データ1億件が暗号化、損害17億円 「関通」を襲ったランサムウェア攻撃の教訓：変わる情シス 2025秋 イベントレポート

2024年、物流企業の「関通」を襲ったランサムウェア攻撃は、データ1億件の暗号化と17億円の損失という甚大な被害をもたらした。同社の事例を基に、有事のパニックを回避し、顧客の信頼を維持するための方法や、初動対応力を鍛える方法など、経営課題としてのセキュリティ対策を解説する。

[HubWorks，キーマンズネット]

　サイバーセキュリティの重要性を理解しているものの、何から対策すればよいのかが判断できずにいる企業は多い。昨今はAIを活用した攻撃にも備える必要があり、企業側に求められる対策はより複雑化している。

アスエイト・アドバイザリー株式会社　熱海徹（あつみとおる）氏

　対策を施したとしても、実際に攻撃を受けた経験がないために、その対策が有効に機能するかどうかが分からないという不安も残る。有事の際は迅速な行動が求められるため、攻撃を受けた状況を具体的にイメージし、パニックに陥らないための備えが必要だ。

　本記事は、攻撃を受けた企業の事例を基に、実際に発生する混乱を整理し、中堅・中小企業が整備すべき予防体制と、初動対応力を鍛える方法を解説する。

本稿は、ITmediaが主催したオンラインセミナー「変わる情シス 2025秋」（2025年12月9日〜12日）で、アスエイト・アドバイザリー株式会社　熱海徹氏（上席フェロー）が「なぜ自社が標的に？インシデントが起きても慌てず対応するためのセキュリティ準備」というテーマで講演した内容を編集部で再構成したものだ。

17億円の被害額に上るサイバー攻撃に遭った「関通」

　2024年9月、兵庫県尼崎市の物流企業「関通」がサイバー攻撃を受けた。同社はEC物流の代行サービスを主力とし、多くのネット通販事業者のバックエンドを支えている。

　関通へのサイバー攻撃はランサムウェアによるものだった。被害は大きく、社内システムが全面停止し、約1億件のデータが暗号化された。ネット通販の物流を支えるIT基盤が機能不全に陥り、業務が一時停止し、事業部門では出荷や在庫管理ができず、大きな混乱が生じた。

　同社は翌日に緊急会議を開き、手作業による業務を再開する決定をした。身代金の要求には応じず、画一的な顧客対応を避け、個別の要望を聞き取って対応した。迅速に対応した関通だったが、それでも損害は1日当たり2000万円になり、最終的な被害額は約17億円となった。

　業務を再開したのは攻撃から50日後で、契約解除に至った顧客は160社中2社にとどまった。関通の社長は被害を受けたシステムを全て廃棄し、新たなネットワークをゼロから構築するという決断を下した。専門部署も設置され、システムに対する監視体制が強化された。

普及に向けた重要な6つのポイント

　アスエイト・アドバイザリー株式会社　熱海徹氏（上席フェロー）は「関通の事例から見える復旧のポイントは6つ」と語る。

1．初動のスピードにつながる即断即決の経営判断

　関通の社長は「間違ってもいいから即決する」と決めて行動を開始した。多くのサイバー攻撃では判断の遅れが被害拡大につながるため、トップの迅速な意思決定は重要だ。

2．顧客との接点を維持した手作業での業務再開

　同社はシステムが使えない中、攻撃の翌日には一部業務を手作業で再開し、ビジネスの完全停止を回避した。このような柔軟な対応は顧客との信頼関係の維持につながった。

3．一律の顧客対応を避け、各取引先の要望を丁寧に聞き取って対応

　関通はできることとできないことを明確に顧客に伝えつつ、可能な限り顧客の要望に従う対応によって混乱を最小限に抑えて信頼関係を維持した。

4．システムの全面廃棄と再構築

　「空き巣に入られた家には住めない」という発想で、関通の社長はゼロからの再構築を決断した。そして、この決断も顧客からの信頼を維持する結果につながった。

5．復旧時間の短縮を優先

　復旧時間を短縮することは攻撃者の目的を阻む最大の防御だ。復旧までのプロセスを事前にシミュレーションしておくことで期間はより短縮される。

6．社内体制の強化と継続的な監視

　関通は専門部署を設置し、日々の不正アクセス監視を開始した。単発の対応で終わらず、継続的なセキュリティ強化へとつなげる点が重要だ。

　熱海氏によると、サイバー攻撃を受けた後に情報セキュリティ担当者が上層部から「なぜ、当社が狙われたのか」「被害箇所はどこだ」「いつ復旧できるのか」「被害額はいくらなのか」と質問攻めにされるケースが多い。

