事業運営

ニップンのサイバー攻撃事例:決算延期から学ぶBCPと復旧プロセス

catfish_admin

サイバー攻撃による決算延期は、BCP(事業継続計画)を策定している企業にとっても現実的な経営リスクです。特に、基幹システムやバックアップデータが同時に破壊されると、事業継続そのものが困難になり、企業の信頼を大きく損なう可能性があります。実際にランサムウェア攻撃で決算延期に追い込まれたニップンの事例は、具体的な対応プロセスと課題を学ぶ上で貴重な教訓となります。この記事では、ニップンが受けたサイバー攻撃の概要から、システム復旧のタイムライン、事業への影響、そして我々が学ぶべき教訓までを時系列で詳しく解説します。

目次

事件の概要と経緯

サイバー攻撃の発覚と公表

サイバー攻撃の発覚は2021年7月7日で、その2日後の7月9日にシステム障害の事実が公表されました。企業は被害拡大を防ぐ初動対応を優先し、その後に関係者への情報開示を行う必要があります。本件では、発覚から公表まで、危機管理の基本に則った手順で進められました。

発覚から公表までの経緯
  1. システム障害の覚知(7月7日 午前4時半頃): 運用管理ネットワークにおいて、一部サーバーや端末が同時に暗号化されるシステム障害を確認しました。
  2. ネットワークの遮断(7月7日 午前中): 被害の封じ込めを最優先し、全サーバーを停止。社内外のネットワークを物理的・論理的に遮断しました。
  3. 第一報の公表(7月9日): 初動対応が完了した後、ウイルス感染によるシステム障害が発生した事実を公表しました。
  4. 続報の公表(8月16日): 外部専門家の調査が進み、サーバー内の企業情報および個人情報の一部が流出した可能性があることを追加で公表しました。

攻撃の手口と原因の特定

本件の攻撃は、ランサムウェアを用いてサーバーや端末を同時多発的に暗号化する手口でした。根本的な原因は、サイバーセキュリティリスクに対する組織的な評価や、システムの脆弱性への対応が遅れていた点にあります。

攻撃者は長期間ネットワーク内に潜伏して権限を奪取し、システム全体を一度に機能不全に陥れる高度な手法を用いました。多層防御の仕組みは導入されていたものの、組織的・技術的な隙を突かれた形です。

根本的な原因
  • 全社的なサイバーセキュリティに関するリスク評価が不十分だった。
  • システムの技術的な脆弱性に対する対応が遅れていた。
  • 経営層のリーダーシップに基づく管理体制や、セキュリティ関連の人材・投資が不足していた。

外部専門家による調査委員会の設置

ニップンは自社単独での事態収拾は困難と判断し、直ちに対策本部を設置するとともに、外部のセキュリティ専門家を招集して調査体制を構築しました。高度なサイバー攻撃の全容解明や安全な復旧には、専門家の知見が不可欠です。

調査にあたった外部専門家からは、システムの起動自体が不可能で、早期復旧に有効な技術的手段は見当たらないという深刻な見解が示されました。この客観的な評価は、経営陣が被害の深刻さを正確に認識し、その後の長期的な復旧戦略を立案する上での重要な基盤となりました。

外部専門家を交えた主な対応
  • 攻撃の全容解明と技術的な調査の実施
  • 安全性を最優先した復旧ロードマップの策定支援
  • 警察や個人情報保護委員会など関係機関への適切な報告に関する助言

サイバー攻撃による被害範囲

基幹システムへの深刻な影響

サイバー攻撃は、企業の根幹を支える財務管理や販売管理といった主要な基幹システムに致命的な影響を及ぼしました。企業の中枢機能が停止したことで、受発注から会計処理に至るまで、ほぼ全ての業務プロセスが停止を余儀なくされました。

主な被害状況
  • 財務管理システムおよび販売管理システムのサーバーが暗号化された。
  • 各種業務データが保存されたファイルサーバーも暗号化された。
  • 被害封じ込めのため全システムを停止し、社内システムへの接続が完全に不可能になった。

