サイバー攻撃の教訓
～関通情シスが語る、全て捨てて挑んだ再構築。防御から復旧へ～

2025年10月28日掲載

サイバー攻撃の教訓～関通情シスが語る、全て捨てて挑んだ再構築。防御から復旧へ～ランサムウェア被害のリアル

2024年9月12日、株式会社関通のシステムが突如停止。在庫管理システムがダウンし、社内外に混乱が広がりました。原因はランサムウェア「アキラ（Akira）」による攻撃です。その後、関通は全てのシステムを廃棄し、ゼロから環境を再構築するという大胆な判断を行いました。

本シリーズの初回では、同社代表の達城社長から経営判断や体制整備に関するお話をうかがいました。第2弾では物流・受注部門の担当者から現場での混乱とお客さま対応の実情を紹介。そして第3弾となる今回は、情報システム部門の方に攻撃の発覚から再構築までの取り組みと教訓についてうかがいました。

お話をうかがった方

株式会社関通
経営企画本部情報システム管理部

達城利元氏

攻撃当時のセキュリティ体制と被害の発覚

サイバー攻撃を受けた2024年9月当時の状況について、達城氏は次のように語ります。

達城氏「データセンターでサーバーを集中管理しVPN経由でアクセスしていました。PCやサーバーには全社的にウイルス対策ソフトを導入しアップデートを行い、常に最新の状態を維持していました。また、プライバシーマーク（Pマーク）やISO認証も取得しており、認証更新の際には社員向け教育も実施していました」

ただ、当時は情報システム管理部が未設置であり、体制的な課題はあったといいます。

達城氏「情報システム管理部が立ち上がったのは2024年11月（サイバー攻撃後）です。2020年上場時に経営企画が中心となりシステム導入を進めていましたが、組織変更もあり主管が曖昧な状態でした」

体制的な課題はあったものの、一般的な企業で行われるセキュリティ対策と同等レベルの対策を行っていた関通。しかし、2024年9月12日の夜、勤怠管理システムと在庫管理システムをはじめ、ファイルサーバーやその他システムがほぼ同時に停止しました。

達城氏「（データセンターのサーバーで稼働していた）勤怠管理システムが止まったのが最初の異変でした。退勤時刻と重なり『打刻ができない』という報告が18時ごろに入ってきました。ほぼ同時に在庫管理システムへアクセスできないという連絡が入り、開発担当がデータセンターの状況を確認するとサーバーが全て暗号化されていました」

暗号化されたフォルダの中に“READ ME”というテキストファイル、いわゆるランサムノート（脅迫文）が残されており、ランサムウェア攻撃であることが即座に判明したと言います。

被害発覚と初動対応：感染拡大を防ぐための即時遮断

発覚当夜、関通では被害確認と感染拡大防止を最優先に初動対応を開始しました。

達城氏「12日夜の時点でデータセンターに向かい、サーバーからLANケーブルを抜き、ネットワークから物理的に切り離しました。感染を広げないことを最優先にしました」

また、経営層や警察への報告を速やかに行い、ランサムノート（要求内容、連絡先など）を保全。被害が広がりやすいファイルサーバーなどの共有リソースへのアクセス制限やVPNなど外部アクセス経路の遮断、ネットワークセグメントの分割など対策を12日夜から13日にかけて実行しました。

達城氏「侵入経路をすぐに特定するのは難しい状況でした。どこまで侵害されているか分からない環境を使い続けるリスクを避けるため『すべて捨ててやり直す』という方針が13日夜に決定しました」

この決断により、PC450台の総入れ替えを含むシステム全面再構築を決定するとともに対策に乗り出しました。

「全て捨てて」挑んだ再構築と直面した課題

最初の課題は、在庫データの消失であったと語ります。

達城氏「在庫管理システム上のお客さまの在庫データが全て暗号化され、業務を継続できなくなりました。そこで、各倉庫にあるPCを調査し、前日や数日前など直近で出力されたcsvデータを探して復元していきました。データがない場合は、全て手作業で棚卸を行いました」

