海外子会社がサイバー攻撃の入口になる理由|日本企業が確認すべきグループ会社リスク

日本企業の海外子会社や海外グループ会社を狙ったサイバー攻撃が目立っています。

これまでサイバー攻撃というと、日本本社のネットワーク、国内の顧客情報、国内サービスの不正アクセスに注目が集まりがちでした。

しかし、グローバルに事業を展開する企業では、本社だけを守っても十分ではありません。

海外子会社、海外工場、販売会社、現地法人、委託先、グループ会社のシステムが侵害されれば、そこから情報流出、ランサムウェア被害、業務停止、取引先への影響、本社ネットワークへの波及が起こる可能性があります。

実際に、直近のセキュリティニュース候補でも、ニデック台湾子会社のランサムウェア被害、サッポロHD海外グループ会社2社へのサイバー攻撃、ダイキョーニシカワのインドネシア連結子会社への不正アクセス、山一電機フィリピン子会社のランサムウェア被害など、海外子会社・海外拠点に関わるインシデントが複数確認されています。

海外子会社への攻撃は、単なる「海外拠点の問題」ではありません。

日本企業全体のセキュリティ、事業継続、サプライチェーン、ブランド信頼に関わるリスクです。

この記事では、海外子会社がサイバー攻撃の入口になりやすい理由、実際に起きているインシデント、日本企業が確認すべき対策を整理します。

海外子会社・海外グループ会社を狙う攻撃が目立っている

近年、日本企業の海外子会社や海外グループ会社で、ランサムウェアや不正アクセスの被害が相次いでいます。

たとえば、ニデックでは台湾子会社であるニデックCCIの一部サーバにおいてランサムウェア感染被害が確認され、対象サーバとネットワークを遮断したうえで、情報流出や事業活動への影響を調査していると報じられています。

サッポロホールディングスでは、海外グループ会社のPOKKA PTE. LTD.とSLEEMAN BREWERIES LTD.で、サイバー攻撃の恐れがある不正な通信ログを検知し、初動調査の結果、不正アクセスが判明しました。同社は関係するシステムや機器を遮断し、外部専門家の協力のもと原因や影響範囲を調査しています。

ダイキョーニシカワでは、インドネシアにおける連結子会社の一部システムで異常な挙動を確認し、調査の結果、第三者からの不正アクセスを確認しました。その後、当該システムに保存されていたデータの一部が外部送信されていた事実も確認されています。

山一電機では、フィリピン子会社Pricon Microelectronics, Inc.の一部サーバでランサムウェア被害が発生したことを確認し、外部専門家と連携して影響を受けたシステムの保護と復旧対応を進めています。

これらの事例に共通しているのは、攻撃対象が日本本社そのものではなく、海外子会社や海外グループ会社である点です。

つまり、日本企業にとってサイバー攻撃の入口は、国内本社だけではありません。

海外拠点もまた、企業グループ全体の攻撃面になっています。

海外子会社が狙われやすい理由

海外子会社や海外拠点が攻撃対象になりやすい背景には、いくつかの構造的な理由があります。

1. 本社よりセキュリティ水準が低い場合がある

日本本社では、EDR、SOC、MFA、ログ監視、脆弱性管理、ゼロトラストなどの対策が進んでいても、海外子会社では同じレベルの対策が導入されていないことがあります。

特に、買収した現地法人、規模の小さい販売会社、製造拠点、物流拠点では、IT管理が現地任せになっているケースがあります。

この場合、攻撃者から見ると、本社よりも海外子会社の方が侵入しやすい入口になります。

セキュリティは、最も弱い場所から破られます。

本社だけを強化しても、海外子会社のVPN、メールアカウント、リモートデスクトップ、業務サーバ、ファイル共有が脆弱であれば、そこが攻撃の起点になります。

2. IT資産の把握が不十分になりやすい

海外子会社では、どのサーバ、どの端末、どのクラウドサービス、どのアカウントが使われているかを本社側が正確に把握できていないことがあります。

たとえば、次のような状態です。

  • 現地で独自に契約したクラウドサービスがある
  • 古いサーバが残っている
  • 退職者アカウントが削除されていない
  • 管理者権限を持つユーザーが多い
  • VPN機器やファイアウォールの更新状況が不明
  • 現地ベンダーに任せたままのシステムがある
  • バックアップ状況が本社で把握されていない
  • ログの保存先や監視体制が不明確

