事業停止50日、被害額17億円――物流の「関通」社長が語るランサムウェア感染、復旧までのいきさつと教訓：「インシデント対応はお金がなかったらでけんのです」

　関通は1983年に創業した物流企業だ。日本でインターネットが普及し、ECが広がり始めた2000年ごろからECおよび通販事業に着目して急成長を遂げ、2020年には東証グロース市場に上場を果たした。また、物流事業を支えるWMS（倉庫管理システム）の「クラウドトーマス」を社内のIT部署で独自に開発し、他企業にも提供してきた。

　そんな同社がランサムウェアに感染したのは、2024年9月12日のことだった。

関通 代表取締役社長 達城久裕氏

　「夕方6時半に、システム担当の取締役から『ランサムウェアにやられました』という電話がありました。PCも何も一切使えない状態となり、『これからどうなんねんやろう、何したらええのやろう』としか考えられませんでした」

　後から判明したことだが、このとき関通が感染したのは「Akira」と呼ばれるランサムウェアだった。VPN（仮想プライベートネットワーク）機器の脆弱（ぜいじゃく）性を突かれてシステムに侵入され、事業を支えるWMSをはじめさまざまなサーバが暗号化され、使えない状態に陥った。

　ドラマや映画ではよく、想定外の事態に直面した登場人物がヘナヘナと膝から崩れ落ちる場面が登場する。達城社長もまさにそんな状態で、「自分自身の無知や無力さを思い知り、いろんな感情が入り交じって、当日はもう歩けないくらい力が入りませんでした」と振り返った。

　システムが完全に停止したため、出荷業務など物流事業も全面的にストップせざるを得なかった。「1円も稼ぎが出ない状態がこれから続くんやな、ということが想像でき、会社の倒産も脳裏をよぎったのが、それから2カ月間の心境でした」。結局同社は、約50日間にわたって通常業務を停止せざるを得ない状態に陥り、被害額は延べ約17億円に上った。

　年商約150億の同社にとって、決して少なくない打撃となってしまった。

インシデント対応時の社長に必要なのは「即決」と「資金調達」

　混乱と絶望のさなか、同社はまず「緊急対策本部」を立ち上げた。そして、加入していたサイバー保険の損害保険会社に連絡を取り、警察、個人情報委員会などへ報告しつつ、サイバーセキュリティ専門企業4社の協力を得て本格的な対応に取り組み始めた。

　経営者として決断していかなければいけないことは山のようにあった。

　まず1つ目は、暗号化されてしまったサーバも含めたIT資産をどう復旧させるかだ。被害が顕在化しているシステム以外のどこかにランサムウェアがまだ潜んでいる恐れもある。しかし、セキュリティ専門家の説明を聞くと、感染の有無を調査するには約1カ月の期間と多額の費用がかかることも分かったという。

　「われわれの本業はECの物流です。EC事業を展開しているお客さまの出荷が1日でも止まると、大変なことになります。ましてやそれが1カ月ともなればお客さまにとっても死活問題であり、われわれは被害者でありながら、お客さまにとって加害者となる可能性が十分にあると考えました」

　そこで、約7億円を投資してきた十数台のサーバに約500台のPC、1200台のハンディーターミナル、それらにまつわるアプリケーションといったITシステムをいったん全て捨て、再構築するという大きな決断を下した。

　これほど思い切った決断ができた要因の一つは、システム開発をインテグレーターなどに外注しておらず、約30人体制の開発チームを持ち、全て自社内で開発していた点だったという。担当部署から「一から作っても何とかなる」と回答が得られたため、全て捨てることにした。

　達城氏は、インシデント対応において一番重要なことは、このように社長として「即決」することだと述べた。

　「聞かれたことがあれば『それはちょっと後にして』とは言わず、その判断がたとえ間違っていたとしても即決していったことが、会社が存続できている理由の一つではないかと思います」

「インシデント対応はお金がなかったらでけんのです」

　他にも、経営者にしかできない重要な仕事があった。資金調達だ。

　関通のケースでは、損害保険会社から紹介された1社とその他3社のセキュリティ専門企業や専門家に支援を依頼した。すると当然ながら支援費用がかかる。緊急対策室に専門家が詰めると1日当たり約100万円、フォレンジック調査を依頼すると1ノード当たり約250万円という額を請求されたという。

　一方で、本業が止まるため収入は1円も入ってこない。そのままでは会社の信用が損なわれ、立ちゆかなくなることは明らかだ。

　「借りることをちゅうちょしていたら、間違いなく会社がつぶれます」と達城氏。複数の金融機関に緊急支援を申し込み、20億円の資金を調達した。そして、この資金調達の根拠として、「いくら損するか、そしてどのような見込みで返済するかの仮定、仮説」を持つことが重要だと述べた。

　資金がなければ、外部からの信用が失われるのはもちろんだが、内部からも崩れていく恐れがある。関通の場合も、ランサムウェア感染被害が明らかになった後、社内のどこかから「うちはつぶれるんじゃないか」といううわさが流れ始めていたという。

　そこで達城氏は、関通の全ての拠点を回り、約1200人の従業員に対し、「1円も稼げない状況でも保ち得るだけの十分な資金調達をしたから安心して働いてほしい」と自らの口で伝え、「風評被害」をなくしていった。

　なお、用意したお金の使い道だが、達城氏の実感としては「調査」、いわゆるフォレンジックに投じてもあまり意味がないという。「調査し、侵入経路やいつ感染したかが分かっても、復旧できなければ意味がありません」。調査に資金を投じるよりも、復旧へのアプローチを支援してくれる専門家を探すべきだと痛感したという。

