アスクル、サイバー被害120億円から顧客奪還へ

はじめに

アスクルが2026年1月28日、2025年6〜11月期の決算でサイバー攻撃による特別損失52億円を計上すると発表しました。利益減少分などを含めた被害総額は120億円に達します。吉岡晃社長は「会社の事業そのものが揺らぐダメージ」と危機感を示しました。

2025年10月のランサムウェア攻撃から約3カ月、アスクルは2026年1月に全面復旧を果たしましたが、サービス停止中に他社へ流出した顧客をどう取り戻すかが最大の課題です。同社はプライベートブランド（PB）商品の大幅値下げという異例の策で顧客奪還に挑みます。本記事では、被害の全容と復旧後の経営戦略について解説します。

ランサムウェア攻撃の全容

4カ月以上潜伏した攻撃者

アスクルへのランサムウェア攻撃は2025年10月19日に発動しましたが、攻撃者の初期侵入は同年6月5日にまでさかのぼります。約4カ月半にわたり、攻撃者はシステム内部に潜伏していました。

被害が発生したデータセンターのサーバーにはEDR（エンドポイント検知・応答）が未導入だったことが判明しています。さらに、検知が困難な複数種のランサムウェアが使用されており、発見が大幅に遅れました。セキュリティ対策を講じていたにもかかわらず、死角を突かれた形です。

売上95%減という衝撃

ランサムウェアの起動により、アスクルの受注・出荷システムは全面停止しました。2025年11月の売上高は前年同月比95%減という壊滅的な数字を記録しています。法人向け通販「ASKUL」も個人向けの「LOHACO」も、長期間にわたりサービスを提供できない状態が続きました。

さらに、72万件以上の個人情報が流出したことも確認されています。顧客データの漏洩は、サービス復旧後の信頼回復をさらに困難にする要因です。

被害総額120億円の内訳

アスクルが計上した特別損失52億円には、サービス復旧に備えた物流基盤の維持費用、システム調査・復旧費用、出荷期限切れ商品の評価損などが含まれます。これに売上機会の損失や利益減少分を加えると、被害総額は120億円に達します。

同社は事態の責任を明確にするため、対象取締役の月額固定報酬を2026年1月から5月まで20%減額する措置も発表しています。身代金については、攻撃者との接触・交渉は一切行っていないとしています。

全面復旧と顧客回復への挑戦

段階的な復旧の歩み

アスクルは段階的にサービスを復旧させてきました。2025年12月から法人向け通販「ASKUL」を部分的に再開し、2026年1月20日には個人向け「LOHACO」の全商品注文を再開しました。翌21日には大阪DC・名古屋DCでの物流システムを用いた出荷も再開し、全面復旧を達成しています。

しかし、約3カ月間のサービス停止は、顧客に大きな行動変容をもたらしました。オフィス用品の調達先として他社のECサイトに切り替えた企業は少なくありません。一度定着した購買行動を元に戻すのは容易ではなく、これがアスクルの最大の経営課題となっています。

PB商品値下げという「賭け」

アスクルが打ち出した顧客回復策の柱が、PB商品の大幅な値下げです。利益率よりも顧客数の回復を優先する戦略で、短期的には収益を圧迫する「賭け」とも言える判断です。

アスクルのPB商品「アスクルオリジナル」は、コピー用紙やファイル、清掃用品など、オフィスで日常的に消費される商品を幅広くカバーしています。品質と価格のバランスに定評があり、リピート購入率が高い商品群です。この主力商品を値下げすることで、他社に流れた顧客に「戻る理由」を提供する狙いです。

競合との厳しい戦い

問題は、サービス停止中にAmazonビジネスやモノタロウなどの競合がアスクルの顧客を取り込んでいることです。特にAmazonは法人向けサービスを強化しており、一度移行した企業を呼び戻すにはPB商品の値下げだけでは不十分な可能性もあります。

アスクルは「翌日届く」の社名通り、迅速な配送と豊富な品揃えを強みとしてきました。全面復旧後はこうした基本的なサービス品質の回復に加え、価格面での訴求力を高めることで差別化を図る戦略です。

注意点・今後の展望

収益回復の道のりは長い

PB商品の値下げは顧客回復に一定の効果が期待できますが、収益面では逆風となります。120億円の被害を受けた直後に利益率を犠牲にする判断は、短期的な業績悪化を覚悟したものです。通期連結業績予想を取り下げざるを得なかった現状からも、先行きの不透明さがうかがえます。

被害前の水準に戻るまでには相当の時間を要する見込みです。特に、72万件以上の個人情報流出による信頼毀損は、値下げだけでは解消できない根深い課題です。

セキュリティ体制の再構築

今回の事件は、EDR未導入のサーバーが存在していたという基本的なセキュリティ対策の不備を露呈しました。アスクルは全面的なセキュリティ体制の見直しを進めており、再発防止に向けた投資も必要です。セキュリティへの追加投資は、収益回復をさらに遅らせる要因となり得ます。

日本企業へのサイバーセキュリティの教訓

アスクルの事例は、サイバー攻撃が企業の事業存続を脅かすリスクであることを改めて示しました。4カ月以上潜伏されていた事実は、侵入防御だけでなく、内部監視・検知能力の重要性を浮き彫りにしています。EC事業者や物流企業にとって、サイバーセキュリティは経営課題そのものです。

まとめ

アスクルはランサムウェア攻撃により120億円の被害を受け、2026年1月に全面復旧を果たしました。しかし、約3カ月のサービス停止で失った顧客をどう取り戻すかが最大の課題です。PB商品の値下げという利益を犠牲にした戦略で顧客奪還に挑みますが、競合環境の厳しさや信頼回復の難しさを考えると、回復への道のりは長いと言わざるを得ません。

セキュリティ体制の抜本的な見直しと並行して、顧客基盤の再構築を進める同社の取り組みは、サイバー攻撃からの企業復興のモデルケースとして注目されます。

参考資料:

• トレンドマイクロ「アスクル株式会社のランサムウェア攻撃被害報告書を読み解く」
• INTERNET Watch「アスクル、ランサムウェア攻撃の詳細な調査結果を公開」
• Impress Watch「アスクル、全商品購入可能に ランサム被害から全面復旧」
• EnterpriseZine「アスクル、ランサムウェア障害で特損52億円計上」
• 東洋経済「アスクル吉岡晃社長の悔恨」
• アスクル プレスリリース「ランサムウェア攻撃の影響調査結果」