IT資産が見えていなければ、守ることもできません。

海外子会社のIT環境がブラックボックス化すると、脆弱性、設定不備、古いアカウント、外部公開システムが放置されやすくなります。

3. 古いシステムやサーバが残りやすい

海外工場や現地法人では、生産管理、受発注、在庫管理、会計、メール、ファイル共有などのシステムが長期間使われることがあります。

業務上止めにくいシステムほど、更新や移行が後回しになります。

結果として、次のようなリスクが残ります。

  • サポート切れOS
  • 古いVPN機器
  • 未更新のサーバソフトウェア
  • 脆弱なリモートアクセス設定
  • 古い認証方式
  • 暗号化されていない通信
  • パッチ適用が遅れている業務システム

攻撃者は、こうした古いシステムや放置された外部公開サービスを狙います。

特に、VPN、RDP、メールサーバ、ファイル転送サーバ、管理画面は、海外拠点でも狙われやすい領域です。

4. 本社・取引先・製造網につながっている

海外子会社は、本社と切り離された孤立した存在ではありません。

多くの場合、海外子会社は本社、取引先、サプライヤー、物流会社、製造網、販売網とつながっています。

そのため、海外子会社が侵害されると、次のような波及が起こる可能性があります。

  • 本社ネットワークへの横展開
  • 取引先へのなりすましメール
  • 製造・出荷業務への影響
  • 顧客情報や取引情報の流出
  • サプライチェーン全体の停止
  • 海外拠点から国内事業への影響
  • グループ会社間の信頼低下

攻撃者にとって、海外子会社は「本社に近づくための入口」になりえます。

本社のセキュリティが強固でも、グループ会社間の通信や共有アカウント、VPN、クラウド連携がある場合、海外子会社の侵害が本社側に影響する可能性があります。

5. 監視や初動対応が遅れやすい

海外子会社では、時差、言語、現地ベンダー、法制度、運用体制の違いにより、インシデント対応が遅れることがあります。

たとえば、次のような問題が起きやすくなります。

  • 不審なログを誰が見るのか決まっていない
  • 本社への報告基準が曖昧
  • 現地担当者がサイバー攻撃と判断できない
  • 休日や時差で初動が遅れる
  • 外部専門家への連絡手順がない
  • 証拠保全の方法が分からない
  • 現地語の報告を本社が正しく把握できない

サイバー攻撃では、初動の速さが被害範囲を左右します。

発見が遅れれば、攻撃者に内部探索やデータ持ち出し、ランサムウェア展開の時間を与えることになります。

海外子会社が侵害されると何が起きるか

海外子会社への攻撃は、現地拠点だけで完結しない可能性があります。

1. ランサムウェアによる業務停止

海外子会社がランサムウェアに感染すると、現地の業務システム、ファイルサーバ、受発注システム、生産管理システムが停止する可能性があります。

製造業であれば、生産、検査、出荷、在庫管理に影響することがあります。

山一電機の事例では、フィリピン子会社の一部サーバでランサムウェア被害が確認され、外部専門家と連携して保護と復旧対応が進められています。

ランサムウェア被害は、単にデータが暗号化されるだけではありません。

事業継続、納期、顧客対応、復旧費用、信用低下に直結します。

2. データの外部送信・情報流出

海外子会社のシステムに保存されていたデータが外部に送信されるケースもあります。

ダイキョーニシカワの事例では、インドネシア連結子会社への不正アクセスが確認され、その後、保存されていたデータの一部が外部送信されていた事実が確認されています。

外部送信されたデータの内容によっては、顧客情報、取引先情報、技術情報、製造情報、従業員情報などが問題になります。

特に製造業の場合、図面、部品情報、品質情報、取引条件、サプライヤー情報などが漏えいすれば、競争力や取引関係にも影響します。

3. 本社ネットワークへの横展開

海外子会社が本社とネットワーク接続している場合、攻撃者がそこから本社側へ横展開する可能性があります。

たとえば、次のような経路です。

  • VPN接続
  • 共通のActive Directory
  • 共有ファイルサーバ
  • グループ共通のクラウドサービス
  • SSO
  • メールアカウント
  • 管理者アカウント
  • リモートメンテナンス用アカウント

