タンカーは今日も動いている。だが、その燃料調達システムの中に、すでに誰かがいるかもしれない。

燃料を失う日

日本郵船事件が暴いたエネルギー兵站の盲点

The Day We Lose Our Fuel

The Blind Spot in Energy Logistics Exposed by the NYK Line Incident

2026年4月21日

発行元:一般財団法人 日本危機管理研究所

執筆者:舩山 美保

*This article is available in English via Google Translate.

エグゼクティブサマリー Executive Summary

本稿は2026年4月9日に公表された日本郵船の船舶燃料調達システムへの不正アクセス(発生日時:2026年3月24日午後)を端緒に、イラン戦争という地政学的有事を背景とする戦略的サイバー攻撃の連鎖を分析する。対象は政治家、ジャーナリスト、政策立案者であり、「次に何が起きるか」を考えるための実践的枠組みを提供することを目的とする。

  • 2026年4月9日公表(発生は3月24日)、日本郵船の船舶燃料調達システムへの不正アクセスが確認。単なる企業被害ではなく、エネルギー物流情報の戦略的収集である可能性が高い。
  • イランは2026年2月28日に「電子作戦室」を設立。約60のハクティビスト集団を組織化し、イスラエル・ヨルダンのエネルギーインフラへの攻撃を宣言・実行している。
  • JavaScriptライブラリ「axios」への北朝鮮系サプライチェーン攻撃が確認。週3億回使用されるライブラリを入口に、日本企業を含む世界中の下流システムが標的となった。
  • NATOのルーマニア・ブカレストで4月20日深夜、熱電供給プラントの変圧器3基が爆発・炎上。原因は調査中だが、グレーゾーン戦術の典型的パターンと一致する。
  • 米海軍はイラン戦を背景に兵士と家族にSNSの厳格な管理を命令。「人間」が最大の脆弱点であることが公式に認められた。
  • 日本は法整備・人材・官民連携のすべてにおいて対応が遅れており、エネルギー物流・運輸インフラが次の標的となるリスクが高い。
  • 「事故か攻撃か判別できない時代」にすでに突入している。重要インフラへの攻撃は警報なしに、日常の中で静かに進行する。

【本稿の限界と留意点】本稿は2026年4月21日時点で公開されている一次情報・現地報道・セキュリティ機関の公式発表に基づく。一部事象(CET Vest爆発の原因等)は調査中であり、今後の続報により解釈が変わる可能性がある。確認できていない情報については本文中に明示的に注記している。

目次

第一章 静かな侵入——日本郵船に何が起きたか

第二章 有事という文脈——なぜ今なのか

第三章 これは孤立した事件ではない——連鎖するサプライチェーン攻撃

第四章 次に狙われるのはどこか——日本の構造的脆弱性

第五章 事故か攻撃か——判別できない時代の到来

【コラム】グレーゾーン戦術とは何か

結び 燃料を失う日に予告はない ーその日に備えて、今

用語集

参考資料

第一章 静かな侵入——日本郵船に何が起きたか

2026年4月、日本郵船株式会社が運用する船舶燃料調達システムへの第三者による不正アクセスが公表された。同社は世界最大級の海運企業であり、エネルギー資源の大半を海上輸送に依存する日本にとって、その燃料調達システムは文字通り「動脈」に相当する。

公式発表は簡潔だった。しかし問うべきは「何が盗まれたか」ではなく「誰が、何のために侵入したか」である。

船舶燃料調達システムが保有する情報は、単なる価格データではない。どのタンカーが、いつ、どのルートで、どの港に寄港し、何トンの燃料を調達するか——この情報は有事において極めて高い戦略的価値を持つ。エネルギー供給ルートの把握は、物理的な攻撃なしに日本のエネルギー兵站を麻痺させる「地図」となりうる。