　これは状況の把握に過剰に時間を使ってしまっている状態だ。攻撃を受けた際に重要なのは状況把握ではなく状況の受け入れだ。気持ちを切り替え、次の対応にいかに早く移れるかが重要だ。

サイバーセキュリティは経営課題

　熱海氏は「現代の企業はサイバー攻撃のリスクから逃れることはできない」と強調する。システム、ネットワークなしで企業活動が成り立たない以上、運用に伴うリスクをどのようにコントロールするかが重要だ。

　自社のネットワークやIoT機器がどのような攻撃を受ける可能性があるのかを把握し、重要なリスクを特定して優先順位を付ける必要がある。これがリスクプロファイルやリスク許容度の設定につながる。

　また、ガバナンス体制の見直しにも取り組むべきだ。どのリスクを受け入れ、どこまで攻撃備えるかはまさに経営判断だ。取締役会を含む幹部が、十分な情報を基にガバナンス体制を定期的に見直さなければならない。

　その上で重要なリスクを優先して対策を進め、製品やサービスを導入する際は自社のリスクにどのような影響を与えるかを中長期の視点で見極める必要がある。

　復元力（レジリエンス）を高めることも重要だ。サイバー攻撃のリスクをゼロにすることはできないが、被害を最小限に抑えるための計画立案は可能だ。経営層が対応について理解し、率先して事業部門に周知すべきだろう。

　事例を通じて見えてくるのは、社長をはじめとする経営層がサイバー攻撃をいかに理解し、いかに素早く立ち回れるかが被害の範囲や顧客との信頼関係への影響を左右するということだ。サイバーセキュリティは情報システム部門だけの課題ではなく経営課題だ。

企業全体の予防体制

　どのような企業であってもサイバー攻撃を受ける可能性がある以上、防御をするための体制を整えなければならない。

　体制を整備する際、人手不足が攻撃によるリスクを高める大きな要因となることを理解する必要がある。多くの企業で情報システム担当者は他業務と兼任をしている。これではセキュリティ対策に十分な時間を取れない。まずは人手不足を解消し、セキュリティに時間をかけられる組織を目指す必要がある。

　急速に普及したテレワークにもリスクが潜んでいる。VPN（仮想専用線）を使用しないまま従業員に社内システムにアクセスさせていたり、従業員が私物のPCやスマートフォンを業務に使ったりしているのを放置するのは危険だ。特に、複数人が同じIDやパスワードを使い回している状態は早急に改善すべきだ。

　熱海氏は「無料の対策は多数存在している」と話し、OSやソフトウェアの自動更新設定、強固なパスワードの使用、二段階認証の導入を挙げた。

初動対応力を鍛える方法

　サイバー攻撃に対処するには、予防体制を整備した上で、攻撃を受けた際の初動対応を早める工夫が求められる。

　「攻撃が発生した際に、実際に実行できる計画が立てられており、予想外の出来事にも落ち着いて柔軟に対応できるかどうかが重要だ」

　初動における対応力を高めるために、マニュアルを「技術的な対応手順が抽象的でないか」という観点から見直そう。そして、実際の攻撃を想定した訓練およびシミュレーションの実施が不可欠だ。

　さらに、日頃から経営層がサイバーセキュリティに関与し、いざというときに迅速に意思決定できるようにしておく必要がある。ベンダーや専門家との契約に緊急対応が含まれているかどうかを確認し、攻撃を受けた際に迅速に連携できる体制を整えておくことも重要だ。

　サイバー攻撃の被害に遭った事例を知ることで、企業に求められる現実的な対策が見えてくる。経営層がサイバーセキュリティを経営課題と捉えた上で、情報システム担当者と連携して予防体制を整備し、攻撃を受けた際の初動対応力を鍛えることで被害を最小限に抑え、顧客や取引先との信頼関係を維持できるように努めよう。