2025年10月に発生した身代金要求型コンピューターウイルスであるランサムウェアによる攻撃で物流システムが停止し、長期に渡って受注および商品出荷が制限され、大きく業績を落とすなど未曽有の危機に直面することになったアスクル。25年12月には主力の事業者向け通販で通常出荷を再開、26年1月からは個人向け通販でもサイバー攻撃以来、停止していた受注・出荷を再開した。今後、サイバー攻撃で失った顧客、売り上げを取り戻すべく攻勢に打って出る。吉岡晃社長が描く復活への道筋とは──。
継続的なセキュリティ強化行うBPCの見直し・強化が特に重要
「うちで起こってしまったか」
─2025年10月19日にランサムウェア攻撃を受けて物流システム(WMS)に障害が発生したことから、出荷・受注を停止しました。事業者向け通販「ASKUL」「ソロエルアリーナ」は同29日から一部商品に限定して受注を再開したものの、手運用での出荷作業を強いられ、バラ売りには対応できず、ケース単位での受注・出荷を余儀なくされました。個人向け日用品通販「LOHACO」は長らく受注・出荷を停止することになってしまった。改めてアスクルを襲ったランサムウェア攻撃について伺いたい。これだけの期間、受注・出荷を停止ないしは制限したことはかつてなかった未曾有の危機だったわけですが攻撃を受けた日のことを振り返って頂きたい。
その時の想いを率直に言えば、「うちで起こってしまったか」と。あの日(25年10月19日)は日曜日で自宅にいたのだが、午前中に(同社が導入するビジネスチャットの)「Slack(スラック)」の本部長間の連絡網に「サーバー(内の情報)が暗号化されている」という一報が現場からあがった情報を確認したITの責任者から入り、すぐに会社に向かって、会社についてから何が起こっているのか(暗号化されている状況)を現場で実際に確認しました。こうしたサイバー攻撃を受けた際にはネットワークを遮断するなどの対応策を事前に定めていたため、私の判断を待たずに対応を進めていました。その後、ランサムウェアの影響の範囲がどの程度まで及ぶかを確認したところ、物流システムすべてに及ぶだろうと。これではサービスの継続はできないと考えて、夕方頃にサービスを一旦、停止することを私が決断しました。
─その時、復旧するまでこれほど長期になると思っていましたか。
影響の範囲が判明した時に考えた「復旧まではこれぐらいかかるだろう」という予測と実際の復旧までの期間はほぼ同程度でした。サイバー攻撃によって侵害された範囲を特定した結果、物流システムと社内の認証システムが侵害されたことが判明しました。これが分かった時点でここをすべてゼロから作り替えようということになりました。システム自体を作ることは自分たちでやってきたため、作り替えるにはどの程度に時間がかかるかはおおよそ分かります。お客様には大変、お待たせしてしまいましたが、あくまで当社の目線ではそこで見越した時間通り、そこから(復旧までの手順は)ノーミスで行くことができました。
─アスクルのほか、アサヒグループホールディングスなど様々な日本の企業がランサム攻撃を受け、今後も被害が増えていくという見方もあります。被害を受けた立場から、ランサムウェア被害にあった場合、企業はどうするべきと思いますか。
我々が行ったことがベストプラクティスだったとは我々が判断することはできないし、決してそういうつもりで言うわけでないのですが、まず考えたのは受注を止めることです。攻撃を受けているのに注文を取り続けて、その後に配送できませんでしたとなったらお客様に大変なご迷惑をおかけしますし、また、サイバー攻撃を受けていたところとつながっていたとなると「うちの会社のシステムは大丈夫か」と不安にもなると思うからです。
ランサムウェア攻撃を受けた直後の対応としてはすぐに感染した疑いがあるシステムの切り離しとネットワークを遮断して、セキュリティ監視運用を強化し、全パスワードの変更に着手して、その後、外部の専門機関にも支援を要請してログを解析して影響を受けた範囲の特定を進めました。切り離しと遮断で追加攻撃を受けないようにして封じ込めを行い、その封じ込めた中を解析して影響範囲の特定とランサムウェアが仕込まれていることがあるため、それらも含めて徹底的に洗いました。
─サイバー攻撃の後の状況説明としての発表を攻撃当日からこれまでに合計18報、発信するなど対外的な情報公開を頻繁に行っていました。