サイバー攻撃翌日の9月13日は全出荷作業を止めて、在庫データ探索やデータ復旧に専念。急遽、棚卸用のアプリを社内で開発し、直近のcsvデータを利用しながら、在庫データを少しずつ再作成しはじめました。在庫管理システムの要である在庫データの復元を行いながら、まずは出荷業務を復旧させるために、機能を絞ってシステムを作っていったと続けます。

達城氏「もともとの在庫管理システムはお客さまごとのカスタマイズ要件が多く、レイアウトや仕様がお客さまごとに異なっていました。しかし、これらの要件整理には時間を要するため、まずは入出庫などの基本機能に絞りにシステム復旧を進めました」

インタビューの様子（達城氏）

優先順位をつけながら、システム構築を進めた関通。

また、オンプレミスサーバーで動いていた一部のお客さまには、外部にあったソースコードも活用して新規でサーバーを立てて、翌13日から3連休中（14〜16日）の間に復旧させました。残りのパブリッククラウドで動いていたシステムは基本機能から作り直し、在庫データができた企業から作業を進めていきました。

次に優先されたのは勤怠管理システムだったと達城氏は語ります。

達城氏「従業員の約7割がパート・アルバイトで、時給計算を行うための勤怠データが必須であり、何とか給与計算できる体制を進めていきました。約1週間後の9月20日にクラウド型の勤怠システムを導入し、ひとまず打刻できる状況を整えました」

システム再構築を進めていった関通。在庫管理システムとして本当に復旧してきたと感じたのは1.5カ月後ぐらいであり、それでも復旧具合は7〜8割の体感であったと達城氏は語りました。

端末の総入れ替えとコスト負担

感染リスクを根本から排除するため、全てのPCを新調する判断を13日には行っていた同社。入れ替え作業自体は約10日間で完了しました。

達城氏「13日には旧環境での復旧をしないと方針が決まったため、急いで調達を進めていきました。PC450台を全て入れ替え、サーバー8台も新規購入し入れ替えました。攻撃前のデータは移行せず、残っていた在庫データなど必要最小限の情報のみをテキストデータで共有しました」

結果として、PCやサーバー費用、システムなどを含む 固定資産の除却損^※が約3億円。 残業代や派遣、委託業者の人員増などの 復旧関連費用が約4億円。お客さまへの賠償約10億円を含めて、合計17億円以上の損失計上 を行ったと言います。

※事業で利用していた装置やソフトウェアなどを廃棄した際に帳簿上から除外すること。

新たなセキュリティ体制：防御から復旧へ

そうした対応と同時に、13日にはフォレンジック調査（サーバーやPCなどのデジタル機器に残ったログや履歴などを調べること）を手配しエンジニアによる調査を開始しました。約2週間ほどで速報による調査結果がでて、ネットワークログの解析から VPN認証情報の漏洩によるサーバー侵入が原因 であったことが判明しました。

これを受け、関通では以下のような包括的なセキュリティ体制の見直しを行っていきました。

・EDR（端末監視・防御システム。Endpoint Detection and Response）をPC、サーバーに導入

・通信回線をすべて刷新しUTM（統合脅威管理）を適用し、VPNを廃止

・ID統合管理（IDaaS）とSSO（シングルサインオン）を導入し、認証環境を一元管理

・標的型メール対策、WAF、脆弱性管理システムの運用開始

・インシデント対応フローの設計や情報セキュリティ管理規定を設定

・CSIRT（セキュリティインシデント対応チーム。シーサート）の設立

・全社員向け15分のショート勉強会を毎週開催

達城氏「毎週15分の全社員向けショート勉強会を実施し、規定の変更や注意点を伝えるだけでなく『これはやってはいけない』という意識の定着化にもつなげています」

今回の経験を通して、より復旧が重要であると認識したと達城氏は続けます。

達城氏「予防や防御についての理解はある程度深まってきたかと思っています。しかし、理解が深まったからこそ、サイバー攻撃は完全に防げるものではないという考え方に至りました。我々企業はツールを使って防ぐしかなく、攻撃者側の技術が上回ります。そのため、会社として注力すべきは『どれだけ早く復旧できるか』だと考えるようになりました」

