日本毛織（ニッケ）における情報漏洩インシデント： 「リーク＆エクストーション」型サイバー攻撃と、それが日本企業に与える影響に関する詳細分析

エグゼクティブ・サマリー

2025年9月10日に公表された日本毛織株式会社（以下、ニッケ）へのサイバー攻撃は、単なるデータ窃盗事件ではなく、高度な脅威アクター「World Leaks」によって実行された、計算された脅迫（エクストーション）キャンペーンである。本レポートは、このインシデントの全貌を多角的に分析し、その手口、影響、そして日本企業が直面するサイバーリスクの現状について、経営層およびリスク管理担当者向けの戦略的洞察を提供するものである。

本インシデントでは、ニッケの現役従業員、退職者、および一部の採用応募者を含む数千件規模の個人情報が漏洩した可能性が指摘されている ¹。漏洩した情報には、氏名や住所といった基本的な個人識別情報（PII）に留まらず、給与振込等に利用される銀行口座情報、人事情報、さらには法律上特別な配慮が求められる「要配慮個人情報」まで含まれており、極めて機微なデータが危険に晒された ²。また、限定的ではあるが、グループ会社の顧客情報も被害に遭っている。

攻撃手法は、従来のランサムウェア攻撃（データの暗号化と引き換えに身代金を要求する手法）から戦術的に進化した「リーク＆エクストーション」モデルに分類される ³。このモデルでは、攻撃者はデータを暗号化するだけでなく、窃取したデータをダークウェブ等で公開すると脅迫することで、被害企業に金銭の支払いを強要する。事業継続の妨害よりも、評判の失墜や規制当局による罰則といったビジネスリスクを主な脅迫材料とする点が特徴である。

ニッケの対応は、インシデント発覚後のパスワード変更、外部専門家への調査依頼、そして個人情報保護委員会（PPC）への報告といった標準的な手順を踏んでいる ²。しかし、データがダークウェブ上で公開されていることを確認してから、その事実を公表するまでに約20日間のタイムラグが存在しており、この間の危機管理対応の妥当性が問われる可能性がある。

結論として、ニッケのインシデントは、日本の製造業をはじめとする基幹産業が直面する、深刻かつ組織的なサイバーリスクを浮き彫りにした象徴的な事例である。これは、従来の境界型防御（ペリメター・ディフェンス）という考え方から脱却し、侵入を前提とした上で事業継続性を確保する「サイバーレジリエンス」へと、企業全体のセキュリティ戦略を抜本的に転換する必要性を強く示唆している。

インシデントの時系列と事実関係の内訳

本インシデントの理解には、検知から公表に至るまでの一連の出来事を時系列で正確に把握することが不可欠である。ニッケの対応は、一見すると標準的な手順に沿っているように見えるが、各段階の間に存在する時間的な隔たりが、インシデントの性質と企業が直面した困難さを物語っている。

初期検知と内部対応

インシデントの正確な侵入日時は公表されていないが、ニッケが最初に対応措置を講じたのは、規制当局への報告よりも前の段階である。同社は、サーバーへの不正アクセスを検知後、直ちに侵害されたとみられる管理権限IDのパスワード変更と無効化を実施した ²。これは、攻撃者によるさらなる内部活動を阻止するための基本的な封じ込め措置である。

同時に、ニッケは外部のセキュリティ専門企業に調査と対策を依頼し、社内でも各組織およびグループ会社を横断する調査を開始した ²。この迅速な外部専門家の招聘と内部調査体制の構築は、インシデント対応における標準的なベストプラクティスに沿ったものであり、事態の全容解明と影響範囲の特定を急ぐ同社の姿勢を示している。しかしながら、これらの対応はすべて、不正アクセスという事象が発生した後の「事後対応」であり、攻撃を未然に防ぐプロアクティブな防御態勢が機能したわけではない。攻撃者が既知の脆弱性を悪用するグループであったことを踏まえると、これらの事後対応が開始される以前の段階で、脆弱性の管理といった基本的なセキュリティ対策に課題があった可能性が示唆される。

