中堅物流企業、関通がサイバー攻撃にさらされ、大きな被害を受けた。ランサムウェアによりサーバーがロックされ、通信が遮断された。出荷業務は全面的にストップした。このとき関通は業務を立て直すためにどのような取り組みを行ってきたのか、そこにはどのような落とし穴があるのか、実際にサイバー攻撃を経験した関通社長の達城久裕氏に話を聞いた。
すべてのデータは使用不能、500社以上に影響
「ランサムウェアに感染しました。サーバーがロックされたようです」
中堅物流企業、関通社長の達城久裕氏のもとにシステム担当の取締役からサイバー攻撃の報告が入ったのは2024年9月12日木曜日。業務終了を前にした18時15分のことだった。社内のネットワークは完全にダウンし、社内のシステムは完全に停止。社内外の連絡手段が一気に立たれた。
関通(KANTSU株式会社)は、兵庫県尼崎市に本社を構えるEC・通販物流支援のパイオニア企業で、1983年に軽トラック1台からスタートし、現場力やテクノロジーを融合して現在では全国に20以上の物流拠点を展開するまでに成長している。クラウド型のWMS(倉庫管理システム)「クラウドトーマス」を取引先に導入することで、出荷作業の短縮やコストの削減を実現してきた。そんなテクノロジーを駆使して成長してきた関通にとってサイバー攻撃に遭うというのは、死活問題にかかわる重大事件だった。
「単なる通信障害ではないか」と当初は高をくくっていた達城社長はサーバールームを目の当たりにして愕然とした。目の前にあったサーバーの画面には黒い背景に不気味な文字で「貴社のデータは暗号化された」と表示されていた。
調査会社のレポートによると、2024 年 7 月にファーストアタックがあり 8 月にはサーバーへの侵入の形跡があったという。SSLVPN 機器の脆弱性が突かれ、ID とパスワードが漏えいした結果、侵入、9 月 12 日にはサーバーの中身がすべて暗号化されていた。
ネットワークがダウンした翌日の13日午前7時、達城社長は役員を集めた緊急ミーティングを開き、現状を共有して今後の対応について話し合った。そのとき決定したのが緊急対策室の立ち上げと全社的な取り組みについてだ。
全社的には①グループメールの新規設定と緊急連絡先の確保②取引先専用の窓口の設定と問い合わせ対応の準備③インターネット社内アクセスの禁止④主要システムの稼働状況の確認――の4つの取り組みを進めていくことになった。
出荷業務は全面的にストップした。9時から全社員に説明し、10時からは被害状況の把握と対策を開始した。
すでにサーバーは完全暗号化され、すべてのデータは使用不能になり、バックアップの一部は破損、復旧可能データの見極めが必要となっていた。影響を受けた企業数は500社以上に上った。
「復旧を開始した9月13日は金曜日で、土・日・月は連休でした。我々物流業は在庫データがないと何も動かせない。在庫データがロックされていたので、ペンと紙とで棚卸作業をしなければならなかった。土日も3割のお客様には対応していました。しかし7割のお客様はお休みです。これは不幸中の幸いでした」
当時の状況について達城社長はこう語る。
関通は警察や損害保険会社のサイバー攻撃対策チーム、セキュリティ専門会社などとの連携を開始。サイバー保険の適用範囲を確認し、被害額の試算を始めた。
13時からは損保会社のサイバー攻撃対策チームと打ち合わせを行い、①身代金の支払いには絶対応じない②完全復旧には1カ月以上かかる可能性がある③再発防止のためネットワークの完全遮断が必要である――という対応方針を整理した。
そして17時には①アナログ対応を一時的に導入して、業務を再開する②すべてのPCとネットワークを新規に入れ替える③既存システムの復旧よりも、取引先対応を最優先する――という復旧計画を決定した。しかし現実的な復旧作業に突入すると、思ってもみない落とし穴が待っていた。
「最短での復旧を検討しました。自社の利益を度外視して同業他社に荷物の発送を依頼するなど、いろいろなことをやりました」(達城社長)
旧ネットワークや旧PCの使用を禁止
9月14日は13時から損害保険会社、弁護士、セキュリティ会社の担当者との緊急会議を開いた。議題は加入していた損害保険会社のサイバー保険の適用範囲についてだ。保険会社から「ランサムウェア攻撃による直接の被害は契約内容に基づいて、対応できますが、取引先からの損害賠償請求や逸失利益は、詳細な精査が必要です」と釘を刺された。
9月15日は10時から定例の社内ミーティングを行った。関東エリアは多くの社員が出社し、指示を待っている状況だった。取引先対応は大きく2つに分けられ、一つはWMSなどのシステム外販の対応だった。
専務で営業本部統括担当の松岡正剛氏が中心となって、アドレスの追加、各社への報告窓口の設置、定時報告などを実施した。
「私はこのとき、優先顧客への対応漏れがないように念を押したことを記憶しています」(達城社長)
そしてもうひとつが物流現場状況の確認だ。情報システム本部は、単純作業で対応可能な取引先への出庫は進めていたが、現場からの個別支援に対しては全社対応が優先され、停止していた。このとき現場で可能だったのはアナログによる出荷と棚卸作業だけだったという。