　もう一つ、達城氏が資金を投じたのは、インシデント対応に当たる社員が疲弊しない環境作りだった。通常の規定では残業代が付かない役員や管理職にも特例として残業手当などを支給した他、帰宅タクシー代や近隣のホテル代を支給した。「普段はやっていなかったことをどんどん許可し、会社の危機に率先して対応する社員にお金を使いました」

一息つくまでに要した50日間

　関通がシステムを復旧させ、ランサムウェアの影響から脱して業務を再稼働し始めるまでには50日もの日数がかかった。

　再建に向けた道のりを歩む中で達城氏が重視したのは、しっかりとした意思疎通に基づく社内連携だ。単に「言った」「伝えた」で終わるのではなく、相手に意図がしっかり伝わったことを確認できての意思疎通であるという認識の下で対応作業を進めたことで、軽微なミスこそあったものの、重大な抜け漏れなく復旧を進めることができた。

　システムの再開発、再構築に当たっては、初めからセキュリティを考慮して進めていったが、「社内にあったシステム開発部の尽力と、CISO社の支援が大きな力になった。残業時間も並外れた規模になったが、過分な支払いになっても気にしないという気持ちでしっかり手当を支払った」という。

　もう一つ重要な仕事が、影響を被った顧客や関係者への説明だ。「一斉通知のような形で一律に知らせることは極力避け、お客さまごとにそれぞれ現状を報告する形で進めました」

　たまたまサイバー保険に加入していたことも幸いした。インシデント発生以降3カ月ほど、保険会社と保険の適用範囲について何度もやりとりを重ね、最終的に一部支払いが降りることが決定したときには、涙があふれたほどだったという。

　社内に復活宣言が出せたのは2024年10月末のことだった。ただ「それでも、本当に傷が癒えたと言えたのは年が明けてからでした。それまでは息をつける感覚がありませんでした」と、あらためて経営者が負う責任がいかに大きかったかを振り返った。

100％は防げない、復旧時間を短縮するプランBが肝心に

　達城氏は、自社のランサムウェア攻撃被害の経験を経て「われわれは、セキュリティ対策については専門家に一任して『これでわが社は大丈夫』と思っていた、無防備な会社でした」と反省を語った。

　インシデントを経験して唯一良かったと言えるのは「ひとごととして捉えていたセキュリティを自分事として捉え、経営の重要事項として取り組まなければいけないとガラッと変わることができただけだ」という。

　関通は、ランサムウェア攻撃被害から再建する道のりの中で、セキュリティを考慮したシステム、ネットワークの構築や社員教育といったさまざまな対策を実施してきた。こうした予防措置も重要だが、「それでも100％は防げないと思っておくべきです。攻撃を受けてから復旧までの時間をKPI（重要業績評価指標）として持っておくことで、強靱（きょうじん）な体制が組めると思います」という。

　同氏は、ランサムウェア攻撃被害に遭い、思い出したくもないほどの思いをした当事者として、「攻撃を無力化するのは復旧までの時間である」と痛感したという。そして、インシデント対応マニュアルを整備し、攻撃を受けても迅速に復旧できる体制を整えておくこと、つまり「プランB」を用意して復旧までの時間を最小化することが非常に重要であると訴えた。

　インシデント対応マニュアルを策定し、さらに、いざという際にマニュアル通りに動けるかどうか、その実効性を確認、検証する「サイバーセキュリティ訓練」を2025年9月12日に実施した。「40分という復旧時間を目標にしています。サイバー攻撃を受けても40分で復旧できれば、攻撃の無力化につながるのです」

　そして、こうした取り組みが、サプライチェーンでつながる顧客や取引先からの評価にもつながるとした。復旧までに要する時間が短ければ短いほど、被害額は小さくなる。極端な話、ものの数十分で復旧できれば、関係各所や顧客への報告、説明も不要となるためだ。

　事実、関通は2025年5月ごろにも不正アクセスを受け、Webサイトを改ざんされる被害に遭った。だがこのときは2時間程度で復旧でき、事業へのインパクトはなかったという。

　仮に今すぐプランBの作成が難しいとしても、「もしランサムウェア攻撃を受けた場合の被害額はいくらになるか」を想定しておくだけでも効果はあるという。また、サイバー保険への加入や社員教育も有効だとした。

　この数年、ランサムウェア攻撃は国内でも多発しているが、被害に遭った企業が積極的に情報発信するケースはほとんどない。恥ずかしさや悔しさがあってのことだろうが、達城氏はそれ以上に被害に遭った当事者として「攻撃を無力化するのは、復旧までの時間短縮である」と訴え、未来に備えてほしいと呼び掛けたいという。

　また、転んでもただでは起きないではないが、一連のいきさつを『サイバー攻撃　その瞬間　社長の決定』と題する書籍にまとめた他、“プランB”の策定を支援するサービス「CYBER GOVERNANCE LAB」の提供も開始し、他の中小企業が同じような苦い経験を繰り返さなくても済むよう、支援を開始している。

　日本ではセキュリティインシデントに遭ったこと自体を恥と考え、当事者から「実のところ」が語られるケースはまれだ。関通の代表である達城氏の生の声には迫力があり、技術以外の「金」「人」の観点での教訓も、自社のランサムウェア対策に取り組む上で参考になる点は多いはずだ。

　そして、セキュリティ専門家の支援内容や経営者の期待にはギャップがあった点は、有事の際、専門家と経営層が円滑な意思疎通を図る上での課題と言い換えられるだろう。100％防ぐことが困難だからこそ、有事の際にどのような課題が生じるのかを踏まえ、対策に乗り出すべきではないだろうか。