規制当局への報告

インシデント対応における重要な画期は、2025年8月12日である。この日、ニッケは日本の個人情報保護委員会（PPC）に対し、インシデントに関する速報を提出した ²。個人情報の保護に関する法律（APPI）では、一定の要件を満たす個人データの漏えい等が発生した場合、企業はPPCへの報告義務を負う。この報告は、インシデントが単なる社内問題ではなく、公的な規制監督の対象となったことを意味する法的なマイルストーンである。

情報漏洩の確認

事態が決定的に深刻化したのは、2025年8月21日の夜、22時40分頃であった。ニッケは、同社のサーバーから窃取された個人情報を含むデータが、いわゆるダークウェブ（匿名性の高い闇サイト）上で閲覧可能な状態になっていることを確認した ²。

この確認は、インシデントの性質を根本的に変えるものであった。これまでは、データが「漏洩した可能性」があった段階であったが、この時点をもって、データが攻撃者の手に渡り、かつ第三者がアクセス可能な状態に置かれたことが確定した。これにより、インシデントは内部で管理すべき情報漏洩事故から、被害者個人に直接的なリスクが及ぶ、対外的な危機へと発展したのである。

公表と危機管理

最終的な公表措置が取られたのは、2025年9月10日である。ニッケはこの日、不正アクセスによる個人情報漏洩の可能性について、公式に謝罪と報告を行った ¹。この発表に合わせて、同社は被害を受けた可能性のある関係者からの問い合わせに対応するため、専用の相談窓口を複数の電話回線で設置した ⁴。これは、影響を受けるステークホルダーとのコミュニケーションを確保し、不安を軽減するための標準的な危機管理対応である。

しかし、ここで注目すべきは、ダークウェブ上でのデータ公開を確認した8月21日から、一般への公表を行った9月10日までの間に約20日間のタイムラグが存在する点である。この期間は、通常、詳細な調査、法的助言の検討、そして関係各所との調整に費やされる。しかし、「リーク＆エクストーション」型の攻撃においては、この期間が攻撃者との水面下での交渉に使われることも少なくない。ニッケが交渉を行ったかどうかは不明だが、この20日間の遅延は、事態の深刻さを前に、公表のタイミングと内容を巡って集中的な内部検討が行われていたことを強く示唆している。結果として、この遅延自体が、対応の透明性という観点から、新たな評判リスクを生む要因となり得る。

侵害の解剖：データ、被害者、規模

本インシデントの影響を正確に評価するためには、誰の、どのような情報が、どの程度の規模で漏洩したのかを詳細に分析する必要がある。ニッケのケースでは、被害が従業員、顧客、そして企業自体という複数のステークホルダーに及んでおり、それぞれのリスクの性質も大きく異なっている。

従業員データ：主要な標的

最も深刻な被害を受けたのは、ニッケの人的資本、すなわち従業員であった。漏洩の対象は、現役の従業員のみならず、すでに退職した元従業員や、一部の採用応募者にまで及んでいる ¹。窃取された情報の範囲は広範かつ機微であり、以下のものが含まれる。

• 個人識別情報（PII）: 氏名、生年月日、性別、住所、電話番号、メールアドレスといった、個人を特定するための基本的な情報 ²。

• 財務情報: 給与振込等に使用される銀行口座情報。これは、直接的な金銭詐欺に悪用されるリスクが極めて高い ²。

• 人事関連情報: 内部の人事情報や、身分証明書の記載情報。これらは、なりすましやさらなる標的型攻撃の基盤となり得る ²。

• 要配慮個人情報: ニッケは、「要配慮個人情報」が漏洩した可能性も認めている ²。これは日本の個人情報保護法において定義される、人種、信条、社会的身分、病歴、犯罪の経歴など、本人に対する不当な差別や偏見が生じないように特に配慮を要する情報である。この種の情報の漏洩は、法的に最も重い保護義務違反と見なされ、被害者に与える精神的苦痛も甚大である。

