近年、日本国内でも大手企業がつぎつぎにサイバー攻撃の被害にあっているとのニュースが報じられています。例えば、 アサヒグループホールディングス に続いて、 ASKUL(アスクル) がランサムウェアの被害にあったという報道も世間を賑わせています。
私たちホテル玉之湯におきましても、日々、消耗品の発注・調達などのバックヤード業務において「アスクルさん」を利用しておりましたが、今回の被害報道を目の当たりにし、「うちは大丈夫」という安心感が、決して安全の保証にならないことを強く自覚いたしました。アサヒにいたっては、飲料が欠品しつつあります。泣
そこで、この機会に「ランサムウェアとは何か」「被害の実態」「中小企業・宿泊業が持つセキュリティ上の弱点」「当館として実践すべき対策」について、皆さまと共有しておきたいと思います。
1.ランサムウェアとは?
まず「ランサムウェア」という言葉を改めて整理いたします。
ランサムウェア(英語:ransomware)とは、マルウェア(悪意のあるプログラム)の一種で、感染したコンピュータやネットワーク上のデータを暗号化・ロックして使用不能な状態にし、その復旧やアクセスを再び可能とするために「身代金(ransom:身代金)を支払え」という要求をするものです。
具体的には、下記のような流れをとることが典型です。
- 攻撃者が不正にネットワークや端末に侵入する(メール添付・フィッシング、あるいはVPNやリモート接続機器の脆弱性など)
- 侵入後にネットワーク内を横に移動し、権限を拡大、サーバー/共有フォルダなど重要データの暗号化を行う
- 暗号化を行うと同時に、データを窃取して「身代金を払わなければ、データを公開する」と脅す手法(=ダブルエクストーション/情報漏えい脅迫)も多く見られます。
- 被害組織は、「データを元に戻すため」「サービスを復旧するため」と身代金の支払いを検討するが、必ずしも支払ったら復旧できるわけではありません。
つまり“データが暗号化されてしまって、企業・組織の活動が止まる”“身代金を支払っても安全・完全に復旧できるとは限らない”という非常に脅威性の高い攻撃手法なのです。
私たちも“他人事”ではない:二次被害・取引先への影響
「うちは宿泊業だから、ITのシステムだけで起こる話だ」と捉えるのは大きな誤解です。ランサムウェアの被害は、単に被害企業自身がシステムダウンに陥るだけではなく、取引先、仕入先、サプライチェーン上の関係企業にも波及し得るのです。
たとえば、今回アスクルさんの被害という報道も、直接は“消耗品の発注・納品ができない”という二次的影響を受けるというホテル・宿泊・飲食関連企業も少なくないと考えられます。私たちも実際、「当館がアスクルさんに発注をかけていた消耗品」が、被害により注文がキャンセルされた、という事態を目の当たりにしました。
このように「ランサムウェアの直接被害」を受けた企業のみならず、取引関係にある中小企業・事業者にも“被害の連鎖”が降りかかってくる可能性があります。
さらに、攻撃者が「貴社にアクセス済」「データを窃取済」として、仕入先・顧客・取引先に対して「お前のデータも漏れているぞ」「次はお前だぞ」という脅迫を行う“多重脅迫”の手法も報告されています。
つまり、たとえ自社が直接的な被害にあっていなくても、「取引先の被害」→「発注が止まる」「納品が遅れる」「代替先を探すコストが増える」「顧客対応に影響する」という流れが起こる可能性があります。ホテル業においても「寝具・アメニティ・消耗品・設備備品」などの納入が滞ることは、サービス低下・追加コスト・事業継続リスクを意味します。
私たちホテル玉之湯も、まさに「発注していた消耗品の注文がキャンセルされた」という事態を経験しました。これは特別な話ではなく、私たち宿泊施設を含む中小企業にとって“明日、自分たちも”という警鐘です。
当館で起きたリアルな影響/消耗品発注中断の事例
少し私たちの現状を共有させてください。
ホテル玉之湯では日々、お客さまに快適にお過ごしいただくための備品・消耗品(アメニティ、清掃用品、客室用備品、リネン類、事務用品など)を、発注・納入・在庫管理の体制のもとで運営しております。いくつかの品目を、信頼していた発注先であるアスクルさんを通じて調達しておりました。
ところが、今回のアスクルさんのランサムウェア被害報道を受けて、「当館が発注していた消耗品の注文がキャンセルされた」旨の連絡を受けました。納期遅延、代替先の探索、価格再交渉など、急ピッチで対応を進めなければならない状況となっています。
この体験から、以下のようなことを改めて痛感しました。
- 発注先がサイバー攻撃を受けると、納入・物流・在庫確保の見通しが崩れる。