攻撃者が海外子会社の管理者アカウントやVPN認証情報を入手すれば、本社や他拠点への侵入に使われる可能性があります。

そのため、海外子会社の認証情報管理は、本社セキュリティの一部として考える必要があります。

4. 取引先・顧客への二次被害

海外子会社のメールアカウントや業務システムが侵害されると、取引先や顧客への二次被害が起きる可能性があります。

たとえば、攻撃者が現地担当者になりすまして、次のようなメールを送ることがあります。

  • 偽の請求書
  • 振込先変更の案内
  • 不正な添付ファイル
  • 偽のログインページ
  • 取引確認を装ったフィッシングメール

海外子会社は、現地の取引先やサプライヤーと日常的にやり取りしています。

そのため、メールアカウントが侵害されると、BEC詐欺やサプライチェーン攻撃に悪用される可能性があります。

5. 国内事業への信用リスク

サッポロHDの事例では、海外グループ会社2社への不正アクセスが確認されましたが、公表時点では国内事業への影響は確認されていないとされています。

このように、実際の影響が海外拠点に限定されていたとしても、グループ全体としての説明責任は日本本社にも及びます。

顧客、取引先、投資家、従業員から見れば、海外子会社のインシデントも企業グループ全体のリスクです。

特に上場企業の場合、海外拠点でのサイバー攻撃は、適時開示、顧客対応、取引先説明、レピュテーション管理にも関わります。

日本企業が確認すべき対策

海外子会社を含めたサイバー攻撃対策では、「本社だけを守る」発想から「グループ全体の攻撃面を管理する」発想へ切り替える必要があります。

1. 海外拠点のIT資産を棚卸しする

最初に行うべきことは、海外子会社・海外拠点のIT資産を把握することです。

確認すべき項目は次の通りです。

  • サーバ
  • PC
  • モバイル端末
  • VPN機器
  • ファイアウォール
  • メールサーバ
  • クラウドサービス
  • 業務アプリ
  • 外部公開システム
  • 管理者アカウント
  • 委託先アカウント
  • リモートアクセス経路
  • バックアップ環境

特に重要なのは、外部公開されているシステムと、リモートアクセス経路です。

攻撃者は、VPN、RDP、管理画面、ファイル転送サーバ、メールサーバなど、外部から到達できる入口を狙います。

2. MFAと端末認証を徹底する

海外子会社では、IDとパスワードだけの認証が残っているケースがあります。

これは非常に危険です。

認証情報がフィッシングや情報窃取型マルウェアで盗まれると、攻撃者は正規ユーザーとしてログインできます。

そのため、次の領域ではMFAを必須にすべきです。

  • VPN
  • メール
  • クラウドサービス
  • 管理者アカウント
  • SSO
  • リモートデスクトップ
  • 業務アプリ
  • ソースコード管理
  • ファイル共有

さらに、金融・決済・業務アプリのように重要操作を伴う領域では、端末認証やDevice Bindingの考え方も重要になります。

ID・パスワードだけでなく、「どの端末からアクセスしているか」「その端末は改ざんされていないか」「普段と異なる環境ではないか」を見極める必要があります。

3. 海外子会社の端末リスクを管理する

海外子会社では、現地PC、工場端末、共有端末、業務委託先端末など、さまざまな端末が使われています。

端末がマルウェアに感染すれば、認証情報、Cookie、セッショントークン、業務ファイルが盗まれる可能性があります。

確認すべき対策は次の通りです。

  • EDRの導入
  • OSとソフトウェアの更新
  • 不要な管理者権限の削除
  • USB利用制限
  • 端末暗号化
  • 端末のログ収集
  • マルウェア感染時の隔離手順
  • 私物端末からの業務アクセス制限
  • 退職者端末の回収とアカウント削除

