ランサムウェア攻撃で600億円の損害 デパートが狙われた
ランサムウェア攻撃の猛威はとどまるところを知らない。営業利益が600億円も減少してしまったデパートの事例を紹介する。
特定の企業を狙って攻撃を仕掛けるランサムウェアの恐ろしさは、どのような企業であっても想定しておかなければならない。
警察庁が発表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば、製造業が25%、サービス業が20%、卸売・小売業が11%を占める。以下では2025年4月に起こったデパートを狙ったランサムウェア攻撃の事例を紹介する。
ランサムウェア攻撃で600億円の損害
英国のデパートチェーンMarks and Spencer Group(M&S)は2025年4月に公表したサイバー攻撃の被害額について2025年5月21日に発表した。それによると、グループの営業利益が3億ポンド(約600億円)減少して(注1)、オンライン取引に関する障害も2025年7月まで続く見通しだ。
M&Sによると、今回の攻撃により商品の供給が滞って食品の売上高に影響が出た。さらにオンラインショッピングサービスを一時的に縮小せざるを得なかったため、ファッションとホーム用品、ビューティー商品のオンラインの売上高と営業利益が打撃を受けたという。同社は「復旧が進む中で(注2)、デパート部門は堅調に推移している」と述べた。
同社のスチュアート・マシン氏(CEO)は決算説明会の事前プレゼンテーションで次のように述べた(注3)。
「2025年4月の初めは好調で、2024年からの勢いが続いていた。しかし、復活祭の休暇中(2024年4月下旬)に、標的を絞った高度な攻撃に当社が直面していることが明らかになった」
マシン氏によると、システムと顧客、パートナーを守るために一部のシステムを自主的に停止したことで短期的な混乱は生じた。これは必要な措置だったという。
同社は再発防止策の必要性を踏まえて、2年間をかけて進める予定だった技術改善計画を6カ月に短縮する方針を示した。これは2023年に打ち出していた、インフラとネットワーク接続、店舗テクノロジー、サプライチェーンシステムへの投資を含む技術基盤を強化する計画だ。
サイバー攻撃により生じる3億ポンドという財務への影響は同社によれば暫定的なものだという。なおこの影響額には、コスト削減施策による影響や保険による補償、取引に関連する措置による影響は含まれていない。
高度な犯罪者が暗躍している
サイバーセキュリティの専門家はM&Sに対する攻撃が、2023年にMGM Resortに襲いかかったことで有名な悪名高いサイバー犯罪グループ「Scattered Spider」によるものだと考えているようだ。この攻撃者は2025年4月中旬から同年5月の初めにかけて、英国の老舗デパートHarrodsや、大手スーパーマーケットチェーンのThe Co-operative Groupにも侵入した。
Googleで脅威インテリジェンスを担当する研究者はこのグループが現在、米国の小売業者を標的にしていると警告していた(注4)。
M&Sの財務上の損失は、ランサムウェア攻撃が事業運営と財務に与える潜在的な影響は甚大なものだということを強調した。
調査企業Forrester Researchのアリー・メレン氏(プリンシパルアナリスト)は「Cybersecurity Dive」に次のように語った。
「サイバー攻撃において、『業務の混乱』は最も早いタイミングで深刻な影響を及ぼす。同じような例が何度も起こっている。どのような組織であっても攻撃を完全に回避できない。だが、基本的な対策を事前に講じておけば、この種の攻撃に対する対応と復旧を迅速に実践できる」
対応や復旧が遅れれば、それだけ事業に与える影響(売上高の減少)が悪化することはもちろんだ。
法律の専門家は今回の攻撃は数年にわたりM&Sに影響を及ぼすだろうと指摘した。
国際的な法律事務所Taylor Wessingで英国およびアイルランドのサイバー法務部門を共同統括するジョー・ジョイス氏(パートナー)は次のように述べた。
「大規模な侵害に直面した企業にとっての課題は、通常の業務を維持できないことによって生じる機会損失だ。新たな取り組みや製品の発売は遅延するか、停まってしまい、事業計画にも大きな遅れが生じる可能性が高い」
出典:M&S warns April cyberattack will cut $400 million from profits(Cybersecurity Dive)
注1:Marks and Spencer Group Plc Full Year Results for the 52 Weeks Ended 29 March 2025 “RESHAPING FOR GROWTH” (M&S)
注2:M&S says hackers gained access to customer data in April cyberattack(Cybersecurity Dive)
注3:FULL YEAR RESULTS(M&S)
注4:Researchers warn threat actors in UK retail attacks are targeting US sector(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
ランサム攻撃を発見する陰の実力者 EDRよりも優れていたのは【読者調査】
ランサムウェア攻撃は激化を続け、対策を打たなければ自社が危険にさらされる段階に入った。攻撃の結果、どのような被害を受けたのだろうか。誰が攻撃を検知したのだろうか。
5分で分かる、ランサム対策で必ず押さえる10カ条
第1回、第2回に続き、今回はランサムウェアが人を攻撃する仕組みとITを攻撃する仕組みを紹介する。最後に総まとめとしてベストプラクティスを5分で学ぼう。
投資会社を狙うサイバー攻撃が発生 出資先への被害は
投資会社は高い成長が見込まれるテクノロジー企業やソフトウェア企業に資金を投じる。ここがサイバー攻撃を受けるとどうなるだろうか。