日本の物流企業の社長が、サイバー攻撃で業務が停止した際に企業が生き残るために必要なことを語る。
1年前、中堅の日本の物流会社である関通は、ランサムウェアによってサーバーがロックされ、通信が遮断され、出荷業務が完全に停止するという大きな被害を受けました。
私たちは、関通の代表取締役社長・辰巳浩宏氏に、サイバー攻撃への対応経験について、サイバーセキュリティと事業継続の両面からお話を伺いました。以下は、企業がランサムウェア攻撃に直面し、存続の危機に立たされたときに直面する現実を詳しく描いたものです。
全データが利用不能、500社以上に影響
2024年9月12日(木)、辰巳社長はシステム担当役員から「ランサムウェアに感染しました。サーバーがロックされたようです」との報告を受けました。
時刻は午後6時15分、ちょうど業務終了直前でした。社内ネットワークとすべての社内システムが停止し、社内外のすべての通信手段が遮断されました。
株式会社関通は、兵庫県尼崎市に本社を置く、EC・通販物流支援のパイオニア企業です。1983年に軽トラック1台からスタートし、現場力とテクノロジーを組み合わせて全国20拠点以上の物流拠点を展開しています。クラウド型倉庫管理システム(WMS)「クラウドトーマス」を取引先に導入することで、出荷リードタイムの短縮やコスト削減を実現してきました。関通にとって、サイバー攻撃を受けることは、会社の存続を揺るがす重大な事件でした。
辰巳社長は当初、単なる障害だと思っていましたが、自らサーバールームを見て衝撃を受けました。目の前のサーバー画面には、黒い背景に「Your company data has been encrypted(貴社のデータは暗号化されました)」という不吉なメッセージが表示されていました。
後に関通は、最初の攻撃が2024年7月に発生し、8月にはサーバーへの侵入の痕跡があったことを突き止めました。SSL VPN機器の脆弱性が悪用され、IDとパスワードが流出し、侵入を許してしまいました。9月12日にはサーバー内の全データが暗号化されていました。
ネットワークがダウンした翌日午前7時、辰巳社長は役員を招集して緊急会議を開き、状況共有と対応策を協議しました。全社を挙げて以下の対応を進めました:
- 新たなグループメールシステムの構築と緊急連絡網の確保
- 取引先専用の問い合わせ窓口の設置
- 社内のインターネット接続禁止
- 主要システムの稼働状況確認
すべての出荷業務が停止しました。午前9時に全社員へ状況説明を行い、午前10時から被害状況の確認と対策を開始しました。
サーバーはすでに完全に暗号化され、すべてのデータが利用不能となり、一部バックアップも破損していました。データが復旧可能かどうかの判断が必要でした。影響を受けた企業数は500社を超えていました。
「9月13日(金)から復旧作業を始めましたが、土日月と三連休でした。物流業界は在庫データがなければ何もできません。在庫データがロックされたため、紙とペンで棚卸しを行いました。週末は全体の30%のお客様に対応できましたが、70%は休業でした。これは不幸中の幸いでした」と辰巳社長は語ります。
対応方針の策定
関通は警察、保険会社のサイバー攻撃対応チーム、セキュリティ専門家と連携し、サイバー保険の適用範囲や被害額の見積もりを進めました。
午後1時、辰巳社長とチームは保険会社のサイバー攻撃対応チームと会議を開き、対応方針を以下のようにまとめました:
- いかなる場合も身代金は支払わない
- 完全復旧には1か月以上かかる可能性がある
- 再発防止のためネットワークを完全遮断する
午後5時、アナログ手段による業務再開、一斉PC・ネットワークの新規入替、既存システムの復旧より顧客対応を優先するなどの復旧計画を決定しました。しかし、実際の復旧作業を始めると、予想外の落とし穴がありました。
「とにかく早く業務を再開する方法を考えました。同業他社に荷物を送ってもらうなど、利益度外視で様々なことをやりました」と辰巳社長は語ります。
旧ネットワークとPCの廃棄
9月14日午後1時、関通の保険会社、弁護士、セキュリティ会社の担当者が緊急会議を開き、関通が加入していたサイバー保険の補償範囲を協議しました。保険会社は「ランサムウェア攻撃による直接的な損害は契約に基づき補償できるが、取引先からの損害賠償や逸失利益の請求は慎重に精査する必要がある」と警告しました。
9月15日午前10時、社内会議が行われました。関東エリアの多くの社員が指示待ちで出社していました。取引先対応は大きく2つに分かれました。1つはWMSなどのシステム外販対応です。
