アサヒ、アスクルに学ぶ サイバー攻撃後に「信頼を落とさない会社」がやっていること

[大杉春子，ITmedia]

　Facebookタイムラインに、知人のこんな投稿が流れてきた。

　「ついに社食にもランサムウェア被害の影響が……。」

　どうやらアスクルの物流が止まったせいで、社食の紙ナプキンが不足しているらしい。最近ニュースで報道されている「システム障害」が、こんな形で生活に入り込んでいる現実を実感した。

　9月末、アサヒグループホールディングスがロシア拠点のランサムウェア集団「Qilin」（キリン）によるサイバー攻撃を受けた。国内全システムが暗号化され、生産・出荷・受注業務が全面停止。個人情報や内部文書の暗号化と窃取・公開脅迫が確認された。

　続いて10月、アスクルがランサムウェア攻撃を受け、社内システムが感染。物流子会社であるASKUL LOGISTICS（アスクルロジスティクス）のシステム障害が発生し、受注・出荷業務が全面停止。この影響は、物流業務を委託している取引先企業、良品計画（無印良品）、ロフト（ロフトリアルネット、ロフト）、そごう・西武（セブン&アイ・ホールディングス傘下）などに波及し、間接的な被害を生じさせた。

　どちらも出荷や受注などの中核業務が一時停止し、「デジタル化された企業活動の心臓が止まった」などと報じられた。だが今回のテーマは、攻撃そのものではない。問いたいのは、「攻撃を受けたあと、企業がどう信頼を守ったのか」という点だ。

問いたいのは、「攻撃を受けたあと、企業がどう信頼を守ったのか」という点だ（写真提供：ゲッティイメージズ）

【訂正：2025年11月7日午後5時15分　記事公開時点で一部、誤りがありました。該当部分を削除し、再公開しました】

ランサムウェア対応と“普通の危機対応”の違い

　食中毒とサイバー攻撃、どちらが怖いと思うのだろうか。おそらく一般的には「食中毒の方が命に関わるから怖い」と答える向きが多いのではないか？　だが危機管理広報の現場では、サイバー攻撃の方が怖い。理由は単純で、「見えないから」だ。食中毒なら、原因や回収、再発防止策という“お決まりの流れ”がある程度見えている。

　しかしランサムウェアの場合、誰が、いつから、どのデータを盗み、どこに拡散させたのかが分かりづらい。目に見えない被害を、誰にでも伝わる言葉に翻訳する。その難しさが怖い。また、一般的な危機――地震や製品トラブルなど――には「終わり」がある。地震なら復旧、製品事故ならリコールが完了すれば、一段落つく。

　ところがランサムウェアは「終わり」が見えない。攻撃が本当に止んだのか、再感染のリスクはないのか。企業も顧客も、誰も確信が持てない。この“終わりの見えなさ”こそが、企業の信頼を蝕（むしば）む。

　欧州連合（EU）のサイバーセキュリティ機関ENISAが、2024年に公開したサイバー危機の管理に関するベストプラクティスをまとめた報告書「Best Practices for Cyber Crisis Management」と、コーネル大学が2024年に公開した、運営するデータ侵害時の危機コミュニケーション戦略を分析した論文「Crisis Communication in the Face of Data Breaches」を元に、「一般的な危機」と「ランサムの対応」の共通点と差異をまとめた。

「一般的な危機」と「ランサムの対応」の共通点と差異（筆者作成）

　この一覧からも分かる通り、ランサムウェアの広報対応は、一般危機（地震：自然災害、食品事故：健康リスク、製造トラブル：製品欠陥）と共通のフレームワークを共有しつつ、サイバー特有の複雑さ（データ漏洩（ろうえい）脅威、身代金倫理）が差異を生む。

　研究では、全ての危機で「共感・正確・継続更新」の原則が有効であり、信頼回復率は、迅速開示で20〜30％向上するとされている。一般的な危機は「目に見える被害」（崩壊・中毒）で、即時謝罪が中心に対し、ランサム対応はサイバー専門広報チームの必要性が高いことが示されている。

被害は「発生」より「発表」で評価される

　ランサムウェアは「いつ」「どこで」仕込まれたかが見えにくく、発覚までに時間がかかる。感染を完全に遮断し、社内システムを安全に再稼働させるには専門調査が欠かせない。つまり、被害を「確認した瞬間」から「公表できる状態」までには、通常の危機対応よりも時間がかかるのだ。

　それでも、信頼を落とさない企業には共通点がある。

“不完全でも、最初の一報を出す”

　冒頭で紹介したアサヒグループホールディングスは、攻撃を検知した翌日に「システム障害により一部業務を停止」と公表し、数日後には原因がランサムウェアであることを明かした。「顧客情報への影響は確認中」としながらも、「対応状況を随時更新する」と明記したことで、報道やSNSでの憶測拡散を抑えた。

　一方で、アスクルは「LOHACO」などの通販事業への影響を詳細に説明し、進捗を段階的に発表。配送の遅れに対して「お詫び」よりも「現状共有」を重視し、誠実な印象を残した。

　では逆に、発表が遅れた場合、何が起こるのだろうか。2025年4月に起きた近鉄エクスプレス（KWE）のランサムウェア被害を振り返りたい。KWEは、近鉄グループ傘下の国際物流企業として、世界中の貨物輸送を担う。2025年4月23日未明、国内サーバがランサムウェアに感染し、基幹システムが停止。貨物の受注・追跡・通関業務が止まり、全国の物流がほぼ麻痺状態に陥った。

