読了予定時間: 約8分
2025年10月19日、アスクルの基幹システムが企業向け・個人向け通販サイト「ASKUL」「LOHACO」のランサムウェア攻撃により暗号化されました。これにより、受注から出荷に至るまでの流れが停止し、復旧まで数週間以上を要しています。11月12日現在も完全復旧には至っていません。
攻撃を行ったハッカーグループ「RansomHouse」は、1.1テラバイトに及ぶ大量のデータを盗み出したと主張しています。流出情報には以下が含まれています。
また、配送を委託している良品計画(無印良品)、ロフト、そごう・西武に関わる顧客の住所、氏名、電話番号等の情報も流出の可能性があるものの、クレジットカード情報は含まれていないと公式に説明されています。
アスクルの事案に続き、同じく2025年秋にはアサヒグループHDやアクリーティブ(「ドン・キホーテ」関連業務委託先)など国内の大手企業でも同様のランサムウェア被害が相次いで発生しています。このことから、サプライチェーン全体の情報セキュリティに抜本的な見直しが求められています。
DataClasysの専門家は、「アスクル事案は単一の物流拠点の攻撃が、委託先企業を巻き込みサプライチェーン全体に波及する例」として指摘しています。つまり、物流・受発注システムの一部が侵害されるだけで、関連企業や顧客まで広範囲に被害が及ぶ点が、現代企業の最大のリスクです。
また、LYZON社代表は「部分的な防御策では限界があり、システム設計レベルで全体最適なセキュリティ対策の構築が必須」と述べており、統合的なセキュリティ戦略の欠如が今回の事態を招いた一因と分析しています。
今回の事例を踏まえ、企業が取るべき重要な対策を3つ挙げます。
情報資産を委託・共有するすべてのパートナー企業について、通信経路、アクセス権限、ログ管理などリスク評価を実施することが不可欠です。特に物流や受発注を担う拠点は重点的に監査・改善を行いましょう。
単なるウイルス対策ソフトやファイアウォールに依存せず、システムの根幹から侵入検知、暗号化、アクセス制御、定期的な脆弱性診断を組み込む必要があります。これにより多層防御(Defense in Depth)を実現できます。
個人情報流出の影響は「なりすましメール」や「フィッシング詐欺」の増加を招くため、被害拡大を防ぐには継続的な注意喚起が重要です。攻撃発覚時には速やかに公式発表と連携して対策案内を徹底しましょう。
多くの企業で初動対応が遅れるケースが目立ちます。サイバー攻撃発生時の連絡フロー、復旧手順、外部専門機関との連携を日頃から策定し、従業員向けの定期的訓練の実施も推奨されます。
2025年9月に被害が報じられたアサヒグループHDでは、事前に多層防御の体制を強化しており、攻撃直後に即座に該当サーバを切り離して被害拡大を防ぎました。また、被害後も透明性のある情報開示と被害者支援を迅速に行い、顧客の信頼を維持できています。
まず自社だけでなく委託先も含めたネットワークやデータフローを整理し、どこにリスクがあるかマッピングしましょう。
経営層のコミットを得たうえで実効性のあるポリシーを作成し、全従業員に対して研修などで周知を徹底します。
暗号化、アクセス制御、多要素認証、IDS/IPS(侵入検知・防御システム)などを統合して導入し、多層的な防御体制を構築。
サイバー攻撃を想定した模擬訓練を定期的に行うことで、万一発生時の即応力を高めます。
委託先とも情報共有や検査基準を取り決め、情報セキュリティの水準を揃えて継続的に評価します。
アスクルのランサムウェア感染事件は、単なる1社の問題を超え、現代のサプライチェーンに潜む構造的リスクを示しました。複雑化した企業間連携の中で、情報漏えいや事業停止の被害を最小限に抑えるには、全体最適の視点で包括的なセキュリティ対策を推進することが不可欠です。
今後もランサムウェアをはじめとしたサイバー脅威は高度化・巧妙化が予想されるため、以下の行動をお勧めします。
これらを着実に実践することで、企業ブランドの保護と顧客の信頼維持につなげましょう。
Q: ランサムウェア攻撃とは何ですか?
A: ランサムウェア攻撃は、システムのデータを暗号化し、復旧のために身代金を要求するサイバー攻撃です。
Q: 企業はどのようにしてリスクを評価できますか?
A: ネットワークやデータフローを整理し、脆弱性のある部分をマッピングすることで評価できます。
Q: 顧客情報が流出した場合、企業はどのように対応すべきですか?
A: 速やかに公式発表を行い、顧客への対策案内を徹底することが重要です。