2025年10月19日、日本の大手オフィス用品・物流企業 アスクル株式会社(Askul) は、ランサムウェア攻撃による大規模なシステム障害と情報流出という深刻なサイバー事件に見舞われました。
攻撃者はサービスの受注・出荷システムを麻痺させ、顧客データや取引先情報を含む約74万件ものデータを搾取しました。この事件は企業のサイバー防衛態勢の脆弱性を改めて露呈したものであり、企業と顧客双方に大きな影響を与えました。
この記事では、事件の経緯・原因・実行者・対応、そして今後企業が取るべき対策について詳しく解説します。IT Leaders+1
目次
ランサム攻撃の経緯 ─ システム停止とサービス中断
アスクルへの攻撃は 2025年10月19日 に発覚しました。侵入後、ランサムウェアが同社ネットワーク内に広がり、重要な物流・注文管理システムへのアクセスを阻害しました。その結果、同社が提供する法人向けEC「ASKUL」や個人向けサービス「LOHACO」、さらに法人向け「SOLOEL ARENA」 といった複数のプラットフォームで 受注・出荷が停止しました。Breached Company
この影響は単にアスクル内部にとどまらず、アスクルの物流を利用する大手小売企業にも波及しました。例えば 無印良品(Ryohin Keikaku) や Loft はオンライン注文の出荷が大幅に遅れるなど、サプライチェーン全体に大きな混乱が生じました。Breached Company
攻撃を受けた当初は、ウェブサイトやサービスの復旧見込みが立たず、注文をFAXで受け付けるなど暫定措置が取られていましたが、約6週間後には企業向けECサービスの限定的な再開が始まりました。個人向けのLOHACO全体の再稼働は、企業サービスの完全復旧後とされています。The Record from Recorded Future
攻撃原因と侵入手法 ― 委託先の管理者アカウントが突破口に
アスクルが公開した報告書によると、今回の侵入は 業務委託先が使用していた管理者アカウントの認証情報の漏洩が突破口でした。
調査では、そのアカウントには 多要素認証(MFA)が適用されていなかったことが不正アクセスを許した主因と特定されています。IT Leaders
攻撃者はこのアカウント情報を不正に利用してVPN経由でネットワークに侵入し、EDR(エンドポイント検知・対応)ソフトを無効化した後、社内の複数サーバにアクセスを広げました。
その後、ランサムウェアを展開し、ファイルを暗号化した上で バックアップデータまでも削除することでシステム復旧を困難にしました。IT Leaders
さらに侵害中に一部のデータが盗まれ、攻撃者の要求などに利用されました。このような手法は、現代の高度なランサムウェア攻撃で一般的になっており、企業の認証情報管理の甘さが致命的な穴となるケースが目立っています。
実行した組織 ― RansomHouse の関与
攻撃自体はランサムウェアグループ RansomHouse が主体であるとダークウェブ上の声明及び調査結果から示されています。RansomHouse は伝統的なファイル暗号化だけでなく、侵入したデータそのものを搾取・公開する「データ恐喝型」の手法を採ることがあり、単なる復号鍵の要求に留まらない脅迫戦略を取る組織として知られています。Breached Company
この攻撃では、攻撃者が大量の顧客情報を1.1テラバイト規模で保持していると主張したというレポートもあり、被害の大きさと侵害データの価値の高さが窺えます。Breached Company
アスクルの対応 ― 初動から復旧まで
侵入発覚後、アスクルは即座にネットワークを遮断し、感染したシステムを切り離すことで被害の拡大を食い止めました。同時に社内に 対策本部とIT復旧部会を設置し、外部の専門機関と連携してフォレンジック調査を実施しました。アスカロジスト
また、全管理者アカウントのパスワードをリセットし、MFA を主要な管理者アカウントに適用するなど侵入経路の封鎖に努めました。さらに、ランサムウェア検体の抽出とシグネチャ更新を通じたセキュリティ防御強化や、SOC(セキュリティ運用センター)による監視体制の強化など、再発防止策が進められています。IT Leaders
アスクルは攻撃者との交渉や身代金の支払を一切行っておらず、犯罪行為の助長を避ける方針を明言しています。また、情報保護委員会への報告と被害を受けた顧客・取引先への通知対応も進めています。Nippon
セキュリティ対応 ― 防御から復旧戦略まで
アスクルの事件は、現代の企業が直面するサイバーリスクの典型例と言えます。被害を未然に防ぐためには、いくつかの基本的な対策が重要です。
まず、**多要素認証(MFA)**を全ての管理者アカウントに適用することが不可欠です。侵入経路の多くは認証情報の窃取や設定ミスによるものが多く、MFA は単純なパスワード泄漏からのリスクを大きく低減します。
次に、アクセスログや監視体制の強化が求められます。侵入の初期段階での異常行動の検知は、防御の突破を防ぐ鍵となります。現代の攻撃は横移動や権限昇格を伴うことが多く、ネットワーク内の動きを詳細に追跡できる体制が必要です。
バックアップ戦略も見直す必要があります。ランサムウェアはバックアップファイルそのものを狙う攻撃が増えており、オフラインバックアップや分離されたバックアップストレージ の採用が推奨されます。
さらに、サプライチェーン全体のセキュリティ評価が重要です。アスクルの場合、委託先のアカウントが突破口となったように、外部パートナーのセキュリティ水準が企業の防衛線を弱めることがあります。
企業文化としては、透明性を持った情報共有と教育も必要です。社内の情報共有基盤やサイバーセキュリティ教育を強化することで、従業員全体の脅威認識を高めることができ、攻撃に対する初期対応力が向上します。
まとめ
アスクルへのランサムウェア攻撃は、単なる一企業の事故ではなく、サイバー攻撃が企業の基幹システムとサプライチェーン全体を揺るがすという事実を示しました。 認証情報管理の脆弱性、多要素認証の不徹底、そしてバックアップ戦略の欠如などが被害を拡大させた要因として挙げられます。
アスクルは迅速な初動対応と復旧計画、そして外部専門機関との連携を通じてサービス再開に向けた道を歩んでいますが、今回の事件は 「完全な防御は存在しない」 という現実を改めて企業に突きつけました。重要なことは、リスクを想定し、未然防止・早期検知・迅速対応の一体化したサイバー防御体制を構築することです。
そのためには、最新の攻撃手法と防衛策を継続的に学び、企業全体で脅威に備える姿勢が求められます。IT Leaders+1