影響を受けた従業員関連の個人情報の件数は、正確な数字は調査中としながらも、「全体として数千件規模」と想定されている ²。この従業員データの漏洩は、単なるプライバシー侵害に留まらない。氏名、メールアドレス、人事情報といった内部情報を組み合わせることで、攻撃者は極めて精巧なスピアフィッシングメールを作成することが可能になる。例えば、「人事部より：〇〇プロジェクトに関する給与システム更新のお知らせ」といった件名で、本文に本物のプロジェクト名や同僚の名前を記載し、偽のログインページへ誘導して認証情報を窃取する、といった手口である。これにより、企業の「人的ファイアウォール」は著しく脆弱化し、さらなる不正アクセスやビジネスメール詐欺（BEC）の温床となる。したがって、このデータ漏洩は一度きりの損失ではなく、将来にわたってニッケを内部から脅かす、深刻な二次的リスクを生み出したと言える。

顧客およびグループ会社のデータ

不正アクセスは、ニッケ本体およびグループ会社の顧客情報にも及んだが、その規模は従業員データに比べて限定的であった。

• 日本毛織株式会社（親会社）: 顧客の氏名と住所。対象件数は調査中 ²。

• ミヤコ商事株式会社: 48件の顧客情報（氏名、住所、電話番号） ²。

• 株式会社ニッケ・ケアサービス: 4名分の情報（氏名、写真） ²。

対象外データおよび非個人情報

ニッケは、日本の社会保障・税番号制度の共通番号である「マイナンバー」は漏洩した情報に含まれていないことを明言している ²。これは、最悪の事態の一つが回避されたことを意味する。

しかし、個人情報とは別に、攻撃者である「World Leaks」は、合計2.3TBに及ぶ大量の企業データを窃取したと主張している ⁶。これには、価格改定表、発注・依頼書のテンプレート、ウェブサイトのコンテンツ、月別予算マスタ、さらにはセキュリティツールのログデータといった、企業の運営と競争力に直結する情報が含まれていた ⁶。これらの非個人情報の窃取は、個人情報漏洩とは異なる次元の、長期的な戦略的脅威をもたらす。競合他社が価格設定や予算計画といった内部情報を入手すれば、ニッケの市場での競争力は著しく損なわれる可能性がある。さらに、セキュリティツールのログは、ニッケのサイバー防御体制の設計図そのものである。どの製品をどのように設定し、どこに監視の死角があるのかを攻撃者に詳細に教えることになり、将来の攻撃をより容易かつ効果的にしてしまう。これは、金銭的損失や規制対応といった直接的な被害よりも、長期的には企業価値を毀損しかねない、三次的な影響と言えるだろう。

表3.1：侵害されたデータのステークホルダー別概要

攻撃者のプロファイル：「World Leaks」脅迫グループ

本件の攻撃主体を理解することは、その動機と手口を分析し、将来の脅威を予測する上で極めて重要である。ニッケへの攻撃は、サイバー犯罪エコシステムの中で急速に存在感を増している特定のグループによって実行された。

特定と帰属

このサイバー攻撃は、ランサムウェアグループ「World Leaks」による犯行声明が出されている ²。ニッケの公式発表では攻撃者名は明言されていないものの、窃取したデータをダークウェブ上で公開するという手口は、「World Leaks」の典型的な活動内容と完全に一致している ⁶。

戦術の進化：暗号化から脅迫へ

「World Leaks」は、サイバー犯罪戦略の現代的な進化を体現するグループである。彼らの戦術は、従来のランサムウェア攻撃、すなわち「ファイルを暗号化し、復号鍵と引き換えに身代金を要求する」モデルから、「リーク＆エクストーション」または「二重の脅迫（ダブルエクストーション）」と呼ばれるモデルへと移行している ³。

このモデルでは、攻撃者はデータを窃取した後、まず身代金を要求する。被害者が支払いを拒否した場合、窃取した機密情報をダークウェブ上のリークサイトで公開すると脅迫する。これにより、被害企業は事業継続の危機（データへのアクセス不可）だけでなく、評判の失墜、顧客からの信頼喪失、株価下落、規制当局からの罰金、被害者からの損害賠償請求といった、多岐にわたるビジネスリスクに直面することになる。これは単なる技術的な攻撃ではなく、企業の存続そのものを人質に取る、心理的かつ経営レベルの攻撃である。一部の攻撃グループは、さらにDDoS攻撃を仕掛けてウェブサイトを停止させる「三重の脅迫（トリプルエクストーション）」へと手口をエスカレートさせている ⁹。