特に、海外拠点で使われている端末が本社の監視対象外になっている場合は注意が必要です。

端末リスクは、認証リスクと直結します。

4. VPN・リモートアクセスを見直す

海外子会社と本社をつなぐVPNやリモートアクセスは、攻撃者にとって重要な入口です。

確認すべきポイントは次の通りです。

  • VPN機器に最新パッチが適用されているか
  • MFAが有効か
  • 不要なアカウントが残っていないか
  • 海外子会社から本社への通信範囲が広すぎないか
  • 管理者権限での接続が制限されているか
  • ログイン元IPや国を監視しているか
  • 深夜・休日の接続を監視しているか
  • 使われていないリモートアクセス経路が残っていないか

VPNを一度通過すれば、内部ネットワークに広くアクセスできる設計は危険です。

海外子会社から本社へのアクセスは、必要最小限に制限すべきです。

5. 権限を最小化する

海外子会社のアカウントが侵害された場合でも、被害範囲を小さくするには権限管理が重要です。

確認すべきポイントは次の通りです。

  • 管理者権限を持つユーザーは誰か
  • 共有アカウントが残っていないか
  • 退職者や異動者のアカウントが残っていないか
  • 本社システムへのアクセス権が広すぎないか
  • 委託先に不要な権限が残っていないか
  • ファイルサーバの閲覧範囲が適切か
  • 特権IDの利用履歴を確認できるか

攻撃者が一般ユーザーアカウントを侵害しても、権限が限定されていれば被害は抑えられます。

一方で、海外子会社のアカウントに広い権限が付与されていると、そこから被害が一気に広がります。

6. ログ監視とインシデント対応を本社主導で整える

海外子会社でサイバー攻撃が発生した場合、本社が早期に把握できる体制が必要です。

確認すべき項目は次の通りです。

  • 海外子会社のログを本社で確認できるか
  • 不審なログインを検知できるか
  • ランサムウェアの兆候を検知できるか
  • 海外拠点から本社への異常通信を検知できるか
  • インシデント時の報告ルートが決まっているか
  • 現地担当者が初動対応を理解しているか
  • 外部専門家への連絡先が決まっているか
  • 証拠保全の手順があるか

海外拠点ごとに対応を任せるのではなく、グループ全体でインシデント対応の標準手順を持つことが重要です。

7. バックアップと復旧手順を確認する

ランサムウェア対策では、バックアップが極めて重要です。

ただし、バックアップが存在するだけでは不十分です。

確認すべきポイントは次の通りです。

  • バックアップが定期的に取得されているか
  • バックアップが本番環境から分離されているか
  • 攻撃者に削除されない設計になっているか
  • 復旧テストを実施しているか
  • 復旧にかかる時間を把握しているか
  • 海外子会社ごとに復旧手順があるか
  • 本社がバックアップ状況を把握しているか

海外子会社では、バックアップ運用が現地任せになっていることがあります。

ランサムウェア被害が発生してからバックアップが使えないと判明すると、復旧は大きく遅れます。

8. グループ会社・委託先を含めたサプライチェーンリスクを管理する

海外子会社は、現地のITベンダー、物流会社、製造委託先、販売代理店、保守会社など、多くの外部組織とつながっています。

そのため、サイバー攻撃対策では、自社グループだけでなく、委託先や外部接続先も確認する必要があります。

確認すべきポイントは次の通りです。

  • 外部ベンダーのアクセス権限
  • リモート保守用アカウント
  • 委託先とのデータ共有方法
  • 契約上のセキュリティ要件
  • インシデント発生時の通知義務
  • 再委託先の管理
  • 外部接続のログ監視

