セキュリティ

サイバー攻撃で貨物が消える時代、FBIが警告

FBIが2026年4月30日付で公開した警告は、貨物窃盗の主役が覆面強盗から攻撃者に置き換わりつつあることを米当局として認める内容になっている。北米の被害額は2025年に7億2500万ドル(約1135億円)、前年比60%増だ。

情報の灯台

2026年5月2日

ロードボードを乗っ取り、貨物を物理的に持ち去る

FBIのインターネット犯罪苦情センター(IC3)が出した警告(PSA)は、貨物の入札情報をやり取りする業界専用のオンライン市場「ロードボード」が攻撃の起点になっていると指摘する。

連邦捜査局は、サイバー上の脅威アクターが正規企業を装って高額貨物を奪い、配送ルートを書き換える、戦略的貨物窃盗の急増を国民に警告するため、本PSAを公開する。 ―FBI Public Service Announcement I-043026-PSA

攻撃者はまず、ブローカー(貨物の取次業者)や運送業者(キャリア)のアカウントを侵害する。手口は地味で、なりすましメール、見た目をまねた偽URL、認証情報を盗まれた口座のいずれかだ。

そこから先が今までと違う。アカウントを掌握した攻撃者は、ロードボード上で偽の積荷情報を大量に投稿し、応答してきた正規の運送業者に「契約書」と称してマルウェア入りのリンクを送りつける。クリックすると正規のリモート監視・管理ツール(RMMツール)が気づかれずインストールされ、運送業者のシステムも丸ごと盗られる。

ロードボードとは: トラック運送業者・荷主・貨物ブローカーがオンライン上で積荷の出し入れと入札を行う、北米物流に欠かせない業界専用マーケットプレイスを指す。日本でいう求荷求車サービスに近い性格を持つ。

侵害されたアカウントを介して、攻撃者は今度は本物の貨物入札に応じる。実在する運送業者を装って積荷を引き受け、配送先や運送状を改ざんし、グルになっているドライバーへ「ダブルブローカリング」(再委託の体裁で別の運送先に振り替える違法行為)で渡す。最終的に貨物は本来の届け先ではなく、転売ルートへ流れていく。

デジタルが現実を奪う、その金額がもう冗談ではない

PSAの数字は、以前のような「サイバー犯罪の損害額」とは性格が違う。2025年の北米での貨物窃盗による損失額は 約7億2500万ドル 、前年比60%増。盗難件数は18%増にとどまる一方、1件あたりの平均損失は36%増の27万3990ドル(約4288万円)に達した。

件数より単価の伸びが大きい。これは攻撃者が手当たり次第に狙うのではなく、高額貨物を選別していることを示している。事前情報を持って入札に介入する以上、選別は当然そうなる。

セキュリティ企業のプルーフポイントは、これに先立つ2025年11月3日付のレポートで、ほぼ同じ手口を詳細に報告していた。同社は2025年8月以降だけで約20件のキャンペーンを観測しており、配信規模は1件あたり10通未満から1000通超まで幅がある。最も多用された初期ペイロードはSimpleHelpとN-ableで、それぞれ全体の38.10%。続いてScreenConnectが14.29%、LogMeIn ResolveとFleetdeckがそれぞれ4.76%だった。

プルーフポイントによれば、北米における貨物窃盗の被害は2025年に 66億ドル規模 (約1兆329億円)にまで拡大している。FBIが提示した7億2500万ドルは「サイバー起点」かつ「米国・カナダ」に絞った数字であり、貨物窃盗全体ではさらに巨大なパイがある。

攻撃者が「正規ツール」を使う理由

ここで重要なのは、攻撃者が独自開発のマルウェアではなく、企業のIT管理に使われる正規のRMMツールを流し込んでいる点だ。ScreenConnect、SimpleHelp、PDQ Connect、N-able、LogMeIn Resolve、Fleetdeck――いずれも世の中の情報システム部門が日常的に使っているツールである。