既知の戦術・技術・手順（TTPs）

• 初期侵入経路: ニッケへの具体的な侵入経路は特定されていないが、「World Leaks」は過去の攻撃において、SonicWall社製の旧型VPNアプライアンス「SMA 100」シリーズに存在する既知の脆弱性を悪用したことが確認されている ³。VPN機器は、リモートアクセスのために常にインターネットに公開されているため、多くのランサムウェアグループにとって格好の侵入口となっている ⁸。このような既知の脆弱性を突く手口は、攻撃者が高度なゼロデイ攻撃（未知の脆弱性を利用する攻撃）に頼るまでもなく、多くの企業が基本的なセキュリティパッチの適用を怠っているという現実を浮き彫りにしている。これは、攻撃の高度化と同時に、防御側の基本的な対策の不備が大きなリスク要因であり続けることを示している。

• データ窃取: 同グループは、ニッケのサーバーから2.3TBという膨大な量のデータを窃取した ⁶。これは、検知されることなく長期間にわたってネットワーク内部に潜伏し、大量のデータを外部に転送する高度な能力を有していることを示唆している。

• 公開用リークサイト: 「World Leaks」は、身代金の支払いを拒否した被害企業のデータを公開するための専用サイトをダークウェブ上に運営している ⁶。ニッケのデータが公開されたのも、このサイト上であった。

系統とサイバー犯罪エコシステムにおける位置づけ

「World Leaks」は、2025年4月に初めて観測された比較的新しいグループだが、その活動は活発である。セキュリティリサーチャーによれば、このグループは「Hunters International」という別のグループから派生した系統を持つとされている ¹²。また、「RA World」（旧名：RA Group）という名称でも知られており、特に2024年3月以降、活動が著しく増加している ¹³。これまでに少なくとも49の組織への攻撃が確認されている ³。

彼らの活動は、攻撃ツールを開発・提供する中核グループと、それを利用して実際の攻撃を実行する「アフィリエイト」が利益を分配する「Ransomware-as-a-Service（RaaS）」というビジネスモデルの一環である可能性が高い ¹⁴。このモデルにより、高度な技術を持たない攻撃者でも容易にサイバー犯罪に参入できるようになり、ランサムウェア攻撃全体の増加に拍車をかけている。

さらに注目すべきは、このグループの標的選定における戦略的な転換である。セキュリティ企業Palo Alto Networksの調査部門Unit 42の分析によれば、「RA World」は当初、主にヘルスケア業界を標的としていた ¹³。しかし、2024年半ばには、その主たる標的を製造業へとシフトさせた ¹³。この転換の背景には、製造業がサプライチェーンの中核を担っており、生産ラインの停止による損害が甚大であるため、より高額な身代金の支払いに応じやすいという経済的な計算があったと推測される。ニッケが日本の伝統的な製造業・繊維産業を代表する企業であることを考えれば、今回の攻撃は決して偶発的なものではなく、日本の産業基盤を狙った、計算された攻撃キャンペーンの一環であったと結論付けることができる。

影響分析：市場、評判、規制への影響

サイバー攻撃が企業に与えるダメージは、直接的な復旧費用や身代金の支払いに留まらない。市場からの評価、顧客や従業員からの信頼、そして規制当局からの監視という、多層的かつ長期的な影響を及ぼす。ニッケのケースは、これらの影響がどのように現れるかを示す具体例である。

市場の反応と財務的影響

一般的に、大規模な情報漏洩インシデントの公表は、企業の株価に即時かつ深刻な悪影響を与えるとされる。しかし、ニッケの株価（東証：3201）の動向は、この通説とは異なる様相を呈した。

• インシデント公表前日の2025年9月9日、ニッケの株価終値は1,653円であった ¹⁶。

• 公表当日の9月10日の終値は1,646円とわずかに下落 ¹⁷。

• 翌9月11日の終値は1,654円と、公表前の水準に回復した ¹⁷。

この間、日経平均株価は9月9日の43,459円から9月11日の44,372円へと大幅に上昇しており、市場全体が強気相場であった ¹⁹。ニッケの株価は暴落こそしなかったものの、この上昇相場の恩恵を受けることができず、市場平均をアンダーパフォームした。これは、インシデントによる「機会損失」と評価できる。

