ニチレイ不正アクセスで出荷停止…最強のコールドチェーンはなぜ一瞬で止まったのか

●この記事のポイント
2026年7月13日、ニチレイで不正アクセスによるシステム障害が発生し、冷蔵倉庫の入出庫と冷凍食品出荷が停止。2025年9月のアサヒGHD(純利益36.7%減)、同10月のアスクル(特損52億円)と比較し、システム遮断は被害拡大を防ぐ自己防衛策である点、デジタルBCPの必要性を解説する。
冷凍食品と低温物流の国内最大手・ニチレイが、不正アクセスによるシステム障害に見舞われた。7月13日午前6時50分ごろ、グループ各社のシステムで異常が検知され、傘下のニチレイロジグループが担う冷蔵倉庫の入出庫業務と、ニチレイフーズの冷凍食品出荷業務が停止した。同社は個人情報や顧客データの外部流出は現時点で確認していないとしつつ、復旧の時期は「あらためて告知する」として明らかにしていない。障害の範囲は国内に限られるという。
多くの報道は「出荷停止による生活への影響」に焦点を当てる。だが、いま企業経営者が直視すべき本質的な問いは別のところにある。それは「どれほど強固なセキュリティ投資を行ってきたトップランナーであっても、サイバー攻撃を完全には防ぎきれない」という冷徹な現実であり、その前提に立ったとき、自社の事業継続計画(BCP)をどう設計し直すべきか、という問いである。
●目次
侵入は「防げなかった」のか…遮断という自己防衛
侵入を100%防ぐ完璧な防御策は存在しない。VPN機器の未知の脆弱性(ゼロデイ)や、取引先・委託先アカウントを踏み台にした侵入など、攻撃側の手口は年々巧妙化している。実際、2025年9月にサイバー攻撃を受けたアサヒグループホールディングス(アサヒGHD)は、攻撃発生前からNIST(米国立標準技術研究所)のサイバーセキュリティフレームワークに準拠した診断やペネトレーションテスト、EDR(エンドポイント検知・対応)による監視を行っていたにもかかわらず、被害を防ぎきれなかったと説明している。
では、なぜ侵入検知が「出荷停止」にまで至るのか。企業が不正アクセスを検知した際、データの改ざんや被害拡大を防ぐために取る典型的な初動対応が、ネットワークの自主的な物理遮断(封じ込め)である。ネットワークを切り離せば、当然ながら倉庫の入出庫や出荷を管理する基幹システムは稼働を止める。つまり今回の事態は「システムが破壊された」結果というより、「被害を最小限に食い止めるための自己防衛策」としてシステムが停止した可能性が高い、という見方が業界の専門家の間では一般的だ。
アサヒ・アスクル・ニチレイ、何が違うのか
過去1年以内に発生した大企業の不正アクセス事案として、2025年9月のアサヒGHD、2025年10月のアスクルが記憶に新しい。両社とニチレイを比較すると、ニチレイが置かれた立場の特殊性が見えてくる。
比較軸 アサヒGHD(2025年9月)
事業特性 酒類・飲料・食品の製造卸
主因・手口 ネットワーク機器経由の侵入、ランサムウェア「Qilin」が犯行声明
業務への打撃 受注・出荷・コールセンター業務が全面停止、工場生産も中断
代替手段 ファックスによる手動出荷への切り替え
復旧までの期間 全品出荷再開まで約6カ月(2026年4月)
財務影響 2025年12月期純利益が前期比36.7%減の1215億円、
攻撃関連の影響は総額約400億円弱、決算発表が約5カ月延期、
臨時株主総会を開催
比較軸 アスクル(2025年10月)
事業特性 BtoB通販+自社物流が密結合
主因・手口 委託先の管理者アカウントでMFA(多要素認証)が例外的に未適用
業務への打撃 ECサイトの受注停止、物流センター機能不全
代替手段 手作業による受注・出荷処理
復旧までの期間 主要サービス再開まで約2カ月
財務影響 特別損失として52億1600万円を計上、2025年6〜11月期は最終損益66億円の赤字に転落、通期業績予想を取り下げ