常務取締役・営業本部長の松岡正剛氏が中心となり、新たなアドレス追加や各社ごとの報告ルート整備、定期報告を進めました。
「その時、優先顧客を絶対に漏らさないようにしたことを覚えています」と辰巳社長は語ります。
もう1つは物流現場の状況確認です。情報システム本部は、簡易作業で対応可能な取引先への出荷を進めていましたが、現場からの個別対応は全社対応を優先して停止しました。当時できたのはアナログでの出荷や在庫作業だけでした。
ランサムウェアの再感染防止のため、旧ネットワークや旧PCの使用を禁止しました。スマートフォンをWi-Fiルーター化してテザリングを活用し、可能な範囲で出荷を進めました。新しいPCを購入しオンプレミス環境を構築。秋葉原のシステム開発部(25名)はAWSクラウドを使って「クラウドトーマス」の再構築を進めました。
再構築した新システムについて、経営企画本部長兼情報システム管理部長の辰巳俊元氏は「新システムは従来と同じ機能・操作性を維持しつつ、セキュリティを大幅に強化しました。許可されたアドレスからしかアクセスできないようにし、アプリケーションのバグなどサイバー攻撃の標的となる脆弱性も改善しました」と語ります。
社員へのセキュリティ教育も強化しました。
「メールや標的型攻撃に関する訓練を定期的に実施しています。全員に徹底すべきことが多いため、半年間は週1回のペースで研修を行いました。また、四半期ごとにセキュリティに特化した内部監査も実施。専門家からチェックリストの指導を受け、自分たちで運用しています」と辰巳俊元氏は話します。
緊急時は復旧資金が重要
関通は翌週の9月16日(月)に対策を本格化し、セキュリティ対策の見直しと、インシデント対応可能なセキュリティ会社の選定を進めました。
さらに、社員への現状説明と連携強化を図りました。短期目標として仮復旧を掲げ、各社員の役割を明確化する方針を発表しました。ここで問題となったのは労働環境の正常化です。昼夜を問わず働けば、7日連続勤務や過度な残業などの問題が発生します。そうした事態を防ぐためシフト制を検討し、努力に報いるため残業代を通常の数倍支給することにしました。
「こうした緊急時には、コスト削減よりもいかに早く復旧するための資金が重要です。しかし保険金はすぐには支払われません。そこで複数の金融機関に総額20億円(約1,300万米ドル)の融資を依頼しました。また、社内で最初に発生しやすい風評被害を防ぐため、給与や賞与の支払い遅延は絶対にないと社員に約束しました」と辰巳社長は語ります。
9月18日午後、東京証券取引所への報告を行いました。警察対応は弁護士に任せ、ランサムウェア被害の調査が進められました。目標は「9月末までに50~80%復旧、10月から新システム稼働開始」と共有されました。
9月22日午前8時30分、全社員に「やってはいけないことリスト」が送付され、厳守を徹底しました。リストには「旧PC・旧ネットワークへの接続禁止」「許可なく社外Wi-Fi接続禁止」などが含まれていました。
この時点で、社員間で大きな問題が発生していました。昼夜を問わず復旧作業が行われ、7日連続勤務や残業が常態化していました。以下の対応が決定されました:
- 7日連続勤務を超えた場合は必ず1日休みを与える
- 1日の最大労働時間を10時間に制限する
- 必要に応じて派遣社員を増員する
- タクシー代・ホテル代は会社が負担する
さらに9月24日、個人情報保護委員会に正式対応し、「実際の漏洩は確認されていないが、一定のリスクがある」と結論付けました。
同日、クラウド型WMS「クラウドトーマス」が稼働を開始し、主要顧客のシステムも順次復旧しました。しかしこの時点では、システムはまだ完全復旧していませんでした。そこで他社のWMSを活用し、一部業務を運用しました。
「クラウドトーマスに過度に依存せず、複数のバックアップや外部システムも取り入れられる柔軟な物流システムの必要性を改めて感じました」と辰巳社長は語ります。
事業への影響
クラウドトーマスが稼働しても、すぐに業務が元通りになるわけではありません。システムが攻撃され、すべての請求データが失われました。経理部門は請求業務をゼロから再構築する必要がありました。
そこで経理部門は、旧システムが稼働していた時期の請求データを探し、それを参考に倉庫と連携して出荷記録を1件ずつ手作業で確認しました。また、取引先にも状況を説明し、「システムデータが消失した」と一方的に伝えるのではなく、理解を求める努力を重ねました。