この市場の限定的な反応は、二つの可能性を示唆している。一つは、投資家が漏洩規模を「数千件」と比較的軽微であると判断し、財務への実質的な影響は限定的だと見なした可能性。もう一つは、より深刻な示唆として、日本の株式市場が頻発するサイバー攻撃や情報漏洩に「慣れ」、ある種の「インシデント疲れ」に陥っている可能性である。2024年には上場企業だけで189件もの情報漏洩事故が報告されており ²⁰、このような事態がもはや特別なリスクではなく、事業活動に伴う常態的なコストとして市場価格に織り込み済みになっているのかもしれない。もし後者であるならば、これは市場が企業に対してサイバーセキュリティ強化を求めるインセンティブを失いつつあることを意味し、長期的には日本企業全体のセキュリティレベルの向上を阻害する「モラルハザード」を引き起こしかねない危険な兆候である。

レピュテーションへのダメージ

株価のような定量的な指標では測れない、無形の損害も深刻である。特に、退職者を含む従業員の極めて機微な個人情報が漏洩したことは、企業と従業員との間の信頼関係を根底から揺るがす。従業員は、自らの最もプライベートな情報を保護できなかった会社に対し、不信感や不安を抱くことになり、士気の低下や人材流出につながる恐れがある。

顧客情報の漏洩件数は少ないものの、セキュリティ体制の脆弱性を露呈したことで、「ニッケ」というブランドに対する信頼は傷ついた。さらに、ダークウェブでの情報公開確認から一般公表までに約20日間を要したという事実は、危機管理対応の透明性や迅速性に疑問を投げかけるものであり、メディアや一般社会からの批判を招く可能性がある。

規制・法的調査

2025年8月12日に個人情報保護委員会（PPC）へ速報を提出したことで、ニッケは正式な規制当局の調査対象となった ²。調査の結果、同社の個人情報管理体制に重大な不備があったと判断されれば、PPCから是正勧告や命令、さらには課徴金の納付を命じられる可能性がある。

加えて、民事訴訟のリスクも存在する。銀行口座情報や要配慮個人情報といった機微なデータが漏洩した従業員や顧客は、ニッケに対して損害賠償を求める集団訴訟を起こす可能性がある。特に、従業員データの漏洩は、顧客データよりも漏洩した情報の種類が格段にセンシティブであるため、法的・規制上のリスクは、顧客対応よりもむしろ従業員対応に集中すると考えられる。このインシデントは、顧客情報保護（CRM）の問題である以上に、人事（HR）および内部ガバナンスの危機としての側面が強い。ニッケが直面する最大の法的・財務的責任は、自社の従業員の情報を守れなかったという点から生じる可能性が高い。同社が個人情報保護法に関する問い合わせ窓口を設置していることからも ²¹、これらのリスクを認識していることがうかがえる。

脆弱性のパターン：日本のサイバーセキュリティ情勢におけるニッケの情報漏洩

ニッケのインシデントは、決して特殊な例外ではない。むしろ、近年の日本におけるサイバーセキュリティの脅威動向と、特に製造業が直面する脆弱性のパターンを象徴する出来事である。

攻撃の増加傾向

日本の企業、特に上場企業を対象とした情報漏洩インシデントは、増加の一途をたどっている。東京商工リサーチの調査によれば、2024年に上場企業が公表した情報漏洩・紛失事故は189件に達し、調査開始以来4年連続で過去最多を更新した。事故を起こした企業数も151社にのぼる ²⁰。ニッケのインシデントは、この拡大し続ける脅威の波の一部である。