- 発注先の被害=自分たちの業務継続リスク。特に中小企業・ホテル・旅館・飲食業などで、発注先が限られている場合、影響は甚大。
- 「自社システムは大丈夫」という意識だけでは防げない。自社を支えている“取引先・仕入先”のリスクも含めて、サプライチェーン全体を見据えた備えが必要。
- 被害が起きてから慌てても遅く、代替先確保・在庫余力・発注体制の見直し・緊急発注ルートの確保など事前準備が重要。
私たちはこの経験を教訓として、「自社だけではなく取引先リスク・サプライチェーンの安全性」まで視野に入れた対策が必要だと実感しました。
「身代金を支払えば安心」という誤解
ランサムウェアの被害を受けた場合、攻撃者から「身代金を支払えばデータを復旧します」「漏えいデータを公開しません」といったメッセージが提示されることがあります。
しかし、専門家・警察庁の見解では、身代金を支払ったとしても安全・完全に復旧が保証されていません。
以下のようなリスクがあります。
- 復号鍵を受け取れても、データが完全に元の状態に戻るとは限らない。暗号化されてしまったデータの破損・消失・整合性が失われている場合もある。
- 身代金支払いの事実が外部に知られることで、「この企業は払った」というレッテルが付き、次回の攻撃ターゲットになりやすい。
- 支払いをしても、攻撃者からの“戻り”がなく、さらに別の脅迫に発展する可能性もある。
- 支払い=犯罪者への資金提供、倫理的な問題・コンプライアンス上の問題を伴うこともある。
したがって、「身代金を支払うこと=被害回復」という考え方は極めて危険です。被害を受ける前にできる対策を講じることこそ、最も確実なのです。
しかしながら、中小企業の実際としては「身代金の支払い」など、交渉もできませんし、支払いもできません。
中小企業・宿泊業が抱える“セキュリティ意識の薄さ”という弱点
大企業・公共機関ばかりがランサムウェアの標的と思われがちですが、実際には中小企業や宿泊・飲食業界も同様に狙われています。
解説記事によれば、ランサムウェアは「企業規模・業種を問わず狙われている」とされており、特に“サプライチェーンの一部”として関わる中小企業が入口になって、そこを通じて大手に波及するケースも報告されています。
宿泊業の実情を見てみると、以下のような構造的リスクがあると考えています:
- 多くの作業が「管理部門」「宿泊・予約システム」「在庫・発注システム」「経理・顧客情報管理」などさまざまなIT/ネットワークを利用しているが、システム管理・セキュリティ運用・担当者・予算が十分に割けないことがある。
- 発注・納品・備品調達・予約管理など、外部企業・仕入先・取引先とネットワークやデータ連携を行っているケースが多い。つまり「取引先の被害」が自社に影響を及ぼす可能性が高い。
- 日々の業務に追われ、セキュリティ教育・意識向上・定期的な見直し・バックアップ体制構築などが後手になりがち。
- 「バックアップは取っている」というが、テスト・復旧確認・オフライン・異所保管など“いざという時”に有効な形になっていないことがある。
- 被害が起きた場合、復旧に必要な“期間・コスト・代替手段”を確保できず、宿泊稼働停止・顧客対応の混乱・ブランド信頼の低下というダメージを被る可能性がある。
当館も例外ではありません。発注先のサイバー事件が契機となって「発注が止まった」「代替先を探せるか」という問題に直面しました。これはまさに“取引先経由の波及被害”であり、私たちにとっても自明の危機です。
最大・最強の対策は「バックアップ」- 毎日必須です
では、ランサムウェア被害を防ぐため、私たちが着手すべき“最も重要な対策”とは何でしょうか。専門家たちも、最優先で 指摘しているのは「バックアップ」による備えです。
以下、具体的にご紹介します。
・バックアップの重要性
データが暗号化されたり、ネットワークがロックされたりした際、唯一確実に“影響を受けない”可能性が高いのが、攻撃者の手が届かない“オフラインかつ別場所に保管されたバックアップ”です。
ランサムウェア被害時に「バックアップがあれば被害甚大化を防げる」「身代金を支払わずとも復旧できる可能性が出てくる」という指摘があります。
逆に、バックアップが不十分だと「最悪、設備買い替え・データ復旧費・事業停止・信頼失墜」など甚大なダメージに直結します。
・毎日のバックアップが必須な理由
- ランサムウェアは「一度に多くのデータを暗号化」するだけでなく、「定期的にサーバ/フォルダにアクセスし、不正な暗号化を進めてから通知する」手口が増加しています。
