インシデント概要
| 被害企業 | アスクル株式会社(東証プライム) |
| 事業内容 | 法人向け事務用品・日用品EC「ASKUL」、個人向け通販「LOHACO」。売上高は年間約3,800億円規模 |
| 初期侵入日 | 2025年6月5日(検知の約4ヶ月前) |
| 検知日 | 2025年10月19日(日) |
| インシデント種別 | ランサムウェア攻撃(RansomHouse)による暗号化・データ窃取(二重脅迫) |
| 侵入経路 | 委託先の管理者アカウント(MFA未適用)への不正アクセス→基幹システムへ侵入 |
| 攻撃グループ | RansomHouse:ロシア関連のランサムウェアグループ。データ窃取に特化した二重脅迫型 |
| 窃取データ量 | 約1.1TB |
| 個人情報漏えい | 【確定】約73.7万件(事業所向け約59万件、個人向け約13.2万件、取引先約1.5万件) |
| 身代金支払い | なし(「攻撃者とは接触しない」方針) |
| LOHACO再開 | 2026年1月20日(停止から約3ヶ月) |
| 調査状況 | 調査完了(2025年12月12日 第13報・最終報告)。セキュリティ強化は2026年5月期中に完了予定 |
時系列
公式発表(16報まで)および報道を基に整理した時系列です。
6月5日
委託先の管理者アカウント(MFA未適用)への不正アクセスにより、アスクルの基幹システムへ初期侵入。以後約4ヶ月間、検知されることなく潜伏・横展開を継続。
ランサムウェアによる暗号化を検知。被害拡大防止のため基幹システムを全面停止。法人向けASKULおよびLOHACOの受注・出荷が停止。
「RansomHouse」がダークウェブ上で犯行声明を公開。約1.1TBのデータを窃取したと主張。アスクルは「攻撃者とは接触しない」方針を表明し、身代金支払いを拒否。
法人向けサービスの受注・出荷を段階的に再開。物流拠点の拡大を進めながら対応品目数を順次増加。
流出件数の確定値を公表(事業所向け約59万件、個人向け約13.2万件、取引先約1.5万件、合計約73.7万件)。クレジットカード情報は保有しておらず、漏えいなし。
基幹物流システムが再稼働。出荷体制を本格的に回復。
1月15日
ASKUL関西DCでの物流システムが再開し、単品注文の対応品目が約2万5,000点から約24万4,000点に拡大。
個人向け通販「LOHACO」が2026年1月20日午後3時より注文受付を再開。翌日配達・配達日時指定・送料無料なども順次復旧。
技術的詳細(攻撃手口・侵入経路)
今回の攻撃において最も重要な教訓は、「委託先アカウントのMFA未設定」という基本的なセキュリティ不備が侵入口になったことです。
攻撃の詳細なプロセスは以下の通りです。
- 初期侵入(6月5日):委託先が保有していたアスクルシステムへの管理者アカウントに、多要素認証(MFA)が設定されていなかった。攻撃者はこの脆弱な認証情報を用うく正アクセスに成功し、基幹システムへの足がかりを得た。
- 潜伏・横展開(6月5日〜10月19日:約4ヶ月間):検知されることなく、システム内を横展開し権限を拡大。重要データへのアクセス権を確立しつつ、約1.1TBのデータを外部サーバーへ転送(二重脅迫の準備)。
- 暗号化・攻撃実行(10月19日):十分な準備を終えた後、一斉にファイルを暗号化。基幹システムが全面停止し、法人・個人向けの全サービスが停止に追い込まれた。
- 二重脅迫(10月30日):身代金を支払わなければ窃取データを公開すると脅迫。アスクルは支払いを拒否し、データ漏えいの被害通知を実施。
4ヶ月潜伏が示す「検知能力」の重要性
今回の攻撃で特に注目すべきは、初期侵入から攻撃実行まで約4ヶ月間が経過していたことです。この間にEDR(エンドポイント検知・対応)やSIEM(セキュリティ情報・イベント管理)が機能していれば、早期に異常な通信や権限昇格を検知できた可能性があります。
| フェーズ | 内容 | 今回のケース |
|---|---|---|
| ①初期侵入 | 委託先MFA未設定アカウントを悪用 | 2025年6月5日 |
| ②潜伏・横展開 | 約4ヶ月間、検知されずにシステム内を移動 | 6月〜10月 |
| ③データ窃取 | 約1.1TBのデータを外部へ転送 | 74万件超が対象 |
| ④暗号化 | 基幹システムを全面暗号化 | 2025年10月19日 |
| ⑤二重脅迫 | 身代金要求・データ公開脅迫 | 支払い拒否・被害通知を実施 |
中小企業への教訓