例外的に、独立したネットワークで運用されていた生産管理システムの一部は被害を免れました。しかし、事業活動の両輪である販売と財務が機能不全に陥り、事業全体のコントロールを失うという危機的状況に直面しました。

バックアップシステムの機能不全

システム復旧の最後の砦であるバックアップデータまでもが同時に破壊され、機能不全に陥りました。これは、攻撃者が企業の復旧能力を奪い、身代金支払いの圧力を高めるために、オンラインで接続されたバックアップシステムを意図的に狙うためです。

ニップンの事例では、本番環境のサーバーだけでなく、データバックアップを管理する専用サーバーも同時に暗号化されました。これにより、バックアップからの迅速なシステム復旧というシナリオが完全に崩壊し、ゼロからのシステム再構築を余儀なくされました。事業停止の長期化を決定づけた、最も致命的な被害要因と言えます。

グループ会社への被害拡大状況

サイバー攻撃の被害はニップン単体にとどまらず、共通のネットワーク基盤を利用する複数の国内グループ会社へと瞬時に拡大しました。親会社と子会社が密接に連携したネットワーク環境では、一箇所の侵入がグループ全体に波及するリスクがあります。

グループ会社への影響範囲
  • 販売管理システムを利用する国内グループ会社11社
  • 財務会計システムを利用する国内グループ会社26社

この中には上場子会社であるオーケー食品工業も含まれており、大規模なインシデントへと発展しました。グループ会社が保管する情報の一部についても、流出の可能性が公表されました。この事態は、単一のインシデントがサプライチェーンや企業グループ全体の事業活動を停止させる破壊力を持つことを示しています。

システム復旧のタイムライン

復旧プロセスの全体像と方針

ニップンのシステム復旧は、汚染された既存環境を完全に放棄し、安全性が確保された新しい環境を構築して業務を再開するという方針で進められました。既存環境には攻撃者が仕掛けた罠(バックドア)が残存しているリスクが高く、そのまま復旧すると再攻撃を受ける危険性があったためです。

システム復旧の基本方針
  • 既存システムの放棄: 感染したサーバーは復元せず、完全に新しい環境を構築する。
  • 暫定対応の採用: 期限が定められた決算業務を優先するため、別環境で財務会計システムを新規に立ち上げる。
  • 段階的な復旧: 安全性が確認された一部のバックアップデータから、慎重に検証した上で復元を試みる。

この方針は、スピードよりも安全性を最優先しつつ、企業の法的義務を果たすための現実的な判断でした。

主要システムの段階的な復旧状況

主要システムの復旧は、業務の優先度に応じて段階的に進められ、完全な正常化までには数ヶ月を要しました。決算発表など法的な期限が迫る業務システムから優先的に再稼働させる必要があったためです。

段階的なシステム復旧スケジュール
  1. 2021年8月中: バックアップが無事だったグループ会社の財務会計システムを先行して復旧。
  2. 2021年9月上旬: ニップン本体および一部グループ会社向けの財務会計システムを別環境で利用再開。
  3. 2021年10月中旬: 新規導入した連結会計システムを稼働させ、第1四半期の単体決算を完了。
  4. 2021年11月中旬: 連結決算報告書を作成し、最終的な決算発表を完了。

手作業による業務継続とその影響

システムが長期間停止した間、ニップンは膨大な業務を人海戦術による手作業に切り替えて事業を継続しました。基幹システムが使えないため、自動化されていたデータ処理や伝票入力はすべて従業員の手で行われました。

各事業所に対しては、過去の紙の帳票や手元の記録から必要な資料を再作成するよう依頼が出されました。経理部門だけでは対応しきれず、他部署からの応援や外部の人材派遣も活用して、この膨大なアナログ作業を処理しました。この人海戦術は現場の従業員に極めて大きな負担を強いることになり、業務効率は著しく低下しました。

事業への影響と対外対応

四半期報告書の提出延期を決定

システム障害の長期化により、法定開示書類である四半期報告書の作成が不可能となり、ニップンは提出の延期という重大な経営判断を下しました。財務諸表の作成に必要な会計データが暗号化され、監査法人のレビューを受けることが物理的に困難になったためです。

