アスクル、最終損益が221億円の赤字-サイバー攻撃によるシステム 停止が影響

セキュリティニュース

投稿日時: 更新日時:

アスクル、最終損益が221億円の赤字-サイバー攻撃によるシステム 停止が影響

アスクル株式会社は2026年7月3日、2026年5月期(2025年5月21日から2026年5月20日まで)の連結決算を発表しました。売上高は4,001億99百万円と前期比16.8%減、営業損益は174億45百万円の損失に転落し、前期の140億4百万円の黒字から一気に赤字へと反転しています。2025年10月19日に発生し、本サイトでも継続的に追いかけてきたランサムウェアによるサイバー攻撃について、業績への影響がようやく具体的な数字として開示された形です。

決算発表資料には、営業利益を押し下げた要因が金額付きで分解されているほか、システム障害対応費用や休止固定資産の減価償却費といった、攻撃に直接起因するコストも個別に示されています。攻撃発生から決算発表までの経緯はすでに何度も報じてきましたが、今回は被害額そのものにフォーカスして整理します。

サマリー

  • 2026年5月期の連結売上高は4,001億99百万円(前期比16.8%減)、営業損益は174億45百万円の損失(前期は140億4百万円の黒字)
  • 決算資料は営業利益の押し下げ要因を分解しており、売上高減少に伴う利益減136億円、売上総利益率の低下64億円、一時的な物流効率低下による物流費増89億円の3つが、主にランサムウェア攻撃に起因するものと明記されている
  • 営業利益より下の区分でも、休止固定資産減価償却費12.6億円(営業外費用)とシステム障害対応費用51.0億円(特別損失)が計上されており、合計で64億円弱がランサムウェア攻撃による直接コストとして可視化された
  • システム障害対応費用の内訳は、サービス復旧に備えた物流基盤等の維持費用、システム調査・復旧費用、出荷期限切れ商品の評価損の3点で、うち27億60百万円がすでに現金支出済み
  • 子会社フィード(社内コードAP67)ののれん・顧客関連資産の減損損失48億円も特別損失に含まれるが、これは円安による仕入原価上昇が要因でありランサムウェア攻撃とは別の経営判断
  • 2027年5月期は売上高4,900億円、営業利益70億円の黒字化を計画しており、業績は回復局面に入る見通し
項目 25/5期 26/5期 前期比
売上高 4,811億円 4,001億円 16.8%減
営業利益 140億円 174億円の損失
経常利益 138億円 190億円の損失
親会社株主に帰属する当期純利益 90億円 221億円の損失
ランサムウェア攻撃の直接コスト(営業外+特別損失) 約64億円
27/5期売上高計画 4,900億円 22.4%増
27/5期営業利益計画 70億円の黒字

売上高16.8%減、営業損益は174億円の赤字に転落

決算短信によると、2026年5月期の連結売上高は4,001億99百万円で前期比16.8%減、営業損益は174億45百万円の損失(前期は140億4百万円の黒字)、経常損益も190億62百万円の損失(前期は138億16百万円の黒字)となりました。親会社株主に帰属する当期純損益にいたっては221億50百万円の損失で、前期の90億68百万円の黒字から大きく反転しています。1株当たり当期純利益も前期の95.45円から245.41円の損失に転じました。

背景にあるのは、2025年10月19日に発生し本サイトでも第1報から追い続けてきたランサムウェアによるサイバー攻撃です。物流システムが暗号化されたことで出荷業務が広範囲に停止し、LINEヤフーからの人的支援を受け入れながら復旧を進め、2025年11月度の単体売上高は前年同月比で約95%減という水準にまで落ち込みました。決算資料の説明では、主要なサービスレベルが障害発生前の水準まで復旧したのは2026年2月以降とされており、実に4か月以上にわたって事業活動が正常化しなかったことになります。攻撃そのものの経緯や複数回にわたる個人情報流出の公表については既報の通りですが、今回の決算発表で初めて、その被害が金額としてどこまで会社の数字を動かしたのかが具体的に見えるようになりました。

営業損益を大きく悪化させた3つの主因

決算説明資料には、前期の営業利益140億円が26年5月期の174億円の損失に転落した過程を分解したウォーターフォールチャートが掲載されています。このうち、ランサムウェア攻撃に主に起因するとされているのは次の3項目です。

まず売上高減少に伴う利益減が136億円。出荷停止と受注停止によって単純に売上機会そのものが失われた影響です。次に売上総利益率の低下による64億円。これはサービス復旧の過程で、利益率は低いものの需要の高い商品(コピー用紙など)の出荷を優先したことや、復旧後に大規模な販売促進を打って顧客基盤を取り戻そうとしたことが利益率を押し下げた結果です。そして一時的な物流効率の低下による物流費増が89億円。倉庫管理システムを使わない手作業での出荷対応を続けた期間が長期化したことで、物流コストが膨らんだことを示しています。この3つだけで289億円の押し下げ要因となっており、残りはロジスティクス事業の利益減(9億円)や、関東DC稼働・基幹システムリプレイスに伴う固定費増(25億円)といった、攻撃とは別に進行していた投資要因が占めています。

