もし自社でランサムウェアの兆候を見つけたら、最初の数時間で何をするか決まっているだろうか。 2026年6月5日、東証プライム上場のコタ株式会社(ヘアケア製品)が「サイバー攻撃によるシステム障害発生のお知らせ(第4報)」を開示し、外部専門家の調査の結果、一部のサーバおよび社内PC端末等がランサムウェアに感染し、データ等が暗号化されていたと公表した。発覚は3月27日。確報となる第4報まで、約2か月余りを要している。
本記事では、同社の適時開示を一次情報として、特定企業を論評するのではなく、初動対応・復旧の長期化・事業継続という普遍的な観点から、中堅・中小企業が自社の備えを点検する材料を整理する。
この記事の要点
- コタ株式会社は第1報(3/30)〜第4報(6/5)と段階的に開示。第4報で、一部のサーバ・社内PC端末等がランサムウェアに感染しデータが暗号化されていたと公表した。
- 発覚は3月27日(社内PC端末の動作不良)。即座に社内調査を行い、被害を最小限にとどめるため、全サーバ・全社内PC端末等をネットワークから遮断する措置を講じたと開示している。
- 発覚から確報(第4報)まで約2か月余り。ランサム被害は「すぐ復旧」ではなく長期戦になりうる。
- 同社は開示で、システム障害発生後も製品の生産・受注・出荷業務は継続できているとしている。事業継続の備えが効いた局面といえる。
- 個人情報の漏えい等の被害は、第4報時点では確認されていない(調査は継続)。
開示の経緯(一次情報ベース)
コタ株式会社の適時開示によれば、経緯は次のとおりだ。
| 時点 | 内容 |
|---|---|
| 2026年3月27日 | 一部の社内PC端末に動作不良を確認。即座に社内調査を実施 |
| 2026年3月30日 | 第1報(サイバー攻撃によるシステム障害の公表) |
| 2026年4月2日 | 第2報 |
| 2026年4月15日 | 第3報 |
| 2026年6月5日 | 第4報(ランサムウェア感染・データ暗号化の判明、経緯・対応等) |
第4報では、外部からの不正アクセスにより一部のサーバおよび社内PC端末等がランサムウェアに感染し、データ等が暗号化されていることが判明したと公表されている。対象は「一部のサーバおよび社内PC端末等」とされ、具体的なシステム名や台数、ランサムウェアの種別、攻撃者の特定などは開示されていない(本記事でもこれらは断定しない)。
注目すべきは、この経緯から読み取れる初動・長期化・事業継続の3点だ。
学び①:初動は「速やかな遮断」
同社は、PC端末の動作不良を確認したのち即座に社内調査を行い、第三者による不正アクセスが確認されたため、被害を最小限にとどめるために全サーバ・全社内PC端末等をネットワークから遮断する措置を講じたと開示している(遮断の具体的な日付は開示文に明記がないため、本記事では「当日遮断」とは断定しない)。
ランサムウェアは、ネットワーク内で横展開(ラテラルムーブメント)しながら暗号化を広げる。だからこそ、兆候を察知したときの速やかな隔離・遮断が被害範囲を左右する。問われるのは、
- 異常を「気のせい」で済ませず、即座にエスカレーションできるか
- 誰の判断で・何を・どの順で遮断するか、手順が決まっているか
- 遮断後の業務影響(止まる業務・代替手段)を把握しているか
これらが事前に決まっていないと、「気づいたが動けない」「遮断の判断に時間がかかる」という形で被害が広がる。初動の手順はインシデント対応フローのテンプレートで型を持っておきたい。
学び②:復旧は長期戦になりうる
発覚(3/27)から確報(第4報・6/5)まで、約2か月余り。ランサム被害は「翌日には元通り」ではなく、フォレンジック調査、ネットワーク・サーバ環境の再構築、セキュリティ体制の再強化を含む長期戦になりうる。
この間、企業は「いつ・何が・どこまで戻るのか分からない」不確実性に向き合うことになる。だからこそ、
- 復旧の優先順位(どの業務・システムから戻すか)が決まっているか
- 健全なバックアップ(オフライン/改ざん不可の分離コピー)から戻せるか
- 平時から相談・調査を依頼できる外部の体制(フォレンジック・IR)があるか
が、復旧スピードと事業へのダメージを分ける。バックアップとBCPの設計はランサムウェア対策 完全ガイド(中小企業向け)・BCP(事業継続計画)策定ガイド(中小企業向け)を、緊急時に動ける体制はインシデント対応リテイナーの費用と相場を参考にしたい。
学び③:事業継続が「効いた」局面
同社は第4報で、システム障害発生後から現在に至るまで、製品の生産・受注・出荷業務は継続できているとしている。システムが被害を受けても、中核となる事業活動を止めない——これは事業継続の備えが効いた局面といえる。
ランサム対策は「侵入を100%防ぐ」だけでは完結しない。侵入されても、中核業務を止めない・早期に戻せることが、被害を「事業の停止」にしないための鍵になる。自社にとって止められない業務は何か、それをシステム障害時にどう維持・代替するか——平時に設計しておくことが、いざというときの差になる。社内に対応チームを持つ考え方はCSIRT(インシデント対応チーム)構築ガイド(中小企業向け)で扱っている。
「最初の数時間」、自社の手順は決まっていますか
GXOでは、インシデント時の初動手順づくりから、復旧の優先順位設計(BCP)、平時から相談できる体制(セキュリティ顧問・インシデント対応)まで支援しています。「何から手をつければいいか分からない」段階のご相談を歓迎します。
※ 営業電話はしません | オンライン対応可 | 構想段階の相談だけでもOK
よくある質問(FAQ)
Q1. ランサムの兆候を見つけたら、まず何をすべきですか?