- そのため、最新のデータまできちんと保存しておかないと、「バックアップが古くて使えない」「業務データが失われている」という事態になりかねません。
- 毎日、または業務終了時に、データ・サーバー・共有フォルダ・クラウドといったすべての重要システムのバックアップを取り、かつ復旧テストを行うことが望ましい。
- バックアップ先は、ネットワークから“切り離された”場所(オフライン媒体・別ネットワーク・クラウド上でも攻撃者がアクセスできない条件)に保存する必要があります。攻撃者がネットワーク内に侵入していれば、通常のオンラインバックアップにも手が届くケースがあります。
・その他、重要な補助対策
バックアップだけでなく、下記も併せて取り組むことで被害の可能性・影響をより小さくできます。
- OS・ソフトウェア・ネットワーク機器(VPN/RDPなど)の脆弱性に対して、定期的なパッチ適用・更新を実施する。
- メールの添付ファイル・リンク・Web閲覧に対する従業員の警戒・教育。フィッシング攻撃/誤操作が入口となることが多いです。
- ネットワークをセグメント化し、重要データ・共有フォルダ・サーバーへのアクセスを制限する。横展開を防ぐための設計が重要です。
- 取引先・仕入先・発注先も含めてサプライチェーン全体のセキュリティリスクを見直す。取引先が攻撃されると、自社も“被害の波及”を受ける可能性があります。
- 緊急時対応マニュアルを整備し、攻撃発覚時には速やかに機器をネットワークから切り離す・警察への相談・ログ保全などのプロセスを決めておく。
ホテル玉之湯としてこれから実践すること
当館として、宿泊施設ならではの視点を踏まえ、「お客さまに安心・安全にご滞在いただく」体制を維持するため、以下のような取組みを推進してまいります。
- 発注先・仕入先のセキュリティ確認
– 消耗品・アメニティ・備品・設備調達など、当館のバックヤード業務に関わる発注先の「サイバーセキュリティ対応状況(バックアップの有無・被害履歴・対応体制)」を定期的にヒアリング・確認いたします。
– 発注代替ルートの確保・発注先障害時の対応フロー策定を強化します。 - バックアップ体制の強化・検証
– 当館の予約システム・顧客データ・事務処理データ・共有フォルダなど、重要データに関して、毎日定時でのバックアップを実施し、オフライン媒体・別ネットワークへの保管も見直します。
– 年1回以上ではなく、できる限り毎日・業務終了後に確実なバックアップを取得し、定期的な復旧テスト(実際にバックアップからの復元手順を確認)を行います。
– 万一、システムに障害が起きた場合にも、速やかに復旧できるよう、復旧手順・担当者・代替手段を明文化します。 - 内部教育の推進・意識向上
– 従業員すべてに対して、「いつ、どんな脅威があるか」「どんな操作が危険か」「怪しいメール・リンク・添付ファイルへの対処法」「不安な挙動があったらどう報告するか」などを定期的に説明・研修を実施します。
– 管理部門・バックヤード担当だけでなく、宿泊スタッフ・清掃・設備・事務部門も、IT/ネットワークとの接点がある以上、同様の意識をもって対応します。 - ネットワーク設計・アクセス制御の見直し
– 重要データを扱う端末・サーバー・共有フォルダへのアクセスを、最小限の権限で運用する“権限の原則”を見直します。
– ネットワークを可能な限りセグメント化し、宿泊・予約・事務システム・バックヤードを別ネットワークとして分離、万一の侵入時にも横展開しづらい構成を目指します。
– VPN・リモートアクセス機器・クラウド連携機器など、外部からのアクセス経路の脆弱性がないか定期的に点検・パッチ適用を行います。 - 危機対応(インシデントレスポンス)体制の整備
– 万一、ランサムウェアの侵入・被害が発生した際の対応フローを文書化し、定期的に見直します。例えば、
- 被害を確認したらまず該当端末・サーバーをネットワークから切り離す(ケーブル抜去・WiFi遮断)
- 被害状況(暗号化されたファイル・ログ・通信履歴など)を確認・保存する
- 警察・専門機関への通報・相談ルートを確立する
- 復旧優先度の高い業務を洗い出し、代替手段・手動処理ルートなどを起動する
– 従業員には「怪しいメールを開いてしまった」「端末の挙動がおかしい」と思ったら、速やかに管理部門へ報告する文化を浸透させます。
明日、自分たちも狙われる意識を
今回、アスクルさんの被害という“取引先を通じての影響”を当館自身が体験したことで、改めて「ランサムウェアは他人事ではない」ということを痛感しました。