攻撃者が金銭を要求しなかった点も注目に値する。ランサムウェアによる身代金要求がなければ、目的は情報窃取か、あるいはシステム内部への長期潜伏である可能性が高い。

【日本郵船事件 発生から公表までの16日間】

日付 内容
3月24日(午後)不正アクセス検知・システムをネットワークから即時隔離、使用停止
3月27日システム復旧。個人情報保護委員会等・各国関係当局へ速報提出
3月31日所轄警察へ報告
4月9日一般公表(発生から16日後)

出典:日本郵船株式会社公式発表(2026年4月9日)

この16日間、同社は攻撃者の「目的」を特定できなかった。データの暗号化なし・金銭要求なし——「目的不明」という結論が、逆説的に本事象の深刻さを物語っている。金銭目的であればランサムウェアの痕跡が残る。破壊目的であればシステム障害が生じる。どちらでもないとすれば、残る可能性はプリポジショニング(有事に備えて平時からシステム内部に潜伏し、いつでも「スイッチを切れる」状態をつくっておく戦術)である。

侵入はすでに「終わった話」ではなく、現在進行中の脅威である可能性が高い。

第二章 有事という文脈——なぜ今なのか

この事件を孤立した企業被害として読むことは誤りである。背景には、現在進行中の地政学的有事がある。

2026年初頭、イスラエルとイランの間で本格的な軍事衝突が始まった。この戦争はただちにサイバー空間にも波及した。イランは2026年2月28日、「電子作戦室」を正式に設立。約60のハクティビスト集団を国家の指揮下に統合し、組織的なサイバー攻撃を開始した。その標的はイスラエルの防衛企業にとどまらない。イスラエルのエネルギー探査企業、ヨルダンの燃料供給システム、そして中東を航行する船舶の通信システムにまで及んでいる。

ここで重要なのは、攻撃の射程である。イランの電子作戦室に関与するグループの一部は、地理的にイラン国外——東南アジア、パキスタン、中東各国——に拠点を持つ。つまりこの戦争のサイバー戦線は、中東という地域に閉じていない。

日本はホルムズ海峡を経由するエネルギー輸送に深く依存している。LNGタンカーの燃料調達情報、航路情報、寄港スケジュール——これらは有事において攻撃者にとって最も価値のある情報の一つである。日本郵船への侵害が「偶然の標的選択」でなかった可能性を、我々は真剣に検討しなければならない。

第三章 これは孤立した事件ではない——連鎖するサプライチェーン攻撃

JavaScriptの標準的なHTTPクライアントライブラリ「axios」のnpmパッケージが改ざんされた。axiosは世界中の開発者が週3億回以上ダウンロードする、現代のウェブ開発に不可欠なソフトウェアである。攻撃者はaxiosの主要メンテナーのアカウント認証情報を奪い、通常の公開フローを迂回して悪意あるバージョンを配布した。このバージョンをインストールした環境には、Windows・macOS・Linux対応の遠隔操作型トロイの木馬(RAT)が自動的に投下される仕組みになっていた。さらに巧妙なことに、マルウェアは実行後に自らの痕跡を消去し、「クリーンなファイル」に偽装した。

これは北朝鮮系ハッカー集団による攻撃と分析されており、目的は暗号通貨の窃取とその後の資金洗浄である。北朝鮮は2025年だけで20億ドル以上の暗号通貨を窃取しており、その資金がミサイル開発に充てられていることは米政府も公式に認めている。

これらの事件に共通する構造がある。直接の標的を攻撃するのではなく、標的が依存するソフトウェア、委託先、調達システムという「川上」を狙う。防御側が最も気づきにくく、被害が最も広範に波及する攻撃手法である。

第四章 次に狙われるのはどこか——日本の構造的脆弱性

海上輸送への極度の依存

日本のエネルギー自給率は約13%に過ぎず、残りのほぼすべてを海上輸送に依存している。LNG、原油、石炭——これらの調達・輸送システムへの侵害は、電力・暖房・産業活動のすべてに連鎖する。