2021年8月5日、当初予定していた決算発表が困難であると結論づけ、市場に対して延期の事実を公表しました。金融商品取引法に基づく法定開示が期限内に行えないことは、上場企業として極めて異例の事態であり、サイバー攻撃が企業のコンプライアンス機能に直接的なダメージを与えることを示す象徴的な出来事となりました。

提出期限延長に関する承認手続き

四半期報告書の法定提出期限を守れない事態を受け、ニップンは関係当局に対し、正式な期限延長の承認申請を行いました。金融商品取引法では、やむを得ない理由がある場合、財務局長の承認を得ることで提出期限を延長できる制度が設けられています。

提出期限延長の承認手続き
  1. ニップンおよび上場子会社が、関東財務局に提出期限延長の承認申請書を提出。
  2. 申請書には、サイバー攻撃の被害状況や復旧見込みを詳細に記載。
  3. 関東財務局は、サイバー攻撃という不可抗力を正当な理由として審査。
  4. 8月16日に申請が承認され、新たな提出期限が11月15日に設定された。

最終的な決算発表までの流れ

延長された提出期限に向け、ニップンは新システムの稼働と並行して、膨大な手作業による会計処理を進め、最終的に11月15日に決算発表を完了しました。新たな期限内に監査法人のレビューを終え、適正な財務諸表を開示することは、市場の信頼を回復し、上場を維持するための至上命題でした。

監査法人は、データが揃った部分から順次レビューを進めるなど柔軟に対応しました。社内外の多大な努力の結果、設定された期限内に第1四半期報告書の提出と決算発表が無事に行われました。これは、企業の全社的な危機対応能力と、外部パートナーとの協働が機能した結果と言えます。

決算延期がもたらす財務・法務部門への二次的影響

決算の延期は、システムの直接的な被害に加え、財務・法務といった管理部門に深刻な二次的影響をもたらしました。データの再集計作業だけでなく、関係当局への対応や内部統制の見直しなど、通常業務をはるかに超える負荷が同時並行で発生したためです。

管理部門への主な二次的影響
  • 財務部門: 紙帳票からの膨大なデータ入力作業と、監査法人との変則的なレビュー調整。
  • 法務部門: 提出期限延長の法的手続き、取引先への説明、個人情報保護委員会への報告対応。
  • ガバナンス: 翌年、サイバーセキュリティのリスク評価が不十分だったとして、内部統制の有効性に問題があった旨の訂正報告書を提出。

本事例から学ぶべき教訓

BCP想定を超える事態への備え

従来の事業継続計画(BCP)では、サイバー攻撃による論理的かつ広範囲な同時破壊に十分には対応できません。リスク想定を抜本的に見直す必要があります。

ニップンはデータセンターの分散など物理的な対策を講じていましたが、ネットワーク経由の攻撃には効果を発揮しませんでした。物理的な被災だけでなく、データの破壊という「論理的な被災」を前提としたシナリオをBCPに組み込むことが重要です。

項目 物理災害(地震・火災など) サイバー攻撃(ランサムウェアなど)
被害の範囲 局地的・物理的 広範囲・論理的
影響の速度 徐々に拡大する場合がある 一瞬で全拠点に拡大する
復旧の前提 データの健全性は保たれやすい データ自体が破壊・暗号化される
BCPの焦点 拠点の代替、物理インフラの復旧 ネットワーク遮断、バックアップからの復元
物理災害とサイバー攻撃の特性比較

オフラインバックアップの重要性

ランサムウェア攻撃から事業を確実に復旧させるには、ネットワークから完全に切り離されたオフラインバックアップの取得が極めて重要です。攻撃者はオンラインのバックアップデータも同時に破壊するため、これが最後の砦となります。