外部からのサイバー攻撃の優位性

これらのインシデントの主要因は、外部からの攻撃である。2024年の事故原因の内訳を見ると、「ウイルス感染・不正アクセス」が114件と全体の60.3%を占め、人為的なミス（誤送信など）や内部不正による持ち出しを大きく上回っている ²⁰。この中でも、ランサムウェアを用いた攻撃は、事業停止や二重脅迫といった深刻な被害をもたらす主要な手口として、独立行政法人情報処理推進機構（IPA）も最大の脅威の一つとして警鐘を鳴らしている ¹⁰。

セクター別の脆弱性

産業別に見ると、2024年に最も多くの情報漏洩事故を公表したのは製造業であり、全151社のうち46社（30.4%）を占めている ²⁰。これは、サービス業（28社）、情報通信業（18社）などを引き離して最多である。この統計は、ニッケを攻撃した「World Leaks」が、その標的をヘルスケアから製造業へと戦略的にシフトさせたという分析結果と完全に一致する ¹³。日本の経済を支える製造業が、今やサイバー攻撃の主要な戦場となっているという厳しい現実を示している。この背景には、製造業特有の複雑なIT環境（情報システム）とOT環境（制御システム）の混在や、サプライチェーンの広がり、そして金融やITセクターに比べてサイバーセキュリティへの投資や意識が文化的に遅れがちであるといった複合的な要因が存在すると考えられる。

比較ケーススタディ

ニッケのインシデント（数千件規模）の深刻さを相対的に評価するため、近年の国内における他の大規模インシデントと比較することが有効である。

表6.1：近年の国内主要情報漏洩インシデントの比較分析（2024-2025年）

上の表が示すように、漏洩したレコード数だけで見れば、ニッケのインシデントは東京ガスや大手スーパーマーケットの事例よりはるかに小規模である。しかし、その深刻度は件数だけでは測れない。ニッケのケースが特異であるのは、漏洩した情報の「質」、すなわち従業員の銀行口座情報や要配慮個人情報といった極めて機微なデータが標的とされた点にある。

さらに、これらの事例は、サプライチェーンが重大な脆弱性となっていることを示唆している。東京ガスの事例は委託先の子会社が、イセトーの事例は全国の自治体からの委託業務が攻撃の起点となった ¹⁴。企業や組織は、自社のセキュリティを固めるだけでは不十分であり、取引先や子会社を含めたサプライチェーン全体のリスク管理が不可欠となっている。ニッケ自身も複数のグループ会社を抱え、今回のインシデントは親会社と少なくとも二つの子会社に被害が及んだ ²。これは、企業グループ内においても、セキュリティレベルの低い拠点が全体の弱点となり得ることを示している。ニッケのインシデントは、すべての日本企業に対し、自社のセキュリティ体制だけでなく、ビジネスを構成するすべてのパートナーのセキュリティ体制を厳格に評価・監査するという、三次的な戦略的必須事項を突きつけている。

戦略的必須事項：教訓とプロアクティブな防御態勢

ニッケの情報漏洩インシデントから得られる教訓は、単なる技術的な反省点に留まらない。それは、サイバーセキュリティを経営の中核課題として捉え、防御戦略を根本から見直すための戦略的な指針を示すものである。以下に、本分析から導き出される、企業が採用すべき具体的な行動計画を提言する。

技術的統制とセキュリティハイジーン

サイバー攻撃に対する防御の第一線は、依然として基本的な技術的対策の徹底である。

• 脆弱性およびパッチ管理の徹底: ニッケへの攻撃がVPN機器の既知の脆弱性を悪用した可能性が高いことを踏まえれば ³、インターネットに公開されているシステム（VPN、ファイアウォール、Webサーバー等）へのセキュリティパッチを迅速かつ網羅的に適用することが最優先課題である。これは、多くの企業が見過ごしがちな、最も基本的かつ効果的な防御策である。

• ネットワークのセグメント化: ネットワークを機能や重要度に応じて分割（セグメント化）し、セグメント間の通信を厳格に制御する。これにより、万が一、ネットワークの一部に侵入を許したとしても、攻撃者が重要なデータが保管されているサーバーなど、他の領域へ容易に侵入（ラテラルムーブメント）することを防ぐ。