サプライチェーンの多層性と中小企業の脆弱性

大手海運企業のセキュリティが強化されても、そこに部品を納める中小サプライヤー、港湾運営を担う下請け企業、燃料調達を仲介するブローカーシステム——これらの「川上」が攻撃の入口になる。日本のサプライチェーンはこの多層性ゆえに、防御の一貫性を保つことが構造的に難しい。

OT(運用技術)/ICS(産業制御システム)セキュリティの遅れ

港湾クレーン、船舶の制御システム、パイプライン管理システムといった産業制御システム(ICS)は、もともとインターネットと切り離された環境で設計されたものが多い。しかし効率化・自動化の波の中でネットワークに接続され、サイバー攻撃の標的となるリスクが急増している。

法整備と官民連携の遅れ

2025年に「サイバー対処能力強化法」が成立したが、実効性はこれからである。省庁間・企業間での脅威情報共有の仕組みはまだ不十分であり、ある組織が攻撃を受けても他組織への情報展開が遅い。

最も見落とされがちな脆弱性——人間

米海軍がイラン戦を背景に兵士と家族にSNSの厳格な管理を命じた事実は、サイバー攻撃の最終的な入口が「人」であることを如実に示している。防衛関連企業の社員、港湾管理者、タンカー乗組員——彼らのスマートフォン、SNSアカウント、出会い系アプリが、高度なサイバー攻撃の起点となりうる。日本ではこの議論がほぼ皆無である。

【コラム】グレーゾーン戦術とは何か—ノルドストリーム爆破、中国船による海底ケーブル破壊

グレーゾーン戦術とは、通常の外交活動と本格的な軍事衝突の間に存在する「曖昧な領域(グレーゾーン)」で展開される、意図的に責任帰属を困難にした戦略的行動の総称である。米国国家情報長官室(ODNI)の公式定義によれば、グレーゾーンとは「協力関係を上回り、武力衝突の閾値を下回る空間で行われる防御・攻撃活動」であり、しばしば秘密裏に、あるいは国際規範の外側で実行される。

攻撃者はこの「証明不可能性」を最大の武器として利用する。 2022年9月のノルドストリームパイプライン爆破は、数年を経ても公式な犯人特定に至っていないグレーゾーン戦術の典型例である。また中国は、錨を用いて海底ケーブルやパイプラインを切断する専用船を開発・運用していることが確認されており、グレーゾーン戦術の意図的・組織的な制度化を示す事例として注目される。ノルドストリームが「単発の破壊工作」であったとすれば、中国の専用船開発は**「継続的インフラとしての破壊能力」の保有であり、脅威の次元が異なる。

日本はその民主主義的価値観ゆえに、証明なき反撃ができず、この戦術に対して特に脆弱である。 日本周辺海域には多数の海底ケーブルとパイプラインが敷設されており**、有事においてこれらが「事故」を装って切断されたとき、日本政府が迅速かつ断固とした対応を取れるか——その法的・政治的枠組みは、いまだ整備されていない。

第五章 事故か攻撃か——判別できない時代の到来

2026年4月20日深夜、ルーマニアの首都ブカレストで、市民の暖房と電力を担う熱電供給プラント「CET Vest」の変圧器3基が爆発・炎上した。約30〜40トンの油が燃焼し、消防車両9台が出動した。ルーマニア現地の主要メディア——digi24、adevarul、mediafax——が一斉に報じたこの事件の原因は、現時点で「調査中」である。

技術的障害か、過負荷か、あるいはサイバー攻撃による制御システムの操作か。目撃者は爆発直前にブカレスト市内複数地区で電圧降下を確認している。消火ロボットは偶然にも「メンテナンス中」で不在だった。ルーマニアはNATO加盟国であり、ウクライナ支援の重要な後方拠点である。

断言はできない。しかしこれが現代のサイバー・物理複合攻撃の本質である。攻撃者は「事故と区別がつかない攻撃」を追求する。警報は鳴らない。犯人は特定されない。被害だけが積み上がる。