経理部門は各顧客と電話やメールで徹底的に請求金額を確認・説明しました。一部の顧客からは「なぜこんなに金額が高いのか」と詰め寄られることもありましたが、粘り強く交渉し、ほぼすべての請求書を期日通り発行しました。
システムの復旧と同時に、解約防止も重要でした。長期的な関係維持のため、柔軟な価格調整や特別対応も実施しました。営業担当者は個別に何度も顧客と交渉し、「何とか関通を見捨てないでほしい」と願い続けたといいます。辰巳社長は営業部門の会議で「すべての解約を止めるのは難しいが、1社でも多く継続してもらえるよう全力を尽くそう」と呼びかけました。
ただし、顧客ごとに業務フローやデータ管理方法が異なるため、代替策もそれぞれ異なります。営業担当はそれぞれの状況を整理し、個別対応しました。
「最終的に多くのお客様が協力してくださり、本当にうれしかったです。特に楽天市場は『最強配送』という翌日配送・時間指定可能なサービスを提供していますが、納期遅延を考慮して猶予期間を設けてくれるなど、配慮していただきました」と辰巳社長は語ります。
取引先との個別交渉は成功し、関通の主力事業であるEC物流に関わる250社のうち、契約を早期終了したのはわずか2社でした。
しかし、IT部門長は「すべてのお客様を一度に復旧させるのは不可能です」と言いました。
関通の物流業務は自社社員だけでなく、外部協力会社にも支えられています。辰巳社長はこれらの協力会社とオンライン会議を開き、現状と今後の復旧計画を説明し、さらなる協力を要請しました。
すべての旧システムを捨てよ
サイバー攻撃から2週間以上が経過し、関通経営陣はRPAや発注システムの扱いについて重要な決断を迫られました。これらのシステムはサイバー攻撃で完全に停止していましたが、攻撃経路となっている可能性もありました。
「復旧にはどれくらいかかるのか?」
経営陣の問いに、システム担当者は「最低でも1か月はかかるが、復旧しても安全の保証はない」と答えました。
これを聞いた辰巳社長は「思い切った決断をするしかない」と判断しました。その総額は7億円(約460万米ドル)。関通にとって大きな痛手ですが、いつ復旧するかわからないシステムを待つよりはましだと考えました。
「その時、セキュリティ専門家から『泥棒に入られた家は、入口から家全体まで徹底的に調べないと使えません。1~2か月ください』と言われました。しかも調査費用だけで5,000万円(約33万米ドル)を超える。しかし1か月もシステムが止まれば、すべてのお客様が離れてしまう。こうした事情は、いわゆるセキュリティ専門家にはわかりません。3~4日考えた末、『すべての旧システムを捨てて新しく作ろう』と決断しました」と辰巳社長は語ります。
その結果、セキュリティ専門会社2社を1社に集約しました。
「大手セキュリティ会社とベンチャーの2社と組みましたが、大手は調査が専門で復旧に時間がかかる。私たちが求めていたのはスピード感ある復旧です。その点、ベンチャーは仮説を立てながら調査し、問題の本質を見極めて柔軟にリスク最小化の提案をしてくれました。スピードを重視してこの会社を選びました。セキュリティと一口に言っても、どの会社がどこに強いかを見極めることが大切だと痛感しました」と辰巳社長は付け加えます。
システム構築と並行して、取引先への補償も重要です。保険会社は補償範囲の明確化が遅れましたが、関通は取引先への補償額を早急に明らかにする必要がありました。そのためには被害範囲を特定し、保険会社や取引先に説明する必要がありますが、短期間で消失データを復元するのは容易ではありません。データが復元できなければ、個人情報漏洩の有無も判断できず、証拠も残りません。
「サイバー保険にも入っていましたが、保険会社はリスクヘッジ限度額は補償しないと言いました。なぜサイバー保険に入っていたのか分かりません。システム構築や取引先への補償で多額の資金が必要となり、非常にストレスがかかりました」と辰巳社長は語ります。
保険金請求の認定プロセスは、発生から3か月後の12月中旬に始まりました。最終的には全額支払われましたが、システム復旧中はどれだけ保険金を頼れるか不透明でした。金融機関から早期に融資を受けたのは、資金繰り悪化による窮地を回避するためでした。
最終的に関通は、システム刷新に7億円、補償に10億円、合計17億円(約1,110万米ドル)の損失を被りました。それでも10月末には社内向けに、11月1日には社外向けに復旧を発表できました。
「どれだけ守っても、[サイバー攻撃]を完全に防ぐことはできません。インシデント対応マニュアルや復旧計画を事前に準備し、サイバー攻撃を受けても対応できるようにすることが重要だと感じました」と辰巳社長は今回の経験を語ります。