比較軸 ニチレイ(2026年7月)
事業特性 食品製造+サードパーティ物流(冷蔵倉庫)
主因・手口 現時点で非公表(調査中)
業務への打撃 冷蔵倉庫の入出庫・冷凍食品出荷が停止
代替手段 現時点で詳細不明(手動対応の可否が焦点)
復旧までの期間 未定
財務影響 現時点で未公表
アサヒGHDとアスクルは、いずれも数カ月単位の復旧期間と巨額の財務インパクトを経験した。アサヒGHDは決算発表が例年より約5カ月遅れる異例の事態となり、臨時株主総会の開催にまで発展した。アスクルは委託先アカウントの多要素認証の「例外運用」という、ごく小さな管理の隙が侵入の起点になったと説明している。
ニチレイの場合、両社と異なる固有の難しさがある。ニチレイロジグループは自社製品だけでなく、他社の冷凍・冷蔵品の保管・輸送も請け負っており、年間約5000社が同社の低温物流インフラを利用し、グループ外の売上比率は9割超に達するとされる。つまり障害が長引けば、影響はニチレイ一社にとどまらず、取引先の欠品や小売店の店頭にまで連鎖しかねない。しかも冷凍食品は常温商材と異なり、温度管理が止まれば「廃棄」に直結するという物理的な制約がある。紙の伝票による代替運用も、預かり品を含む膨大なアイテム数を前にすると現実的な選択肢としての限界がある。
「物流2024・2026年問題」と重なるリスク
トラックドライバーの時間外労働規制強化に端を発する「物流2024年問題」以降、業界は恒常的な労働力不足とバース(荷捌き場)の待機時間削減という課題を抱え続けている。そこにシステム障害が重なれば、出荷スケジュールの急な変更やトラックの待機時間拡大が現場をさらに疲弊させる悪循環を招きかねない。
こうした事案が相次いだことを受け、2026年4月にはアサヒグループジャパンなど流通・小売関連10社が「流通ISAC」を設立し、業界横断でのサイバー脅威情報の共有体制づくりに動き始めている。従来は「データをバックアップしておけば良い」とされてきたBCPの発想は、いま「システムを遮断した状態で、最低限の業務を何日維持できるか」という実践的な訓練(サイバードリル)を前提とするものへと変わりつつある。
サイバーセキュリティコンサルタントの新實傑氏は、次のように指摘する。
「ネットワーク遮断による事業停止は、企業が『被害を広げないために正しい判断をした』結果であることが多い。問題視すべきは遮断そのものではなく、遮断後に最低限の事業を継続できる代替オペレーションが整備されているかどうかだ。アサヒやアスクルの事例が示すように、財務への影響は攻撃発生時ではなく、数カ月後の決算期になって初めて全容が見える。経営層は『復旧費用』だけでなく、機会損失や信用回復コストまで含めた中長期的な視点でリスクを評価する必要がある」
ライバル・取引先の「水面下の動き」
短期的には、味の素冷凍食品やテーブルマーク、マルハニチロなど競合各社が、供給の空白を埋めるための増産や営業対応を強める可能性がある。長期的には「明日は我が身」として、ネットワークセグメンテーション(分離)の徹底や、委託先アカウントを含めた多要素認証の例外排除など、アサヒ・アスクルの教訓を踏まえたセキュリティ体制の再点検が業界全体で進むとみられる。
取引先である小売・外食チェーン側でも、「特定の一社に低温物流を依存すること」のリスクが改めて意識されるだろう。複数の物流網・複数ベンダーを組み合わせ、障害発生時には自動的に代替倉庫へ出荷を振り分けられる、耐障害性の高い流通網の再設計が水面下で検討されていくことが予想される。
ニチレイの事案は、まだ侵入経路や攻撃手法、復旧の見通しが明らかになっていない段階にある。続報を注視しつつ、この一件を「対岸の火事」とせず、自社のデジタルBCPを点検する契機とすることが、いま多くの企業に求められている。
(文=BUSINESS JOURNAL編集部、協力=新實傑/サイバーセキュリティコンサルタント)










