📊 3行サマリー

  • 韓国の警察庁・中小企業ベンチャー部・KISAが2026年4月16日に発表。新型ランサムウェア「Midnight」「Endpoint」の2種類が、IT保守委託業者を踏み台に中小製造業を襲っていると警告した。
  • 攻撃手口は見積依頼・求職応募・コンサル相談を装ったメールでIT業者に侵入し、奪った正規アカウントから顧客企業へ再侵入する「2段階構造」。データ持ち出しと暗号化を同時に仕掛けるダブルエクストーション型である。
  • 日本でも2025年9月、AI-OCRサービス「Jijilla」が再々委託先経由で侵害され、銀行・証券の顧客データが流出。10月にはアスクル経由で無印良品ネットストアが停止した——韓国の警告は対岸の火事ではない。

📝 韓国警察庁が初の3機関合同警告、IT保守業者経由の新型ランサムが中小製造業を直撃

韓国警察庁は2026年4月16日、中小企業ベンチャー部・韓国インターネット振興院(KISA)と共同で、新型ランサムウェアに関する脅威情報を発表した。攻撃の主な標的は中小製造業であり、配信されているマルウェアは「Midnight」「Endpoint」と呼ばれる2種類。直接企業を狙うのではなく、まずIT統合・保守委託業者に侵入し、そこを踏み台にして顧客企業へ広げる「サプライチェーン型」が特徴である。

韓国警察庁が省庁横断のセキュリティ警告を出したのは今回が初めてだ。これまでKISA単独や、業界団体経由の通知はあっても、捜査機関である警察庁が中小企業所管省庁・サイバー監督機関と歩調を揃えて公式注意喚起を出した事例はない。情報通信網を狙う大規模ハッキング・サイバー犯罪の拡大に対し、事後対応から予防型へと体制を移したい意図が透けて見える。

📰 アジア経済紙報道:「Midnight」「Endpoint」が見積依頼メールでIT業者に侵入する

元ネタRansomware Attacks Demanding Payments Confirmed Against South Korean SMEs(The Asia Business Daily / 2026年4月16日)

The National Police Agency, the Ministry of SMEs and Startups, and the Korea Internet & Security Agency (KISA) released threat intelligence on ransomware attacks on April 16, 2026.

同紙によれば、攻撃者はIT保守・SI事業者に対して、見積依頼・求職応募・コンサル問い合わせを装った悪性メールを送付する。受信者が添付ファイルを実行すると遠隔操作型マルウェアが導入され、内部情報とアカウント情報が外部へ抜き取られる。次の段階では、攻撃者がその奪った情報を使って当該IT業者を装い、契約先である顧客企業へ追加の悪性メールを送る。これでクライアント側の内部にも侵入し、ランサムウェアを展開するという2段構えだ。被害の中心は中小製造業だが、流通・エネルギー・公共部門でも確認されたため、警察庁は「全産業に対する特別な注意」を呼びかけている。

🔥 ダブルエクストーション化と省庁横断の動員、警察庁が初めて動いた背景

このランサムウェアの第二の特徴は、ファイルを暗号化するだけでなく、事前に内部データを抜き取って外部公開をちらつかせる「ダブルエクストーション(二重恐喝)」型である点だ。暗号化解除と引き換えの身代金だけでは交渉が成立しなくなったため、攻撃側は「払わなければ盗んだデータを公開する」という第二のレバーを握っている。被害企業はバックアップから復旧できても、漏洩データの公開リスクは別問題として残る。

そして警察庁が初めて中小企業ベンチャー部・KISAと合同で警告を出した背景には、被害が中小製造業に集中している実態がある。中小製造業はサイバーセキュリティ予算が限られ、IT運用そのものを保守業者に委ねるケースが多い。攻撃側はその「弱い管理者」を一点突破することで、複数の顧客企業を一度に侵害できる構造になっている。捜査機関だけでも産業所管省庁だけでもこの連鎖は止められないため、3機関が同時に動かざるを得なかったというのが今回の本質である。

🇯🇵 日本でも「Jijilla」「アスクル」型の連鎖被害、IT委託契約に問われる責任分界点

韓国の構図は日本にとっても他人事ではない。2025年9月25日には、ローレルバンクマシンが提供するAI-OCRサービス「Jijilla」がランサムウェア被害を受け、ローレル社と直接契約していない上流の銀行・証券会社の顧客データが、再々委託先のツール経由で流出する「逆流型サプライチェーン被害」が発生した。直接の取引関係がない企業のデータが、業務委託の連鎖の最下流から漏れ出すという、まさに今回の韓国事案と同じ構造である。

2025年10月には配送委託先のアスクルがランサムウェア感染し、良品計画が運営する無印良品ネットストアが受注・出荷停止に追い込まれた。同年9月のアサヒグループホールディングス事件では190万件超の個人情報流出のおそれが11月会見で明らかになっており、生産・物流の中枢が長期停止した。日本国内のランサムウェア感染経路の約6割がVPN機器経由とされる中で、攻撃者にとっては自社を直接守る企業より、保守委託先・物流委託先の方が侵入コストが低い。

日本企業に問われているのは、IT保守契約・業務委託契約のセキュリティ条項である。委託先で発生したインシデントの責任分界点、漏洩通知義務の起算日、ログ提供義務、再委託の可否——これまで「念のため」で済まされてきた条項が、Jijilla型・アスクル型の事案では補償交渉の本丸になる。

🏁 IT保守業者は「鍵束を持つ管理人」、契約書の見直しが次の防衛線

韓国警察庁の今回の合同警告が示しているのは、IT保守業者がもはや単なる外注先ではなく、複数顧客の認証情報・遠隔接続経路を一手に預かる「鍵束を持つ管理人」になっているという認識である。攻撃側は技術的に高度な脆弱性を突かなくとも、保守業者宛の見積依頼メール一通で複数の中小製造業に同時侵入できる。これは攻撃の経済合理性が完全に保守業者側へ移ったことを意味する。

日本の中小企業・地方製造業も、IT保守業者への依存度は韓国と大差ない。技術投資より先に、まず委託契約のセキュリティ条項と、保守業者側のアクセス権限の最小化、そして「保守業者からのメール」を疑える従業員教育が、次の防衛線となる。Midnight/Endpointの名前は変わっても、構造は今後も繰り返されるとみたほうがいい。