被害の横展開を止めるため、速やかに該当端末・ネットワークを隔離・遮断することが基本です。そのうえで、社内のエスカレーション(誰に・どう報告するか)と、外部の専門家(フォレンジック・インシデント対応)への連絡を行います。これらを「その場で考える」のではなく、事前に手順化しておくことが重要です。
Q2. なぜ復旧にこれほど時間がかかるのですか?
ランサム被害の復旧は、暗号化の解除だけでなく、感染範囲の特定(フォレンジック調査)、ネットワーク・サーバ環境の再構築、再発防止のためのセキュリティ強化を含むためです。コタ社の事例でも、発覚から確報まで約2か月余りを要しています。「すぐ元通り」を前提にせず、長期戦に耐えうる復旧計画とバックアップを備えておく必要があります。
Q3. 中堅・中小企業でも、上場企業と同じ備えが必要ですか?
規模に関わらず、初動手順・バックアップ・事業継続の3点は必要です。むしろ体制が手薄なほど、被害が事業停止に直結しやすくなります。一度に完璧を目指すより、「止められない業務は何か」「兆候を見つけたら誰がどう動くか」から始めるのが現実的です。
Q4. 個人情報の漏えいはあったのですか?
コタ社の第4報時点では、個人情報の漏えいやその他情報の不正利用といった被害は確認されていないとされています。ただし調査は継続中であり、確定情報ではありません。一般に、ランサム被害では暗号化と情報窃取(二重恐喝)が併発しうるため、漏えいの有無は調査結果を待つ必要があります。
まとめ:侵入される前提で「止めない・戻せる」を設計する
コタ株式会社の適時開示は、ランサム被害が「発覚から確報まで2か月超」という長期戦になりうること、そして初動の遮断と事業継続の備えが被害の広がりを左右することを示している。重要なのは、(1) 兆候を察知したときの速やかな遮断手順、(2) 長期戦に耐える復旧計画とバックアップ、(3) 中核業務を止めない・早期に戻せる事業継続設計——の3点だ。
侵入を100%防ぐことはできない前提で、「止めない・戻せる」を平時に設計しておくことが、被害を事業の停止にしないための答えになる。GXOは、初動手順づくりから復旧設計、平時の対応体制づくりまで支援している。詳細はセキュリティ事業・インシデント対応支援・セキュリティ運用伴走をご覧いただきたい。
「侵入されても止まらない」体制を、一緒に設計しませんか
初動手順、復旧の優先順位(BCP)、平時から動ける体制づくりまで、貴社の業務に合わせて整理します。「バックアップは取っているが、戻せるか不安」という段階からご相談ください。
参考情報
- コタ株式会社「サイバー攻撃によるシステム障害発生のお知らせ(第4報)(ランサムウェア感染によるシステム障害の経緯及び対応等について)」(適時開示・2026年6月5日。一部のサーバ・社内PC端末等のランサム感染とデータ暗号化を公表、生産・受注・出荷は継続、個人情報漏えい等は現時点で未確認):https://ssl4.eir-parts.net/doc/4923/tdnet/2832077/00.pdf
- 同社 適時開示(第1報 2026年3月30日/第2報 4月2日/第3報 4月15日/第4報 6月5日。日経 適時開示インデックス):https://www.nikkei.com/nkd/disclosure/tdnr/20260330592911/
- ※ 本記事は同社の適時開示に基づく。ランサムウェアの種別・攻撃者・侵入経路、被害の具体的な範囲(台数等)は開示されておらず、本記事でも断定しない。