• 高度なエンドポイント保護（EDR）の導入: 従来のアンチウイルスソフトでは検知が困難な、未知のマルウェアや高度な攻撃手法に対応するため、EDR（Endpoint Detection and Response）ソリューションを導入する。これにより、ランサムウェアの実行やデータ窃取といった不審な挙動をリアルタイムで検知し、ブロックすることが可能となる。

• データの暗号化とアクセス制御: 従業員の人事・財務情報のような機密性の高いデータは、保管時に暗号化（at-rest encryption）を施す。また、データへのアクセス権限を「知る必要性（need-to-know）」の原則に基づき最小限に絞り、誰が、いつ、どのデータにアクセスしたかを常に監視する体制を構築する。

手続きおよび人間中心の防御

技術だけでは防御は万全ではない。組織的なプロセスと、従業員の意識が不可欠である。

• インシデント対応計画の高度化: 単にインシデント発生時の連絡網を整備するだけでは不十分である。「リーク＆エクストーション」のような特定の攻撃シナリオを想定した机上演習（ウォーゲーミング）を定期的に実施し、対応能力を検証・向上させる必要がある。これには、広報部門による対外発表文の事前準備、法務部門による身代金支払いに関する方針（原則として支払わない方針を明確化）、そして経営層による情報公開のタイミングに関する意思決定プロセスの確立が含まれる。IPAは、こうした演習のための教材も提供している ²⁴。

• 従業員教育と意識向上: 漏洩した従業員情報が、さらなるスピアフィッシング攻撃に悪用されるリスクを考慮すれば、画一的なセキュリティ研修はもはや効果的ではない。自社の業務内容や役職に応じた、具体的で実践的な訓練を継続的に実施し、疑似攻撃メールなどを用いたテストでその効果を測定する必要がある。

• サプライチェーン・リスク管理: すべての主要な取引先、委託先、子会社に対して、サイバーセキュリティ体制に関する定期的な評価・監査を実施する正式なプログラムを導入する。契約にセキュリティ要件を盛り込み、その遵守状況を確認することが求められる。

戦略およびガバナンス上の必須事項

最終的に、サイバーセキュリティは経営そのものの課題である。

• 取締役会レベルでの監督: サイバーセキュリティリスクは、もはやIT部門だけの責任ではない。取締役会は、これを財務リスクやオペレーショナルリスクと同等の、事業継続を脅かす中核的な経営リスクとして位置づけなければならない。ニッケのコーポレート・ガバナンス報告書にもあるような ²⁵、サステナビリティやリスク管理の枠組みの中で、サイバーセキュリティに関する定期的な報告を受け、適切な予算配分を承認し、経営陣の責任を明確化することが不可欠である。

• 「レジリエンス」への意識転換: サイバー攻撃による侵入は、「もし（if）」の問題ではなく、「いつ（when）」の問題であると認識を改める必要がある。戦略目標を、侵入を完全に防ぐ「予防（prevention）」から、攻撃を受けてもなお重要業務を継続し、迅速に復旧する能力、すなわち「回復力（resilience）」の確保へと転換すべきである。これには、攻撃者の手が届かないオフライン環境に、改ざん不可能なバックアップを多重に保管する戦略が核心となる ⁷。

• プロアクティブな脅威インテリジェンスの活用: 攻撃を受けてから対応する「受け身」の姿勢から脱却し、脅威インテリジェンスサービスなどを活用して、自社の業界を標的とする攻撃者（例えば「World Leaks」）は誰か、彼らがどのようなTTPs（戦術・技術・手順）を用いているかを事前に把握する。これにより、脅威の動向に合わせた、より的を絞ったプロアクティブな防御態勢を構築することが可能となる。

引用文献

1. 個人情報漏洩のニュース の記事一覧 - セキュリティ対策Lab, 9月 12, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/category/security-news/information-leak/

2. 日本毛織株式会社（ニッケ）、不正アクセスで従業員や顧客の個人情報漏洩の可能性, 9月 12, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/nikke-unauthorized-access-data-breach/

3. Dellがサイバー攻撃の被害、ランサムウェア グループ World Leaksが関与か, 9月 12, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/dell-solution-center-cyber-attack-world-leaks-ransomware-group-involvement/