これは(2017年に埼玉県内の物流拠点で発生した)火災の時の教訓からです。火災で今何が起こっているのかを皆様に説明しようと考えて頻繁な情報発信を行ないました。その時も説明責任を果たしているとの評価を頂きました。今回は事業が停止するなどさらに影響範囲が大きく、皆様にしっかりと説明しなければならないだろうと。また、応援のメッセージやサイバー攻撃の対応という観点からも皆様の関心も高かったということもあり、その時にお伝えできる内容をできるだけ公開しようと考えました。
セキュリティ対策はいたちごっこ
─今回、被害を受けた要因をどう捉えていますか。
もちろん、当社でもランサムウェア対策をしていなかったわけではありません。様々な対策はやっていたが今回、例外的に多要素認証を適用していなかった業務委託先に対して付与していた管理者アカウントのIDとパスワードが何らかの方法で漏洩して、それを利用される形で不正アクセスを許し、ネットワークに侵入されてしまったわけです。結果的に対策が足りなかったということになります。こんなことまで起こるのだと想像できていたら、もっとできることがあったと思いました。今回の攻撃を踏まえて今後、ログ監視の強化や24時間365日の監視体制の構築、権限管理フレームワークの見直し、社員やネットワークに関わる業務委託先を含めた従事者に対する研修プログラムの強化などセキュリティレベルを高度化させていきます。また、今回、多要素認証を適用していなかった業務委託先が使っていたIDとパスワードが漏洩して侵入につながったわけだが、ここも甘かったと思います。例外的なものはなくしていきます。
セキュリティの強化はいたちごっこです。長期的に不正アクセスを防ぐ仕組みや運用のルールを含むセキュリティ対策を継続的にアップデートしていきます。また、特に大事なことはBCP(事業継続計画)の見直し・強化です。攻撃を受けてしまった後に、どれだけ早く戻せるかという計画をどう作っていくか。今回もシステム自体は早期に回復できましたが、それを物流現場に落としていく中で現場のサーバーとかPCのOSのグレードとか細かいところまで配慮して検知システムを入れていなければいけないとか、システムが回復したら、それで解決というわけではなく、復旧の過程で時間がかかりました。より早く復旧させるにはどうすべきかと日ごろから仕組みを作っておかねばらないことが今回、身に染みて分かりました。これまでとは温度感を変えてリスク認識をあげ、経営としてセキュリティ対策強化に積極的に関与していきたいです。
残りの“3割”を取り戻す
─25年12月15日から再構築したWMSの稼働で事業者向け通販で単品出荷に対応する通常配送を再開、1月20日からは「ロハコ」で受注・出荷を再開しました。
長期にわたってお待たせし、ご迷惑をおかけしたことをお詫び申し上げたいです。一方で(通常出荷を)再開後、「待っていました」と言って頂き、7割のお客様に戻ってきて頂けたこと(※1月月次のASKUL事業売上高が前年同月売上高の69.6%となった)は本当にありがたく、感謝申し上げたいです。
─25年11月はほぼ事業を停止していた機会損失を含めてサイバー攻撃で受けた損失は約120億円にもおよびダメージは甚大です。
今期(26年5月)末までに元に戻したいと考えております。7割のお客様に戻ってきて頂け、大変ありがたいが、当社が受注・出荷を停止・制限している中で他社から必要なものを当然、購入されていたわけで、その商品の在庫がまだ残っている場合もあります。もしかすると当社でなく他社で購入しても問題ないと思っていたり、他社の方が使い勝手が良い、安いと感じてられているのかもしれません。この残りの3割を取り戻すのは簡単なことではないと思っています。
─どう取り戻していきますか。
1つは商品です。事業再開にあたって頂いたお客様の声をみてみると「アスクルのコピー用紙は薄っぺらでなくていい」とか「アスクルのボールペンは書き味がよい」など他社の商品を使ってみてアスクルの商品の良さが改めて分かったとの声が少なからずありました。ご評価を頂いているものの多くはプライベートブランド(PB)商品でした。
