トキハの27億円債務超過から学ぶ、サイバー攻撃が中小企業を直撃
2026年2月25日、大分県を地盤とする百貨店トキハが衝撃的な決算を発表しました。
最終損益は54億円の赤字、27億円の債務超過。地元では誰もが知る老舗百貨店が、このような状況に陥った直接の原因の一つが、子会社トキハインダストリーが受けたランサムウェア型サイバー攻撃でした。
「大企業の話だから自分には関係ない」と思う方も多いかもしれません。しかし、この事例は中小企業こそ正面から受け止めるべき内容です。
何が起きたのか
報道によると、サイバー攻撃は2025年3月30日に発生しました。トキハグループの子会社であるスーパー運営会社トキハインダストリーが、ランサム型サイバー攻撃を受けてシステム障害が発生したことが公表されています。
その後の決算では、システム障害の影響などにより本店と別府店の土地・建物の簿価を見直し、49億円の減損損失を計上したことで最終赤字が拡大したと報告されています。
決算発表自体も、サイバー攻撃によるシステム障害の影響で約10か月遅れての発表となりました。攻撃の影響は、システムが復旧した後も長期間にわたって会社の経営判断・情報開示にまで及んだことになります。
最終的に、トキハは子会社トキハインダストリーの株式をイオン九州へ譲渡し、大分銀行グループからの増資を受け入れることで、2026年度中に債務超過を解消する見通しとしています。
なぜ「子会社の被害」が本体の決算を揺るがすのか
ここで注目したいのは、攻撃を受けたのは子会社(トキハインダストリー)であり、損失計上の対象は親会社(トキハ)の不動産評価だったという点です。
サイバー攻撃の被害は、システムの復旧コストだけにとどまりません。
- システム停止による営業への直接的な影響
- 復旧までの調査・フォレンジック費用
- 決算発表の遅延による信用面への影響
- グループ全体の資産評価・経営判断への波及
一つの拠点・一つの子会社で起きた攻撃が、グループ全体の経営状況を揺るがす——これが今回のケースが示す最大の教訓です。
「うちは大企業じゃないから狙われない」は誤解
中小企業の経営者から、「うちみたいな規模の会社を狙う意味があるのか」という声をよく聞きます。しかし、実態は逆です。
ランサムウェア被害に伴う復旧費用は1,000万円以上になるケースが半数を超えるとされ、状況によってはさらに高額化する例もあると報告されています。さらに、復旧費用が膨らむ要因として、システム復旧作業だけでなく原因調査(フォレンジック)、外部ベンダーの支援費用、緊急の代替運用、社内外への説明対応、業務停止による逸失利益が同時に積み上がる点が指摘されています。
中小企業は、大企業と比べてセキュリティ投資が手薄になりがちです。攻撃者にとっては「入りやすく、システムを止めれば金銭を要求しやすい相手」に見えてしまうという指摘もあります。規模が小さいことは、防御の手薄さと裏表の関係にあるのです。
大分の中小企業が今すぐ確認すべき3つのこと
トキハの事例から、中小企業がすぐにチェックできる項目を整理します。
1. バックアップは「別の場所」に取れているか
社内ネットワークと同じ環境にバックアップを置いていると、ランサムウェア攻撃時に同時に暗号化される危険があります。オフラインまたはクラウド上の別環境に、定期的なバックアップを取る仕組みが必要です。
2. 取引先・グループ会社経由のリスクを把握しているか
トキハの事例は、子会社経由で攻撃が広がった可能性が指摘されています。自社だけでなく、取引先・委託先のセキュリティレベルも経営リスクの一部として捉える視点が必要です。
3. 被害が起きたときの「初動対応」を決めているか
被害が発生した場合、まずどこに相談・連絡し、どのような対応から取りかかるべきかをあらかじめ整理しておくことが重要だと専門家は指摘しています。インシデント発生時に慌てて対応すると、復旧の遅れや情報開示の遅延につながります。
セキュリティ対策は「コスト」ではなく「経営判断」
トキハの事例が示しているのは、サイバー攻撃が単なる「ITの問題」ではなく、会社の存続そのものを左右する経営課題であるという事実です。
中小企業にとって、大規模なセキュリティ投資をすぐに行うのは現実的ではないかもしれません。しかし、最低限のバックアップ体制の確認、取引先を含めたリスクの把握、初動対応の整理——これらは大きな費用をかけずに今すぐ始められることです。
「うちのITは大丈夫か」を一度棚卸しすることが、最初の一歩になります。
参考:朝日新聞、日本経済新聞、OBS大分放送、データ・マックス、セキュリティ対策Lab、CyberCrew各報道(2026年2〜3月)