4. 当社システムへの不正アクセスによる個人情報漏えいについてのお詫びとお知らせ - ニッケグループ, 9月 12, 2025にアクセス、 https://www.nikke.co.jp/admin/wp-content/uploads/2025/09/8a6565c10765c22970863eb83df32bb4.pdf

5. ニッケグループ ｜ ニュースリリース, 9月 12, 2025にアクセス、 https://www.nikke.co.jp/release/

6. ランサムウェア グループ World Leaksが日本毛織(ニッケ)へのサイバー攻撃と不正アクセスを主張, 9月 12, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/world-leaks-claims-cyberattack-nikke/

7. 【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について | アーカイブ, 9月 12, 2025にアクセス、 https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html

8. ランサムウェア被害防止対策｜警察庁Webサイト, 9月 12, 2025にアクセス、 https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html

9. ランサムウェアによる第三の脅迫手法: NECセキュリティブログ, 9月 12, 2025にアクセス、 https://jpn.nec.com/cybersecurity/blog/210226/index.html

10. 情報漏洩（漏えい）の事例10選をタイプ別に紹介！企業がとるべき対応は？ - SAXA-DX Navi - サクサ, 9月 12, 2025にアクセス、 https://www.saxa.co.jp/saxa-dx_navi/trend/tr0046-security-u01-n003.html

11. 恐喝グループWorld Leaks、Dellのテストラボプラットフォーム侵入で身代金を要求 - Codebook, 9月 12, 2025にアクセス、 https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/39921/

12. World Leaks Ransomware | WatchGuard Technologies, 9月 12, 2025にアクセス、 https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/world-leaks

13. RA Group から RA World へ: ランサムウェア グループの進化 - Unit 42, 9月 12, 2025にアクセス、 https://unit42.paloaltonetworks.jp/ra-world-ransomware-group-updates-tool-set/

14. 情報セキュリティ10大脅威 2025 - IPA, 9月 12, 2025にアクセス、 https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/setsumei_2025_soshiki.pdf

15. 情報セキュリティ 10 大脅威 2025 組織編 - IPA, 9月 12, 2025にアクセス、 https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf

16. 日本毛織 【3201】 : 株価・チャート・企業概要 | 企業情報FISCO, 9月 12, 2025にアクセス、 https://web.fisco.jp/platform/companies/0320100

17. 日本毛織（3201）の株価・株式｜国内株式 - SBI証券, 9月 12, 2025にアクセス、 https://www.sbisec.co.jp/ETGate/WPLETsiR001Control/WPLETsiR001Ilst10/getDetailOfStockPriceJP?OutSide=on&getFlg=on&stock_sec_code_mul=3201&exchange_code=JPN

18. ニッケ【3201】：株価・株式情報 - Yahoo!ファイナンス, 9月 12, 2025にアクセス、 https://finance.yahoo.co.jp/quote/3201.T

19. 日経平均株価：時系列・推移 - Yahoo!ファイナンス, 9月 12, 2025にアクセス、 https://finance.yahoo.co.jp/quote/998407.O/history

20. 2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件 - 東京商工リサーチ, 9月 12, 2025にアクセス、 https://www.tsr-net.co.jp/data/detail/1200872_1527.html

21. 個人情報の取り扱いについて - ニッケグループ, 9月 12, 2025にアクセス、 https://www.nikke.co.jp/privacy/

22. 2024年セキュリティインシデント被害ランキング【最新事例とその対策】 ｜Global Reach, 9月 12, 2025にアクセス、 https://www.iij.ad.jp/global/column/column145.html

23. SonicWall SMA100 SSLVPN多个高危漏洞安全风险通告, 9月 12, 2025にアクセス、 https://www.secrss.com/articles/73184

24. IPA、ランサムウェアを想定した「セキュリティインシデント対応机上演習教材」を公開, 9月 12, 2025にアクセス、 https://rocket-boys.co.jp/security-measures-lab/ipa-ransomware-incident-response-tabletop-exercise-materials/

25. ニッケ（日本毛織株式会社）, 9月 12, 2025にアクセス、 https://finance-frontend-pc-dist.west.edge.storage-yahoo.jp/disclosure/20240222/20240116515647.pdf