ご迷惑をおかけしたお詫びも兼ねてその喜ばれているPBをお得に購入できるよう売れ筋で人気の高いコピー用紙や文具などのPB、500点以上を2割引以上で提供する「復活特別企画」を1月30日から開始しています。これまで2割引きどころかPBを割り引いて販売したことはありません。そもそもかなりリーズナブルな価格に設定しているためです「やっぱりアスクルのこの商品いいよね」と思って頂き、また、この機会に使ったことないPBについても使って頂きたいです。もう1つはデリバリーです。我々は社名にもなっている「明日来る」、つまり、注文後、翌日に商品が届けるということを強みにしてやってきました。翌日、当日に届くという配送の安定感を改めてお客様に訴えていきたいです。当たり前ことではありますが、そこを伝えしていくことが何よりも大事だと考えています。お電話なども含めてお客様へ伝えていきたいです。
大切なものが何かを分からせてもらった
100人体制で顧客に「電話」
─顧客への電話とは。
社員がお客様へ直接、お電話をさせて頂いて、今回の件のお詫びにあわせてサービスを再開した旨などをお伝えさせて頂いています。メールやウェブサイト上で「再開しました」と記載しても見逃してしまうこともあるため、直接、お伝えしようと。また、キャンペーンの内容などもお伝えしています。お客様からは「再開したことを知らなかった」「そんなに安くなっているの」など好意的な声が多く、ありがたく思っています。
─顧客へのこうした電話はこれまでもしてきたのでしょうか。
普段は営業の電話などを含めてエージェント(販売代理店)が行っています。今回はエージェントと同じお客様にご連絡をしないよう連携しながら我々も行うことにしました。何とか一件でもお客様にご注文頂きたいということで社員が自発的な形で行うことにしました。
─電話では具体的にどのようなことを話しているのでしょうか。
まずは障害にてご迷惑をおかけしたことに対するお詫びをお伝え、加えて、サービス再開の案内として、お客様の購入履歴に基づいて以前購入された商品が購入頂けるようになったことなどをお伝えしています。もともと営業架電の組織はなかったため、営業経験者がトークスクリプトを作成し、営業経験のない社員は事前に研修を受けてから架電席に入っています。毎日の架電メンバーの振り返りによってトークスクリプトの改善や提案の工夫向上などにつなげています。
─顧客への電話はいつから行っているのでしょうか。
電話自体は本格復旧前のFAXのみでの受注かつ手運用で商品出荷を行っていた25年11月から開始しています。はじめは社外の業務委託先に協力してもらい、6人体制で開始しましたが、12月からは社員が参加して70人体制でお客様にお電話をするようになりました。以降も継続中で26年1月以降は自主的に参加を希望した社員が100人体制で毎日、お客様に電話をしています。
─効果はどうですか。
電話をしたお客様がその後、どう動いたかというデータをみると利用再開に至る率が堅調に推移しており、営業の観点からも架電は有効です。また、電話した際にお客様から聞かれた声を社内に共有することで架電メンバーや社員の復旧に向けたモチベーション向上にもつながっているという効果も出ています。
─社員の士気も上がっているようですね。
(サイバー攻撃を受けて一時は)まったく売り上げがなくなりました。そうすると自分たちで何とかしなければならないという気持ちが芽生えて、その結果の1つがお客様への電話でした。(サイバー攻撃の)前はリモートワークなどもあって「たこつぼ化」していたところがありましたが、攻撃を受けてリスクの観点からPCなどを自宅に持ち帰ることができなくなったために物理的に全員が出社になりました。そこで一人でも多くのお客様に戻ってきてもらえるよう皆で集まって毎日毎日、お客様を見て話し合いながら意思決定をその場でするようになりました。希望者が参加するお客様への電話でも思いもよらず、うまく仕切れる人や活躍する人なども出てきました。「大企業病」に陥っていたところから、何が大事なのかということを分からせてくれたきっかけにもなりました。売り上げが回復してきたら、元に戻るのではなく、このムーブメントを常態化させていきたいです。
選ばれ続けていくために独自価値をどれだけ創造していけるか
中期経営計画に変更なし
─1月の月次売上高は前年同月比で7割程度まで回復していましたが事業者向け通販の直近の足元の状況はどうですか。また、1月から受注を再開した「LOHACO」の状況についても教えてください。