復旧にあたっては、ランサムウェアの再感染を防ぐために、旧ネットワークや旧PCの使用を禁止し、スマホをWi-Fiルーター代わりに使うテザリングが活用され、対応できるところはこれで出荷作業を進めた。さらにオンプレミス環境を構築するためPCを新たに購入。秋葉原にあったシステム開発部(25人)がAWSのクラウドサービスを活用した「クラウドトーマス」の再構築を進めた。
再構築された新しいシステムについて経営企画本部本部長と情報システム管理部部長を兼任する達城利元氏は次のように語る。
「新しいシステムには、われわれがこれまで持っていた機能や操作性は踏襲しましたが、セキュリティは大幅に強化しました。許可したアドレス以外はシステムにアクセスできないようにしています。またサイバー攻撃の対象となるようなアプリケーションのバグなどの脆弱性も改善しました」
さらに社員向けのセキュリティ教育などを強化している。
「メール関連、標的型サイバー攻撃に対する訓練などを定期的にやっています。知っていてもらわなければならないことがいろいろありますから、週に1回、半年くらい継続してやっています。また一般的な内部監査ではなく、セキュリティに限定した形の内部監査も四半期に一度やっています。チェック項目は専門家の指導を受け、運用は私たち自身でおこなっています」(達城本部長)
有事に重要なのは復旧のための現金
関通が反転攻勢に出たのは週を跨いだ9月16日月曜日。定例ミーティングではセキュリティ対策の見直しを行い、インシデント対応ができるセキュリティ会社を探した。
さらに社員に現状を説明し、連携を強化。短期目標を臨時復旧と設定し、社員一人一人の役割を明確化する方針を明らかにした。ここで問題になってくるのが労働環境の正常化だった。昼夜突貫で作業をすれば七連勤や残業時間の超過といった問題がでてきてしまう。そうした問題が起きないようなシフトを検討し、さらに社員の労に報いるように通常の数倍の残業手当を支給することを決めた。
「こうした有事の際にもっとも重要なのはコスト削減よりも一刻も早い復旧のための現金です。しかし保険会社からすぐ保険金が支払われるわけではない。そこで、各金融機関にお願いして、計20億円の融資を実行してもらいました。また風評被害は社内から最初に出る恐れがあるので、社員に対しては給与や賞与の支払いが遅れることがないことを断言しました」(達城社長)
東証に報告したのは9月18日午後、ミーティングのあとだ。警察への対応は弁護士に任せ、ランサムウェア被害案件を確認してもらった。そして9月中に5割から8割程度の復旧を目指し、10月からは新しいシステムで対応していくという目標が共有された。
9月22日午前8時30分、守らなければならないルールを徹底するために「やったらアカンこと」リストを全社員に通達。禁止事項を列挙し、「旧PC・旧ネットワークへの接続」「許可なく社外のWi-Fiへの接続」の禁止などを徹底させた。
このとき社員の間では大きな問題が起こっていた。昼夜を徹して行われた復旧作業のため七連勤問題や超過勤務が発生していた。そこで①七連勤を超えた場合は1日休暇を取る②一日の労働時間は最大で10時間以内とする③必要に応じて派遣スタッフを増員する④タクシー代とホテル代を会社が負担するーといった決定事項をまとめた。
さらに9月24日には個人情報保護委員会への正式な対応を行い、「実際の漏洩は確認されていないが、一定のリスクがある」と結論付けた。
さらにこの日はクラウド型倉庫管理システム(WMS)の「クラウドトーマス」の稼働が開始し、主要顧客のシステムから順次、オンラインに戻していった。しかしこの時点ではまだ完全復旧とはいえない。そこで目を付けたのは他社のWMSだ。これを使って一部業務を動かした。
「複数のバックアップを取り、柔軟に外部システムを取り入れ、『クラウドトーマス』に依存しすぎない物流システムの構築が必要だと改めて感じました」(達城社長)
EC物流に関連している取引先250社のうち、早期解約はわずか2社
クラウドトーマスが稼働したからといって業務が正常化するわけではない。システムが攻撃されたことによって請求データがすべて失われた。経理部はゼロから請求業務を組み立てなおさなければならない。
そこで経理部のメンバーは旧システムの機能していた時の請求データを探し出し、それを参考にして、倉庫現場と連携し、出荷記録を一件ずつ手作業で確認。取引先には丁寧に説明し、「システムデータが消えてしまいました」と言い張らずに、理解を求める努力を重ねることに尽力した。
経理部のメンバーたちは、取引先一社ごとに電話とメールを駆使して、請求額の確認と説明を徹底した。中には「どうしてこの金額になるんだ」と詰め寄る取引先もいたが、粘り強く交渉を進め、ほぼすべての請求書を納期通りに発行した。
