アスクルを襲ったランサムウェア攻撃、復旧に3カ月

はじめに

2025年10月19日、通販大手アスクルのシステムがランサムウェア攻撃を受け、受注・出荷業務が全面停止に追い込まれました。画面に表示されたのは「白いうさぎにロックされました」というメッセージ。吉岡晃社長によれば、攻撃発覚後も約1カ月にわたって「窃取したデータを公開する」という脅迫と断続的な不正アクセスが続いたといいます。

通販サイトの完全復旧までに要した期間は約3カ月。2025年12月12日に公表された調査報告書では、攻撃者が4カ月以上前からネットワーク内に潜伏していたことが明らかになりました。本記事では、この事件の全容と企業が学ぶべき教訓について解説します。

攻撃の全容：4カ月の「静かな侵入」

業務委託先の認証情報が突破口に

調査報告書によると、攻撃者の初期侵入は2025年6月5日にさかのぼります。突破口となったのは、アスクルの業務委託先に付与されていた管理者アカウントの認証情報でした。このアカウントには例外的に多要素認証（MFA）が設定されておらず、IDとパスワードのみで社内ネットワークへのアクセスが可能な状態でした。

攻撃者は正規のアカウントを使用してログインしていたため、セキュリティシステムは異常を検知できませんでした。一部のサーバーはEDR（エンドポイント検出・対応）の監視対象外であったことも、長期間にわたる潜伏を可能にした要因の一つです。

4カ月にわたる権限拡大

6月の侵入から10月のランサムウェア発動まで、攻撃者はネットワーク内部で段階的に行動範囲を広げていきました。複数のサーバーやシステムへのアクセスを試み、認証情報の収集と権限の昇格を進めたとされています。このような「低速・持続型」の攻撃手法は、近年のランサムウェア攻撃に共通する特徴です。

そして2025年10月19日、攻撃者はランサムウェアを一斉に起動しました。サーバーの暗号化とファイルの削除が実行され、アスクルの物流センターを含むシステムが機能停止に追い込まれました。

「うさぎの脅迫」と執拗な攻撃の1カ月

RansomHouseの関与

この攻撃を実行したのは、RansomHouseと呼ばれるサイバー犯罪グループとされています。RansomHouseは当初は閉鎖的なグループとして活動していましたが、近年はRaaS（ランサムウェア・アズ・ア・サービス）モデルを採用し、アフィリエイト（協力者）を通じた攻撃を展開しています。

米国のFBI（連邦捜査局）やCISA（サイバーセキュリティ・インフラセキュリティ庁）は、RansomHouseがイラン系サイバーアクターと連携しているケースがあると警告しています。被害組織のネットワークへのアクセスを提供する見返りに、身代金の一部を受け取る仕組みです。

発覚後も続いた脅迫

吉岡社長の証言によれば、10月19日の攻撃発覚後も断続的な攻撃と脅迫が続きました。攻撃者は「窃取したデータを公開する」と脅迫し、「FBIには連絡するな」との警告も含まれていました。こうした「二重脅迫」は、データの暗号化と窃取した情報の公開という二つの手段で被害者を追い込む手法で、近年のランサムウェア攻撃の主流となっています。

実際にRansomHouseは、10月下旬から11月10日、12月2日にかけて、アスクルから窃取したとするデータをダークウェブ上に段階的に公開しました。

被害の規模：売上95%減と74万件の情報流出

事業への甚大な影響

攻撃の影響は甚大でした。アスクルの2025年11月度の売上高は前年同月比で95%減となりました。法人向け通販「ASKUL」や「ソロエルアリーナ」、個人向け通販「LOHACO」がすべて停止し、無印良品やロフトなど、アスクルの物流網に依存する他のブランドにも影響が波及しました。

物流システムの再稼働は2025年12月17日で、完全復旧までに約2カ月を要しました。個人向け通販LOHACOは2026年1月に再開し、攻撃から約3カ月でようやく全サービスが復旧しています。

74万件超の個人情報流出

2025年12月12日の調査報告書で確認された個人情報の流出件数は約74万件に上ります。内訳は、事業所向けサービス「ASKUL」や「ソロエルアリーナ」の顧客情報が約59万件、個人向け通販「LOHACO」の顧客情報が約13万2,000件です。

吉岡社長は東洋経済のインタビューで「顧客が他社から買うのは当然。逃げずに信頼回復を尽くすことが経営責任」と語り、再発防止への決意を示しています。

教訓と企業が取るべき対策

サプライチェーンセキュリティの重要性

今回の事件で最も注目すべきは、侵入経路が業務委託先の認証情報だった点です。自社のセキュリティをいくら強化しても、取引先やパートナー企業のセキュリティが脆弱であれば、そこが突破口となります。多要素認証の「例外」を設けたことが、結果的に致命的な隙を生みました。

アスクルの再発防止策

アスクルが公表した再発防止策は、短期・中期のフェーズに分かれています。短期フェーズでは、不正アクセス経路の遮断、EDRの監視範囲拡大、残存脅威の調査・対策、MFAの全アカウントへの徹底が行われています。中期フェーズでは、24時間365日のセキュリティ監視体制の構築、権限管理の見直し、従業員教育の強化が計画されています。

潜伏型攻撃への備え

ランサムウェア攻撃者が数カ月にわたってネットワーク内に潜伏するのは、もはや珍しいことではありません。東洋経済の報道では「ランサムウェアは何カ月も潜伏するのがフツー」と指摘されています。定期的な脅威ハンティング（能動的な脅威探索）やネットワークトラフィックの異常検知、権限の最小化の原則の徹底が、早期発見のカギとなります。

まとめ

アスクルへのランサムウェア攻撃は、日本企業のサイバーセキュリティにおける構造的な課題を浮き彫りにしました。業務委託先を経由した侵入、4カ月の潜伏期間、74万件の情報流出、売上95%減という被害は、サイバーリスクが経営リスクそのものであることを改めて示しています。

企業が取り組むべきは、自社だけでなくサプライチェーン全体のセキュリティガバナンスの強化です。多要素認証の例外を許容しないこと、EDRの監視範囲を全システムに拡大すること、そして「攻撃は必ず起きる」という前提のもとで早期検知と迅速な対応の体制を構築することが求められています。

参考資料:

• アスクル株式会社のランサムウェア攻撃被害報告書を読み解く - トレンドマイクロ
• アスクル、ランサムウェア攻撃の検証レポートを公開 - SBbit
• Askul says 740,000 sets of data breached in cyberattack - The Japan Times
• Askul confirms theft of 740k customer records - BleepingComputer
• アスクル吉岡晃社長の悔恨 - 東洋経済
• RansomHouse Ransomware Threat Actor - FortiGuard