会社
影響規模:社員・取引先の個人情報(氏名、電話番号、メールアドレス等)
インシデントの概要
2026年4月9日、日本郵船株式会社は公式ニュースリリースにて、同社グループが利用する船舶燃料調達システムにおいて、3月24日午後に第三者による不正アクセスが発生したことを公表しました。
時系列
| 日付 | 内容 |
|---|---|
| 3月24日午後 | 不正アクセスを検知 |
| 3月24日 | 当該システムをネットワークから隔離、使用停止 |
| 3月27日 | システム復旧完了 |
| 3月27日 | 個人情報保護委員会等へ速報提出 |
| 3月31日 | 警察へ報告 |
| 4月9日 | 公式発表「個人情報漏えいについて」 |
漏洩の可能性がある情報
日本郵船の社員(退職者含む)および取引先企業の社員に関する以下の情報:
- 氏名、会社名
- 電話番号、メールアドレス
ランサムウェア特有のデータ暗号化や金銭要求は確認されておらず、二次被害も報告されていません。
情報出典: 日本郵船 公式ニュースリリース(2026年4月9日)、LOGI-TODAY 報道、Security NEXT 報道
なぜこのインシデントが起きたのか ー 推定される原因
公式発表では侵入経路の詳細は明らかにされていませんが、以下の可能性が考えられます:
- 外部公開システムの脆弱性: 船舶燃料調達システムは取引先との連携が必要なため、外部からアクセス可能な設計になっていた可能性が高い。VPN装置やWebアプリケーションの脆弱性が侵入経路となりやすい
- 認証情報の漏洩: フィッシングやクレデンシャルスタッフィング(過去のデータ漏洩で流出したID/パスワードの使い回し)により、正規のアカウント情報で不正ログインされた可能性
- 外部連携ポイントの監視不足: 海運業界はグローバルで多数の取引先とシステム連携しており、各接続ポイントの監視が不十分だった可能性
企業が取るべき対策
1. 外部公開システムの脆弱性診断
取引先向けポータルやAPIなど、外部からアクセス可能なシステムに対して定期的なペネトレーションテストを実施し、攻撃者より先に脆弱性を発見することが最も効果的です。
2. 多要素認証(MFA)の導入
パスワードだけでなく、OTP(ワンタイムパスワード)やハードウェアトークンなどの多要素認証を全外部アクセスに適用しましょう。
3. ネットワークの分離と検知体制
業務データを扱うシステムは、外部接続用ネットワークと内部ネットワークを分離し、不正なデータ持ち出しをリアルタイムで検知するDLP(データ損失防止)ツールの導入が有効です。
4. 迅速なインシデント対応の模範
本件では検知から3日でシステム復旧を完了しており、事前のインシデント対応計画が機能した好例です。しかし、検知から公表まで約2週間かかっており、この期間の短縮も重要な改善点です。