システムの稼働とともに重要なのが解約の防止だ。長期の関係を維持するために、柔軟な価格調整と特別対応を実施した。「何とか関通を見捨てないでほしい」という思いを抱き、営業担当者たちは取引先と個別の交渉を繰り返した。達城社長は役員と営業部のメンバーを集めたミーティングの中で次のように語ったという。
「すべての解約を止めるのは難しい。しかし一社でも多く、取引を続けてもらえるよう全力を尽くそう」(達城社長)
しかし取引先ごとに業務フローやデータの管理方法が異なるため、対応可能な代替手段も異なる。それをひとつひとつ整理しながら営業は対応していかなければならない。
「結果的には多くのお客様が協力してくださいました。本当にうれしかった。中でも楽天市場は翌日配送やお届け時間指定ができる『最強配送』というサービスを提供していますが、納期が遅れることを配慮して猶予を認めてくれました」(達城社長)
取引先との個別交渉は成果をあげ、関通の主力事業であるEC物流に関連している取引先250社のうち、早期解約はわずか2社にとどまった。
ところが今度はIT部門の責任者からは「すべてのお客様を一度に復旧させるのは不可能です」といった声が上がってきた。
関通の物流を支えているのは自社の従業員だけではない。外部の協力会社の力も大きい。達城社長はこうした協力会社とのオンラインミーティングを開き、現状の説明と今後の復旧方針を説明、さらなる協力を要請した。
古いシステムはすべて捨てる
サイバー攻撃から2週間以上経過したころ、関通の経営陣は重要な決断に迫られた。これまで導入してきたRPAや受発注システムの扱いだ。サイバー攻撃によって完全に停止してしまったが、これらのシステム自体が攻撃の経路になっている可能性がある。
「復旧にはどのくらいの時間がかかるのか」
そんな経営陣の質問にシステム担当者は「早くても一か月ですが、復旧しても安全性の保証はありません」という答えが返ってきた。
これを聞いた達城社長は「思い切って切り捨てるしかない」と判断したという。総額にして7億円。関通にとっては大きな痛手だが、いつ復旧できるのかわからないシステムを待つよりはましだ。
「このとき私はセキュリティの専門家から『泥棒が侵入した家は、その侵入経路から何から調査しないと使えません。だからしっかり調査しましょう。そのためには1カ月から2カ月の時間をください』といわれました。しかもその調査費用だけで5000万円を超える。しかしシステムに1カ月もかけたら、お客さんみんな出ていってしまいますよ。そうした事情もセキュリティの専門家といわれる人たちにはわからないわけですよ。3、4日考えた末、『古いシステムはすべて捨てて新しいシステムを構築しよう』と決断しました」(達城社長)
そこで2社あったセキュリティ専門会社を1社に集約した。
「当社は大手のセキュリティ会社とベンチャー系の2社と組んでやっていたのですが、大手は復旧というより調査が専門だったんですね。調査には時間がかかる。私たちが求めていたのは復旧のスピード感だったのです。その点ベンチャー系の会社は迅速に動き、仮説を立てながら調査を進め、問題の本質を見極めながらリスクを最小限に抑えるための柔軟な提案をしてくれた。私たちはスピード感を求めていたことから、こちらの会社を選択しました。セキュリティひとつをとっても、どの会社が何に強いのか、しっかり見極めることが重要だとつくづく思いました」(達城社長)
システムの構築と共に重要なのが取引先に対する補償だ。どこまで損害保険でカバーできるのか、保険会社はなかなか旗幟を鮮明にしなかったが、関通としてはいち早く取引先に対してどこまで補償するのか、明らかにしなければならなかった。そのためには被害状況を確定して保険会社や取引先に説明する必要があるが、いったん消失してしまったデータを短期間の間に復活させることはそう簡単なことではない。データを復活できなければ個人情報の流出の有無を特定できず、名言できる材料もない。
「サイバー保険も入っていました。しかしリスクヘッジの上限は出しませんと保険会社が言いだしたわけですよ。これでは何のためにサイバー保険に入っていたのかわかりません。システムの構築や取引先の補償などでかなりの現金を必要としますから、相当ストレスを感じました」(達城社長)
保険金の認定作業に入ったのはインシデント発生から3か月後の12月中旬のことだった。最終的には満額支払ってもらえたが、システム復旧中はどれだけこの保険金をあてにできるかはわからなかった。金融機関からいち早く融資してもらったのも、資金繰りが悪化して窮地に立たされることを回避するためだ。
最終的に関通はシステムの刷新に7億円、賠償などで10億円、計17億円の損失が発生した。それでも10月末には社内向け、11月1日には社外に向けて復旧宣言を行うことができた。ところでサイバー攻撃に対してどう対応すればいいのだろうか。実際の経験を踏まえ、達城社長は次のように語っている。
「サイバー攻撃に対する防御はやらなければならないと思います。しかしどんなに防御しても防ぎきれるものではありません。サイバー攻撃を受けたとしてもそれに対応できるようなインシデントマニュアルや復旧プランなどを事前に作っておくことが重要です」(達城社長)