特に、宿泊業・旅館・飲食業・中小企業という立場では、IT/ネットワーク専門の部門が大企業ほど整備されておらず、予算・人材・時間の制約があるため、「備えが十分ではない」という弱点をつい抱えてしまいがちです。しかし、だからこそ、以下の観点を強く持っておく必要があります:
- 「自社だけ守れば安心」という発想では不十分。発注先・取引先・仕入先・連携先の安全性も視野に入れる。
- 「被害にあわない」ための対策だけでなく、「被害を受けても影響を最小限に抑える(=バックアップ・代替ルート・復旧体制)」ための備えが不可欠。
- セキュリティ対策は一度設定したら終わりではなく、継続的な更新・レビュー・教育が必要。攻撃手法は年々巧妙化しています。
- 宿泊施設という「お客さまをお迎えし、安心・安全・快適な滞在」を提供する場において、「バックヤードの安全性・発注・物流・データ管理」が滞ると、サービス低下・信用低下・収益悪化という実害に直結します。
- 最後に、「バックアップを毎日取る」「発注先のリスクも含める」「教育・意識を高める」という“日常の取り組み”が、ランサムウェアからの最大の防御策であるということを、決して軽視してはいけません。
当館ではこれからも、お客さまに安心してご滞在いただけるよう、目に見えない“システムの安心・バックヤードの安全性”にも細心の注意を払ってまいります。皆さまもどうか、身近な中小企業・宿泊・飲食・事業を営まれている方は、「サイバーセキュリティ・ランサムウェア対策」を自分ごととして捉えていただければ幸いです。
追記:しかし、実際のところ自分でも「どうしたらよいのか?わからない」こととなってしまうのでしょうね。(笑)
ホテル玉之湯 内藤幸宏より
2025年10月21日
私たちも“人ごと”ではありません — ランサムウェアがもたらす脅威
2025年10月19日
レベニューシステムって何? - AIが宿泊料金をどう算出しているか
2025年10月16日
2025年10月14日
2025年10月10日
- 2025年10月 (8)
- 2025年9月 (3)
- 2025年7月 (3)
- 2025年6月 (7)
- 2025年5月 (26)
- 2025年4月 (26)
- 2025年3月 (12)
- 2025年2月 (2)
- 2025年1月 (7)
- 2024年12月 (1)
- 2024年9月 (1)
- 2024年5月 (1)
- 2024年1月 (1)
- 2023年12月 (1)
- 2023年11月 (2)
- 2023年10月 (8)
- 2023年9月 (7)
- 2023年5月 (1)
- 2023年2月 (1)
- 2023年1月 (2)
- 2022年11月 (2)
- 2022年10月 (2)
- 2022年9月 (1)
- 2022年4月 (3)
- 2022年3月 (7)
- 2022年2月 (8)
- 2022年1月 (13)
- 2021年12月 (30)
- 2021年11月 (5)
- 2021年6月 (1)
- 2021年4月 (2)
- 2021年1月 (1)
- 2020年10月 (1)
- 2020年8月 (2)
- 2020年7月 (2)
- 2020年6月 (4)
- 2020年5月 (1)
- 2020年4月 (4)
- 2020年3月 (20)
- 2019年7月 (1)
- 2019年6月 (1)
- 2019年5月 (4)
- 2019年4月 (6)
- 2019年3月 (5)
- 2019年2月 (5)
- 2018年11月 (1)
- 2018年5月 (1)
- 2018年4月 (1)
- 2018年3月 (5)
- 2018年1月 (1)
- 2017年7月 (1)
- 2017年6月 (5)
- 2017年3月 (2)
- 2017年1月 (6)
- 2016年4月 (2)
- 2016年3月 (1)
- 2016年2月 (1)
- 2016年1月 (1)
- 2015年12月 (1)
- 2015年11月 (1)
- 2015年10月 (1)
- 2015年9月 (4)
- 2015年8月 (1)
- 2015年4月 (2)
- 2015年2月 (3)
- 2015年1月 (3)
- 2014年12月 (16)
- 2014年11月 (26)
- 2014年7月 (1)
- 2012年11月 (2)
- 2010年12月 (1)
- 2010年11月 (4)
- 2009年12月 (16)
- 2009年11月 (11)
- 2008年12月 (20)
- 2008年11月 (10)
- 2007年12月 (11)
- 2006年12月 (16)
- 2006年7月 (1)
- 2006年4月 (14)
- 201年11月 (1)