正規ツールは署名付きインストーラーとして配布されるため、ウイルス対策ソフトに引っかかりにくい。社内に既に同種のツールが存在することも多く、利用者から見ても疑念を抱きにくい。プルーフポイントが「初期段階のペイロードとして攻撃者の第一選択になりつつある」と評する所以だ。

攻撃者は自らが所有するリモート監視ツールを作成・配布でき、これらは正規のソフトウェアとして利用されることが多いため、エンドユーザーは他のリモートアクセス型トロイの木馬をインストールするよりもRMMを導入することに疑念を抱きにくくなります。 ―プルーフポイント脅威リサーチチーム

侵害された運送業者は、自分のアカウントでまったく身に覚えのない積荷が引き受けられていることに気づくまで、何が起きているか分からない。気づくのは、ブローカーから「指定の積荷が届かないのですが」と連絡が入った時、つまりすでに貨物が消えた後である。

業界構造そのものが標的になっている

この件で見落としてはいけないのは、攻撃者が 業界の業務プロセス を正確に理解している事実だ。

連邦自動車運送業者安全局(FMCSA)に登録された運送業者の連絡先を書き換え、保険情報を更新して「過去に拒否されていた積荷も引き受けられる」状態を作り出す。ダブルブローカリングで運送経路を切り替え、必要に応じて偽の船荷証券を発行する。これらはサイバー攻撃の文法ではなく、物流業界のオペレーションに精通した者の動きだ。

プルーフポイントは、攻撃者が組織犯罪グループと協力していると評価している。盗まれた貨物の主流は食品・飲料で、エナジードリンクから電子機器まで幅広く転売されているという。盗品はオンライン販売されるか、海外へ送り出される。

つまり、これはサイバー犯罪と組織犯罪が分業した結果としての業界横断スキームであり、片方だけ封じても回り続ける構造になっている。FBIが業界向けPSAを出すに至ったのは、単独企業の防御では対応が追いつかなくなっているからだろう。

防御の鍵は「人を疑う」ではなく「経路を二重化する」

FBIのPSAが推奨する対策は、目新しいものではない。

第一に、出荷依頼や引取依頼は必ず 二系統以上のチャネル で独立に確認すること。メールの差出人やドメインだけで真贋を判断しない。第二に、依頼の真偽を多要素認証相当の方法で再確認する仕組みを導入すること。第三に、ドライバー・車両・取引相手の写真や番号を含む詳細な記録を残し、捜査と防御の両方に使えるようにする。

メール側の不審な兆候としては、自動転送・自動削除といった新しい受信ルールの出現、本物と1〜2文字違うドメイン名、短縮URLや偽の苦情通知、短時間で使い捨てられるVoIP番号などが挙げられる。これらはどれもRMM感染を経由したアカウント乗っ取りの典型的な痕跡だ。

身も蓋もない言い方をすれば、ロードボードという仕組みが電子取引前提で設計されながら、認証と検証が業務スピードに負けて緩いまま運用されてきた、ということだ。攻撃者はその緩さを正確に突いている。

物流のサイバー化は、攻撃者の地形図でもある

サプライチェーンのデジタル化は、効率を上げる代わりに、デジタル経路を一つ握れば物理的な貨物まで到達できるという地続きの脅威を生んだ。プルーフポイントが2024年から追跡してきた地上輸送業界向けキャンペーンの延長線上で、FBIが公式に動き出した今回の流れは、サイバー脅威が実体経済の動脈に到達し始めた転換点として読むほうが正確かもしれない。

日本に当てはめれば、求荷求車プラットフォームや運送マッチングサービスの認証基盤がどれだけ堅牢か、そして運送業者・荷主間の検証フローが二重化されているか、改めて点検する価値がある問題だ。

サイバー犯罪が金庫を破る時代から、トラックを丸ごと持ち去る時代へ。画面の向こう側で起きていたはずの攻撃は、もう道路の上にいる。

参照元