ニップンの事例で復旧が長期化した最大の原因は、オンラインバックアップが機能しなかった点にあります。企業の命運を分ける対策として、以下の手法が有効です。

有効なオフラインバックアップの手法例
  • 磁気テープや外付けHDDにデータを保存し、物理的にネットワークから切断して保管する。
  • クラウド上で、データの書き換えや削除ができない「イミュータブル(不変)」な形式でデータを保存する。
  • オンラインとオフラインを組み合わせた多重のバックアップ体制を構築する。

インシデント発生時の情報開示

サイバーインシデント発生時には、不確実な状況でも速やかに第一報を開示し、調査の進捗に応じて継続的かつ透明性のある情報発信を続けることが、企業の信頼維持に不可欠です。情報開示の遅れは、隠蔽を疑われ、企業の評判を大きく損なう原因となります。

信頼を維持するための情報開示プロセス
  1. 迅速な第一報: 被害の全容が不明な段階でも、インシデントの発生事実を速やかに公表する(ニップンは発覚2日後に公表)。
  2. 継続的な続報: 調査で新たな事実(情報流出の可能性など)が判明次第、追加情報を開示する。
  3. 透明性のある説明: 決算延期などの重大な判断については、その理由と今後の見通しを包み隠さず説明する。
  4. 社会的な責任: サプライチェーンへの影響も考慮し、他社の被害拡大を防ぐためにも情報共有に努める。

データセンター分散だけでは防げない「全拠点同時攻撃」のリスク

物理的なデータセンターの分散配置だけでは、ネットワーク経由で侵入するサイバー攻撃の拡大を防ぐことはできません。拠点間のネットワークが繋がっていれば、マルウェアは瞬時に全ての拠点のシステムを破壊することが可能です。

サイバー攻撃に対抗するには、物理的な分離に加え、ネットワークの論理的な分離が必須です。具体的には、ネットワークを重要度に応じて細かく分割する「セグメンテーション」や、全てのアクセスを信頼せずに検証する「ゼロトラストアーキテクチャ」の構築が求められます。物理的な距離ではなく、ネットワーク内部の論理的な障壁を多重化することが、現代の脅威から企業を守る鍵となります。

よくある質問

攻撃の発生時期と公表日はいつですか?

攻撃の発生は2021年7月7日で、第一報の公表はその2日後の2021年7月9日です。7月7日にシステム障害を検知した後、被害拡大を防ぐためのネットワーク遮断といった初動対応を優先し、状況を整理した上で外部へ公表するプロセスを踏みました。

決算発表は最終的にいつ行われましたか?

最終的に2021年11月15日に決算発表が行われました。基幹システムとバックアップが同時に破壊されたため、財務データの復旧と手作業による会計処理に時間を要し、当局の承認を得て提出期限を約3ヶ月間延長したためです。

業績への金銭的な影響は公表されていますか?

直接的な業績への影響として、業績予想の下方修正は公表されていません。2021年8月時点で、本件が業績予想の修正を必要とする事態には至らない見込みだと説明されています。ただし、システムの復旧費用、専門家への調査依頼費用、代替業務に伴う人件費の増加など、特別損失は発生していると考えられます。手作業による業務継続の努力により、事業活動そのものが完全に停止する事態は避けられました。

まとめ:ニップンの事例に学ぶ、決算延期を招くサイバー攻撃への実践的備え

ニップンの事例は、巧妙なサイバー攻撃が基幹システムとオンラインバックアップを同時に破壊し、決算延期という深刻な事業インパクトをもたらす現実的な脅威であることを示しています。復旧の長期化は、人海戦術による業務継続を強いるだけでなく、関係当局への対応や内部統制の報告など、管理部門にも多大な二次的影響を及ぼしました。この教訓から、従来の物理災害を想定したBCPを見直し、ネットワークから完全に隔離されたオフラインバックアップの確保が事業継続の生命線であることがわかります。まずは自社のバックアップ体制がランサムウェア攻撃を想定したものになっているか、そしてインシデント発生時の情報開示手順が明確化されているかを確認することが重要です。本記事で解説した内容は一般的な知見に基づくものであり、個別の事案については、必ずサイバーセキュリティや法務の専門家にご相談ください。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ
Recommend
こちらの記事もどうぞ
記事URLをコピーしました