日本においても同様の事態が起きたとき、「事故」と判断するのか、それとも「攻撃」と気づくのか。その判断能力を持つ人材が、政府にも企業にも決定的に不足している。

結び——燃料を失う日に予告はない -その日に備えて、今

日本郵船の燃料調達システムへの侵害は、氷山の一角かもしれない。表に出たインシデントの背後に、気づかれないまま進行している侵害がどれだけあるか——その全体像を把握できている組織は、日本には存在しない。

攻撃者にとって最良のシナリオは、有事の瞬間まで誰にも気づかれないことである。平時に「地図」を手に入れ、有事に「スイッチを切る」。物理的な爆撃なしに、日本のエネルギー供給を止めることができる。

燃料を失う日は、ミサイルが飛んでくる日ではないかもしれない。タンカーが静かに航路を変え、ガソリンスタンドの在庫が少しずつ減り、工場の稼働率が下がり始める——そのような形で、静かに、予告なく来るかもしれない。

その日に備えるための議論を、今始めなければならない。

用語集 

         用語 / Term        定義 / Definition
グレーゾーン戦術 Gray Zone Tactics通常の外交と本格的軍事衝突の間の曖昧な領域で展開される戦略的行動。サイバー攻撃、情報操作、経済的強制、インフラ破壊などが含まれる。意図的に責任帰属を困難にすることが最大の特徴。
サプライチェーン攻撃 Supply Chain Attack最終標的を直接攻撃せず、その標的が依存するソフトウェア・部品・委託先を経由して侵入する攻撃手法。発見が困難で被害範囲が広い。
エネルギー兵站 Energy Logisticsエネルギー資源の調達・輸送・備蓄・配給の全体システム。有事における最優先攻撃目標の一つ。
プリポジショニング Pre-positioning有事に備え、平時から標的システムに潜伏しアクセス経路を確保しておく戦略。国家支援型ハッカーの特徴的手法。
電子作戦室 Electronic Operations Roomイランが2026年2月28日に設立した、国家主導のサイバー攻撃統合指揮組織。約60のハクティビスト集団を傘下に収める。
OT/ICSセキュリティ OT / ICS Security港湾クレーン・船舶制御・パイプライン管理など産業用制御システムのサイバーセキュリティ。IT系とは異なる専門知識が必要。
ランサムウェア Ransomwareシステムやデータを暗号化し、復旧と引き換えに身代金を要求するマルウェア。近年は身代金要求を伴わない破壊目的での使用も増加。

参考資料

日本郵船株式会社 不正アクセス被害に関する公式発表(2026年4月)

IPA(情報処理推進機構) Microsoft製品の脆弱性対策について(2026年4月)

Palo Alto Networks Unit 42 ”Threat Brief: Escalation of Cyber Risk Related to Iran”(2026年4月17日更新)

CNN ”North Korean hackers bug software used by thousands of US companies”(2026年3月31日)

Chainalysis ”2026 Crypto Crime Report”

ODNI(米国国家情報長官室) ”Updated IC Gray Zone Lexicon”(2024年7月)

CSIS(戦略国際問題研究所) ”Competing in the Gray Zone”

RAND Corporation ”A New Framework for Understanding and Countering China’s Gray Zone Tactics”(2025年)

Task & Purpose ”Navy tells sailors to beware of dating apps amid Iran conflict”(2026年4月)

Antena3 / Mediafax / HotNews.ro / Adevarul CET Vest爆発関連報道(2026年4月21日)

セキュリティ対策Lab 国内インシデント一覧(2026年4月)

舩山 美保 理事・主任研究員

国際政治経済学・心理学を基盤にサイバーセキュリティインテリジェンスを専門とする。ISO/IEC JTC1 SC28副国際幹事を歴任し、国際規格の策定プロセスを主導した経験を持つ。現在はAIリスク・情報戦・危機管理政策を横断的に研究している。