株式会社ニチレイは2026年7月15日、7月13日に発生したシステム障害がサイバー攻撃によるものと確認したと公表しました(第2報)。影響を受けているのはニチレイロジグループ各社の冷蔵倉庫の入出庫業務と、ニチレイフーズの冷凍食品出荷業務で、7月17日から順次業務再開する予定です。個人情報が保管されているサーバも被害範囲に含まれるため、個人情報保護委員会への報告も実施済みです。日本の冷凍・冷蔵物流の中核を担う事業者への攻撃だけに、外食・小売の広範な取引先へ影響が波及する構造となっています。
事案の概要——冷蔵倉庫と冷凍食品出荷が停止
ニチレイの公式発表によれば、7月13日に自社サーバがサイバー攻撃を受けたことが確認されました。同日には第1報が出され、緊急対策本部の設置とシステム遮断措置が実施されています。攻撃の詳細な手法や被害拡大を招く恐れのある技術情報については、被害拡大防止の観点から現時点で開示されていません。
影響を受けている業務は、ニチレイロジグループ各社が担う冷蔵倉庫の入出庫業務と、ニチレイフーズの冷凍食品出荷業務です。冷凍・冷蔵領域の物流と製造出荷の両方が同時に止まる形となっており、川上・川下双方の業務が滞留する構造の障害となっています。
時系列——検知から復旧開始予定まで4日間
公式発表に基づく時系列は次のとおりです。7月13日にシステム障害が発生し、同日に第1報を公表。同時に緊急対策本部の設置とシステム遮断措置を実施しました。外部のセキュリティ専門会社と協力しながら調査と復旧を進め、7月15日に第2報として攻撃事実を公表。7月17日からニチレイロジグループの入出庫業務と、ニチレイフーズの冷凍食品出荷業務が順次再開する予定です。
検知から復旧開始予定まで4日間という短さは、社内BCP(事業継続計画)の初動としては迅速な部類ですが、冷凍・冷蔵物流の性質上、この期間の停止だけでも取引先の店舗運営や仕入れスケジュールに大きな影響を及ぼします。第2報時点でも詳細な攻撃手法や影響件数は明かされておらず、続報の内容と復旧速度が今後の焦点となります。
個人情報漏えいの可能性と対応
被害を受けたサーバの一部には個人情報が保管されていたことから、ニチレイは個人情報保護委員会への報告を実施しています。現時点では漏えいの有無は明示されておらず、「漏えいが判明した際には速やかに報告する」と告知されています。
対象となる個人情報の範囲や件数は現段階で公表されていないため、取引先企業・従業員・顧客のうち誰が該当するのかは、続報の公表を待つ必要があります。
影響——外食・小売サプライチェーンへの波及
ニチレイの発表そのものには具体的な取引先名は含まれていませんが、報道各社を通じて、ケンタッキーフライドチキン(KFC)、くら寿司、やよい軒など、主要な外食チェーンで商品供給への影響が確認されています。KFCはネット注文の停止や店舗の臨時休業のおそれを告知するなど、直接的なサービス影響が発生しています。
冷凍・冷蔵物流を担う事業者への攻撃が、末端の外食店舗や小売現場での欠品や休業に直結する構図は、食品サプライチェーンの脆弱性を可視化した形です。物流・製造の中核を担う共通基盤事業者への攻撃は、複数事業者を横断する影響を生む点で、KDDIメール基盤事案などとも通じる「共通インフラ横串リスク」の構造といえます。
企業ユーザーへの示唆——BCPとサプライチェーンリスクの再確認
今回の事案は、食品業界だけでなくすべての業界にとって、サプライチェーン上の物流・保管基盤への攻撃リスクを再認識させるものです。自社が直接被害を受けなくても、主要な仕入先・物流委託先の障害によって業務が止まるリスクは決して低くありません。
情シス・調達・BCP担当としては、主要取引先のサイバーインシデント発生時の代替供給ルート、業務影響のシミュレーション、契約書におけるインシデント時対応の取り決めなどを改めて点検する機会となります。とくに、コールドチェーン・医薬品・自動車部品といった時間制約や特殊環境が伴う物流領域では、単一事業者への依存構造がボトルネックになりやすい点を意識した設計が求められます。
ITトレンドではサイバー攻撃対策についてもまとめています。[企業規模別サイバー攻撃対策の運用チェックリストと導入後トラブル事例]
まとめ
ニチレイへのサイバー攻撃事案は、単一企業のシステム障害という次元を超え、外食・小売を含む広範な食品サプライチェーンへ波及した点で象徴的な出来事です。同社は7月17日からの順次復旧を予定していますが、個人情報漏えいの可能性の続報と、取引先への波及規模の総括は今後の公表を待つ必要があります。
同時に、共通インフラを担う事業者へのサイバー攻撃が、業界横断で末端サービスに影響する構図は、多くの企業にとって自社BCPの見直し材料となります。「自社は攻撃されていないから安心」ではなく、「重要な取引先が攻撃されたときにどう続けるか」の設計を、経営レベルで議論するタイミングだといえそうです。