サプライチェーンのどこかが侵害されると、グループ全体に影響する可能性があります。

海外子会社のリスクは、サプライチェーンリスクでもあります。

認証・端末・アプリ保護の観点が重要になる

海外子会社を狙うサイバー攻撃では、ネットワーク防御だけでは不十分です。

攻撃者は、認証情報、端末、アプリケーション、セッションを狙います。

特に重要なのは、次の3つです。

1. 認証情報を盗まれる前提で守る

フィッシング、情報窃取型マルウェア、メールアカウント侵害、VPN認証情報の流出などにより、ID・パスワードは盗まれる可能性があります。

そのため、認証は「パスワードが正しいか」だけで判断してはいけません。

  • いつもと違う国からのログイン
  • 普段と違う端末
  • 短時間の連続ログイン
  • 深夜の管理者ログイン
  • ログイン直後の重要操作
  • 複数拠点からの不自然なアクセス

こうしたリスクを組み合わせて判定する必要があります。

2. 端末リスクを見極める

攻撃者が盗んだ認証情報を使っても、端末が普段と違えばリスクとして検知できます。

また、正規ユーザーの端末であっても、マルウェア感染、Root化、改ざん、リモート操作、不正ツールの利用があれば、重要操作を制限する必要があります。

金融・決済アプリだけでなく、業務アプリや管理アプリでも、端末リスクの把握は重要です。

3. 重要操作時に追加認証を行う

ログインに成功した後でも、重要操作の前に追加認証やリスク判定を行うことで、被害を抑えられます。

たとえば、次の操作です。

  • 送金
  • 出金
  • 登録情報変更
  • 管理者権限変更
  • 新しい端末登録
  • APIキー発行
  • ファイル大量ダウンロード
  • 取引先口座情報の変更
  • 請求先情報の変更

攻撃者にログインされても、重要操作で止める設計が必要です。

海外子会社リスクを確認するチェックリスト

日本企業が海外子会社のセキュリティを見直す際は、次の項目から確認するとよいでしょう。

□ 海外子会社のIT資産を一覧化している
□ 外部公開システムを把握している
□ VPN・リモートアクセスにMFAを導入している
□ 管理者アカウントを棚卸ししている
□ 退職者・異動者のアカウントを削除している
□ 海外拠点の端末にEDRを導入している
□ OS・ソフトウェアの更新状況を確認している
□ 本社と海外子会社間の通信範囲を制限している
□ ログを本社またはSOCで監視している
□ バックアップを分離して保管している
□ 復旧テストを実施している
□ インシデント時の連絡手順を整備している
□ 現地担当者への訓練を実施している
□ 委託先・現地ベンダーのアクセス権限を確認している
□ グループ全体でセキュリティ基準を統一している

重要なのは、海外子会社を「別会社だから」「現地任せだから」と切り離して考えないことです。

海外子会社も、日本本社と同じ攻撃面の一部です。

まとめ:海外子会社は「本社の外」ではなく、企業全体の攻撃面

海外子会社や海外グループ会社を狙うサイバー攻撃は、日本企業にとって無視できないリスクになっています。

ニデック、サッポロHD、ダイキョーニシカワ、山一電機のように、海外子会社や海外グループ会社でランサムウェア、不正アクセス、データ外部送信が確認される事例が出ています。

海外子会社が侵害されると、現地の業務停止だけでなく、本社、取引先、顧客、サプライチェーン、ブランド信頼に影響する可能性があります。

日本企業が確認すべきポイントは、次の通りです。

  • 海外子会社のIT資産を把握する
  • VPN・リモートアクセスを見直す
  • MFAと端末認証を導入する
  • 端末リスクを管理する
  • 権限を最小化する
  • ログ監視と初動対応を整える
  • バックアップと復旧手順を確認する
  • 委託先・現地ベンダーを含めて管理する

海外子会社は「本社の外」ではありません。

グループ全体のシステム、認証情報、業務プロセス、サプライチェーンとつながる重要な攻撃面です。

これからの日本企業には、国内本社だけでなく、海外子会社・海外拠点・委託先まで含めたグループ全体のセキュリティ管理が求められます。

あわせて読みたい