　このタイミングは大型連休前。製造業や医療関係など、サプライチェーン全体に影響が及び、日本航空（JAL）の貨物便にも遅延が発生した。この時もアスクル同様「システムの停止」は、一企業の問題にとどまらず、社会インフラ全体のリスクに発展した。発生当日の4月23日、KWEは「システム障害により貨物輸送を停止」と発表した。

　しかし、ランサムウェア攻撃であることを正式に認めたのは5日後の4月28日。その間、同社のWebサイトやSNSでは「障害」「復旧作業中」という曖昧（あいまい）な表現が続いた。

　一方で、メディアや物流業界関係者の間では「攻撃ではないか」との憶測が広がり、報道が公式発表より先に出る“情報逆転”が起きてしまった。ここで問題となったのは、「事実を隠した」わけではなくても、説明の遅れが“隠している印象”を与えたことだ。広報の世界では、“誤解を生む沈黙”は“間違った発表”と同様、大きなダメージを与えることがある。この時は結果として、被害の中身よりも“対応の遅さ”が企業イメージを傷つけることになった。

　5日間の沈黙の間に、SNS上では「顧客データが流出している」「輸出入の書類が暗号化された」など、確証のない情報が広がった。実際には個人情報の流出は確認されていなかった。公表の遅れが憶測を呼び、信頼回復を難しくしたと考える。

　一方、アサヒやアスクルのように「調査中」と明言したうえで段階的に情報を出す企業は、憶測が広がる余地を狭められる。KWEの対応が全て悪かったわけではない。

　むしろ復旧スピードは非常に速く、4月30日にはほぼ復旧、5月6日には全面再開を果たしている。社内では即日で緊急対策本部を立ち上げ、外部専門家と連携して原因調査や復旧作業を行った。 技術対応そのものは適切であり、危機管理体制として高く評価できる。

　だが、復旧作業と並行して、コミュニケーションの設計において、情報発信の「誰が・いつ・どの言葉で」行うのかが決まっていなかった可能性が高い。そのため、「社内では頑張っているのに、外から見ると何も見えない」状態が生まれた。

危機広報の本質は「防御」ではなく「説明」

　アサヒやアスクル以外にも、ランサムウェア攻撃を受けながら信頼を保った企業はある。以下に、過去1年以内に起きた国内の好事例を紹介したい。

KADOKAWA（2024年6月）

　KADOKAWAは、動画配信サービス「ニコニコ動画」などを含むネットワーク全体が攻撃を受け、従業員・取引先・教育関連を含む25万人以上の個人情報が流出した。

　同社は被害確認の数日後には「社内システムがランサムウェア攻撃を受けた」と公表し、公式サイトで影響範囲を明確にした。特に「ニコニコユーザーのアカウントやクレジットカード情報には影響なし」と早い段階で説明したことが、ユーザーの動揺を抑えた。また、復旧の進捗を月単位で発信し、社員教育やフィッシング対策の強化を積極的に発信した。

カシオ計算機（2024年10月）

　カシオは海外経由の不正アクセスを受け、業務データや個人情報が流出した。

　初報で「顧客のクレジットカード情報への影響は確認されていない」と明確にし、続報では原因や再発防止策をIR資料の中で説明。社員教育やシステム強化の取り組みを同時に発表した。商品発売の遅延という直接的な影響はあったが、株主総会で復旧計画を開示したことが、逆に「誠実に向き合う企業」という印象を残した。

　英国のサイバーセキュリティ企業、ソフォス（Sophos）が実施した「ランサムウェア被害後の復旧と広報対応」を分析した調査によれば、97％の企業が3カ月以内にシステムを復旧させているにもかかわらず、信頼回復の速度には大きな差があるという。

　その差を分けたのが、「事実ベースのストーリーテリング」と呼ぶ対応――つまり、被害の経緯と回復の道筋を“具体的な行動”として説明する力だった。単に「調査中」と言うだけでなく、「どのシステムを復旧し、次に何をするのか」を発信した企業ほど、株価やブランドイメージの回復が早かったという。結局のところ、攻撃そのものではなく、「どのように語ったか」が信頼を左右する。

　システムの復旧スピードと同じように、コミュニケーションのスピードも企業の生命線なのだ。ランサムウェア対応で信頼を保った企業に共通しているのは、「正確さ」と「誠実さ」を両立させる仕組みを、平時から準備していたことだ。調査が終わるのを待つのではなく、「分かっていること」「これから確認すること」「次に発信する時期」を明確に伝える。その繰り返しが、社会との信頼関係を途切れさせない。

　もし明日、自社でサイバー攻撃が起きたら――誰が、どの順番で、何を伝えるか。その設計図を今から描いておくことが、最大のリスクヘッジになる。

著者紹介：大杉春子（おおすぎ・はるこ）

レイザー代表取締役／RCIJ代表理事

コミュニケーション戦略アドバイザーとしてPR戦略の企画から危機管理広報まで、企業・行政のブランド価値向上を包括的に支援。

日本において唯一、コミュニケーション戦略におけるリスク管理に特化したカリキュラムを展開する日本リスクコミュニケーション協会（RCIJ）を2020年に設立。

上場企業や防衛省での豊富な実績を持つ。