セキュリティは経営課題。コストではなく、信頼性への投資

今回の教訓を踏まえて、関通では9月12日を「サイバーセキュリティ訓練日」と定め、攻撃シナリオを再現した復旧訓練を実施しています。

達城氏「今年の訓練で、パブリッククラウド環境に構築している在庫管理システムでは26分で復旧できることを確認できました。ほかのシステムでもどのくらいで復旧できるのか、リスクアセスメントを行いながら目標設定しようと考えています。たとえサイバー攻撃であっても1時間程度で復旧できるようになると、一般的なネットワーク障害と同等の影響に抑えられるのではと考えています」

さらに達城氏は、セキュリティ対策は「コスト」ではなく会社存続のための経営課題と捉える重要性を強調します。

達城氏「まず、復旧のプロセスを決めておくことが第一です。そのために会社にはどんな情報があり、どこにあるか、バックアップがあるかを知っておいてほしいです。情報システムだけでなく、経営者の方も理解しておくべきだと思います。これはサイバー攻撃だけではなく、災害時のBCP（事業継続計画）にもつながります。会社存続のために経営者が必須で取り組むべきところだと考えています。
関通では、自社の経験を共有するために、会員制プログラムのサイバーガバナンスラボを立ち上げました。復旧方法やアセスメントなど何をすればいいか分からない企業に向けて、当社の経験を伝えていきたいと思っています」

また、経営層がセキュリティ対策に渋る場合、情報システム部門として上申する際のポイントについても語りました。

達城氏「セキュリティ対策と営業活動とリンクをさせて経営層へ伝えるべきだと思っています。他社と取引を開始する際に財務情報の与信を確認するのと同じように、セキュリティレベルも評価項目に入っていくのではないかと考えています。経済産業省も『サイバーセキュリティ経営ガイドライン』を出し、世の中の流れがサイバーセキュリティの強化に向いています。
例えば、同じ価格の競合サービスがあった場合『対策している会社としていない会社のどちらをとりますか。被害リスクがある会社と取引しますか』という営業トークができます。そこを経営層に伝えてあげることで、セキュリティ対策をコストとせずに『将来の信頼性アップに向けた投資』として見れるようになるのではないでしょうか」

まとめ

関通が経験したランサムウェア被害は復旧体制の重要性を浮き彫りにしました。達城氏の言葉は、同じように日々システムを守る情報システム担当者にとって、現実的かつ力強いメッセージです。今回のお話から導かれる学びとして、次のポイントが挙げられます。

経営層も情報資産とバックアップの所在を把握すること。
業務優先度に基づいた復旧設計を行うこと。
定期的に復旧訓練と教育を実施し、対応力を維持すること。
セキュリティ投資を「信頼を築くための施策」として位置付けること。

サイバー攻撃は、どんなに防御を固めても完全に防ぐことはできません。だからこそ、「防御」と「復旧」を両輪で考えることが重要です。

まずは、EDRやネットワークセキュリティなど土台を整えつつ、認証環境の一元管理や標的型メール対策、脆弱性管理などのセキュリティソリューションをしっかり導入し、攻撃を受けにくい環境を整えること。その上で、バックアップ体制や復旧手順、社内訓練といった『復旧力を高める取り組み』を段階的に進めていくことが現実的な第一歩となるでしょう。

今回は関通様の体験を通して、サイバー攻撃の教訓をお届けしました。本記事が全国の企業さまのセキュリティ環境を見直すきっかけになれば幸いです。

ソフトバンクでは、ネットワークやモバイル端末、クラウド環境など、企業を取り巻くさまざまなリスクに対応したセキュリティソリューションをご提供しています。お気軽にご相談ください。

AIによる記事まとめ

この記事では、関通がランサムウェア攻撃を受けた際の情報システム部門の対応と復旧プロセスを紹介しています。攻撃発覚から全システム廃棄、再構築までの過程や、在庫データ復元、コスト負担、新たなセキュリティ体制の構築について詳しく解説しています。経営層の関与や「防御」だけでなく「復旧」の重要性を強調し、セキュリティ対策を信頼性向上の投資と位置づける必要性を提言しています。

※上記まとめは生成AIで作成したものです。誤りや不正確さが含まれる可能性があります。