(事業者向け通販も売上高は)1月よりも回復しており、よりお客様が戻ってきています。LOHACOについては、想定より売り上げの戻りが早いです。一部のコアなファンの方々を中心に再開後に“ため買い”を頂いたことなどが要因です。また、(グループの)LINEヤフーの支援もある。「ヤフーショッピング」のトップのファーストビューに「ロハコ、サービスを再開しました」というバナーを掲載してくれるなどあの手この手で送客してくれていることは大きいです。(PayPay、LINEヤフー、ソフトバンクが共同で開催する大規模キャンペーンである)「超PayPay祭」に連携する形で3月上旬からLOHACOで大型セールを実施する計画です。現在、詳細を詰めているところですが、お客様から人気の飲料や食べ物、酒類などをアウトレット価格で販売したり、食品のPBなども割引価格で販売する予定です。
─利益よりも売上高を優先させる動きは今後も継続していきますか。
まずは今期中に(売上高を)戻そうと色々と手を打っています。来期以降ですが、会社としてはサステナブルに利益を積んでいかなければいけません。ただ、商品の価格については今のセール並みの価格ではないにせよ、ほかに比べて高くなってしまえばお客様は離れてしまいます。適正な値段で販売して、その分、メーカーとの交渉だけでなく、PBの調達ルートを変更したりなど原価を下げる努力を行い、また、26年1月に中国・上海近郊に中国国内のサプライヤーから仕入れた商品を集約してまとめて日本の各物流拠点に輸送する物流拠点を開設しましたが、こうした輸送コストを削減する取り組みやマージンミックスも行ってきちんと利益も積み上げていきたいです。
─ランサムウェア攻撃で通販事業と同様、業務が停止または滞った、他社から物流業務を請け負う3PL事業の今後はどう考えていますか。
受託している企業の物流業務はしっかりとやっていきたいです。ただ、会社として同事業を拡大していくかどうかについては、そもそも収益的にも芳しくはないため、考えていかなければならないとは思っています。
─サイバー攻撃前の25年7月に最終年度となる2029年5月期に連結売上高が最大で6000億円、営業利益率5.0%を目指す4カ年の新中期経営計画を公表していますが計画に変更はありませんか。
目標の数字の精査は必要だと思うが現時点で中計に大きな変更はありません。今期中にお客様に戻ってきて頂き、来期から再び計画に向けて進めていけばまだまだ達成できないというものではありません。メインターゲットを対人サービス業種を展開する事業所に変更し、それに合わせた拡販策や商品戦略を進めて事業の再成長を図っていくという中計で示した方向性は例えば今、お客様の戻りを見ていても、改めて対人サービス業種が多く、ロイヤリティの高さが分かりました。また、中計では買収や他社との協業を進めて新規事業を強化するとしているがここも変更はありません。我々の強みを生かした周辺ビジネスとお客様基盤を活用してリテールの延長ではないソリューションビジネスを展開していくことなどを考えていいます。ランサムウェアによる攻撃を受けた際には新規チームの活動は一旦止まっていましたが今は再開しています。まだリリースできるものはないが継続して進めていきたいです。
─現状の課題は。
まずはお客様に戻って頂くことが目下の課題ですが、本当の意味で大事なことは様々な競合他社がある中心に再開後にで、お客様に選ばれ続けていくために我々独自の価値をどれだけ創造していけるかだと思っています。これからは競合他社を含めて各社がAIを活用してサービスを作っていくことになるでしょう。無論、それは当社でも先頭でやっていきたいですがその過程で皆、同じようなサービスになっていくはずです。だからこそ、商品やデリバリーなどフィジカルなものがより重要になると思っています。そこは当社が得意としているところです。お客様をよりしっかりと見て、そうした部分の強化を含めて独自の便益の構築により注力していきたいと思っています。
吉岡晃(よしおか・あきら)氏
1992年西洋環境開発入社。2001年アスクル入社。メディカル&ケア担当執行役員、取締役BtoCカンパニーCOO、チャーム代表取締役会長などを歴任し、2019年アスクル代表取締役社長CEOに就任。
◇ 取材後メモ
25年10月にランサムウェア攻撃を受けて以降、長らく受注・出荷の停止や制限を余儀なくされたアスクルがサービスを本格再開しました。サービスの停止・制限中、アスクルの顧客は競合他社に流れ、各社の業績は好調に推移しているようです。吉岡社長は「よい商品と安定したデリバリー」で失った顧客を取り戻すと言います。「選ばれる通販」とは突き詰めれば「品質が良く安い商品と早い配送」に尽きるでしょう。長らくオフィス用品通販で首位の座を守り続けてきた王者がいかにしてその実力のままに復活していくか。王道の再起の今後を注視したいです。