営業利益より下で計上された64億円のシステム障害対応コスト

営業利益の押し下げ要因とは別に、営業外費用と特別損失にもランサムウェア攻撃に起因する費目が明記されています。営業外費用には休止固定資産減価償却費として12億69百万円。これは物流システムの停止によって稼働を止めた固定資産の減価償却費を、通常の売上原価ではなくこの区分で計上したものです。特別損失にはシステム障害対応費用として51億8百万円が計上されており、決算短信の注記によれば、その内訳はサービス復旧に備えた物流基盤等の維持費用、システム調査・復旧費用、出荷期限切れ商品の評価損の3点とされています。ここで整理しておきたいのは、前段で挙げた289億円はあくまで売上機会の損失や利益率低下による業績インパクトであり、実際に費用として帳簿に計上されたものではないという点です。一方でこの64億円弱は、営業外費用・特別損失として実際に計上された費用そのものにあたります。両者の性質の違いを踏まえたうえで合算すると、決算資料から読み取れるランサムウェア攻撃の影響は、業績インパクトと直接費用をあわせて350億円超に及んだことになります。

キャッシュ・フロー計算書を見ると、システム障害対応費用のうち27億60百万円がすでに現金として支出済みであることも確認できます。営業活動によるキャッシュ・フローは108億2百万円の支出(前期は129億8百万円の収入)となっており、税金等調整前当期純損失297億90百万円という数字とあわせて、攻撃の影響が損益計算書だけでなく資金繰りの面にも及んでいたことがうかがえます。

ランサムウェアの侵入原因は業務委託先向けリモート接続アカウントの悪用

攻撃の技術的な原因そのものは今回の決算資料では触れられていませんが、同社が2025年12月12日付の第13報で公表した内容によれば、業務委託先向けのリモート接続用アカウントが悪用され、外部からネットワーク内部へ侵入されたことが起点とされています。侵入後は社内を偵察しながら認証情報を窃取し、EDRなどのセキュリティソフトを無効化した上で複数のサーバへ横展開し、物流システムや社内システムにランサムウェアを配置。複数種のランサムウェアが同時に発動し、物流センターを制御するサーバ群だけでなく、同じデータセンター内にあったバックアップデータまで暗号化されたことが、出荷停止からの復旧に長期間を要した最大の要因とされています。ランサムウェアグループのRansomhouseが犯行声明を出し約1.1TBのデータを窃取したと主張していることも既報の通りで、最終的に約74万件の個人情報が外部に流出した、または流出した可能性があることが確認されています。バックアップが本番環境と同一のデータセンター内にあったために同時に被害を受けたという構図は、サーバサイドエンジニアとしてバックアップ設計に携わってきた経験からしても、今回の決算数字の大きさを説明する重要なポイントだと感じています。

のれん減損48億円はランサムウェア攻撃とは別の要因

決算資料には、子会社フィード株式会社(社内コード名AP67)ののれん及び顧客関連資産に関する減損損失48億23百万円も特別損失として計上されています。これはランサムウェア攻撃とは独立した要因で、円安の進行による仕入原価の上昇と、それを主因とした顧客基盤拡大の鈍化が背景とされています。フィードは歯科医院向けeコマース事業の強化を目的に取得した会社ですが、別法人格であることによるシナジー創出の遅れも課題として挙げられており、今後はグループ内での再編を通じて調達機能の統合や物流基盤の共有によるシナジー最大化を図る方針が示されています。攻撃による損失と経営判断による減損が同じ決算期に重なったことで、特別損失全体の金額(108億2百万円)だけを見るとランサムウェア攻撃の影響を過大に見積もってしまいがちですが、この2つは切り分けて理解しておく必要があります。

27年5月期は営業利益70億円の黒字を計画

2027年5月期の業績予想は、売上高4,900億円(前期比22.4%増)、営業利益70億円の黒字(前期は174億円の損失)、経常利益63億円、親会社株主に帰属する当期純利益40億円とされています。売上高については被害発生前の水準まで回復する計画とされる一方、収益力については過去水準と比較してなお回復途上にあり、下期にかけて段階的に改善が進む見通しが示されています。配当金についても、26年5月期の年間10円から27年5月期は20円(中間10円・期末10円)に引き上げる予定で、総還元性向45%を継続する方針です。同社は2026年8月に代表取締役の交代を含む新体制への移行も予定しており、事業復旧の過程で得られた学びを次期以降の成長戦略に反映させる姿勢を示しています。

情報システム部門への示唆

今回の決算で興味深いのは、ランサムウェア被害の全体像が売上減少や利益率悪化といった間接的な影響と、システム障害対応費用や休止固定資産の減価償却費といった直接コストに、明確に分けて開示されている点です。ネットワークエンジニアとして障害対応の現場に立ってきた経験から言うと、インシデント発生直後は復旧作業そのものに意識が向きがちですが、後になって経営層や取締役会にコストの全体像を説明する場面では、こうした費目単位での整理が非常に役立ちます。自組織でランサムウェア対応の予算やBCP計画を検討する際にも、直接コスト(調査・復旧費用、資産の評価損)と間接コスト(売上機会の損失、利益率の悪化)を分けて試算しておくと、投資対効果の説明がしやすくなるはずです。

また、同一データセンター内にあったバックアップまで暗号化されたことが復旧長期化の要因になっている点は、バックアップの物理的・論理的な分離がいかに重要かを改めて示す事例です。オフラインバックアップやイミュータブルストレージの採用状況を再点検する良い機会になるのではないでしょうか。なお、同時期に大規模なランサムウェア被害を受けた企業の決算については、アサヒグループホールディングスの財務インパクトを整理した記事でも取り上げていますので、業種を超えた被害額の比較材料としてあわせてご覧いただければと思います。

出典