アスクルは物流・ECという複雑なサプライチェーンを持つ大企業ですが、今回の侵入口は「委託先の管理者アカウントにMFAがなかった」という、規模に関わらず誰でも防止できた問題です。外部委託先・クラウドサービスのアカウント管理は中小企業でも避けて通れない課題です。
- 委託先・外部ベンダーのアカウント管理が最重要課題:今回の突破口は「委託先の管理者アカウントにMFAがない」という1点でした。自社システムを委託先に接続させる場合、そのアカウントのセキュリティ設定も自社の責任です。委託先のアクセス権限と認証強度を定期的に棚卸しする必要があります。
- MFA(多要素認証)は最低限の必須対策:パスワードだけのアカウントは、漏えいした瞬間に突破されます。MFAを有効にするだけで、このタイプの攻撃の多くを防げます。クラウドサービス・VPN・管理ツールすべてでMFAを有効化してください。
- 4ヶ月気づかれなかった潜伏:自社のシステムに不審な通信が発生していても、監視ツールがなければ気づけません。ログ監視・異常検知の仕組みが、被害の拡大を防ぐ唯一の手段です。
- BCP視点での事業継続への影響:LOHACO停止は3ヶ月に及びました。EC・通販事業は注文受付停止がそのまま売上ゼロを意味します。中小企業でも「システム全停止」の場合にどう事業を継続するかを考えておく必要があります。
- 「身代金不払い」の姿勢とその後の対応:アスクルは身代金を支払わず、データ漏えい被害者への通知を実施しました。支払いは再攻撃を招くリスクがあり、国際的にも「支払わない」ことが推奨されています。支払う代わりに被害を最小化する対応計画を事前に用意しておくことが重要です。
- 自社システムにアクセスできる外部委託先・ベンダーのアカウントをすべて洗い出す
- 洗い出したすべてのアカウントでMFA(多要素認証)が有効になっているか確認する
- 不要になった委託先アカウントは即時削除・無効化する(最小権限の原則)
- クラウドサービス・VPN・管理ツールすべてでMFAを有効化する
- 重要システムへのログインログを定期的に確認し、不審なアクセスを検知する体制を作る
- 重要データのバックアップを取り、ネットワークから切り離した場所に保管する
- 「全サービス停止」を想定したBCP(事業継続計画)を作成・見直しておく
企業の対応・再発防止策
アスクルは第13報(最終報告)で調査結果を公表するとともに、セキュリティガバナンス体制の再構築を進めることを表明しました。
| 対策項目 | 内容・状況 |
|---|---|
| MFA全面適用 | 委託先を含む全管理者アカウントにMFAを必須化 |
| 委託先管理強化 | 外部アクセス権限の棚卸しと定期レビューの制度化 |
| ネットワーク監視強化 | 異常な通信・権限昇格を早期検知できる監視体制の整備 |
| NIST準拠対策 | 米国NIST(国立標準技術研究所)のサイバーセキュリティフレームワークに準拠した対策を強化 |
| ガバナンス再構築 | セキュリティガバナンス体制を全面的に見直し・再構築(2026年5月期中に完了予定) |
| 被害者対応 | 漏えい該当者への個別通知・お詫びを実施。クレジットカード情報の保有なし(決済事業者管理)のため、カード情報漏えいはなし |
編集部まとめ
アスクルへの攻撃は「委託先のMFA未設定1点」から始まり、74万件超の漏えいと3ヶ月以上の主要サービス停止という甚大な被害につながりました。これだけの大企業でも防げなかったのは、「基本的なセキュリティ設定の抜け」を徹底的に管理しきれていなかったためです。
中小企業にとっての最大の教訓は「MFAを今すぐ有効にすること」と「外部委託先のアクセス権限を棚卸しすること」の2点です。コストをかけずに実施できるこの対策が、今回のような攻撃を防ぐ最初の壁になります。
また、4ヶ月間気づかれずに潜伏されたことは、「侵入されないこと」だけでなく「侵入されても早期に気づける体制」の重要性も示しています。ログ監視・EDRの導入を中長期的な対策として検討することをお勧めします。
LOHACO 受注再開(停止から約3ヶ月ぶり)。翌日配達・配達日時指定・定期購入も順次復旧。(日経新聞報道)
第16報公表。ASKUL関西DCで物流システムが再開。単品注文対応品目が約2.5万点→約24.4万点に拡大。(PRTimes)
物流システムが再稼働。出荷体制を本格的に回復。
第13報(最終調査報告)。流出件数確定:事業所向け約59万件+個人向け約13.2万件+取引先約1.5万件=合計約73.7万件。調査完了を公表。(PRTimes)
RansomHouseがダークウェブで犯行声明。約1.1TBのデータ窃取を主張。アスクルは「攻撃者とは接触しない」方針を表明。
ランサムウェアを検知。基幹システムを全面停止。ASKUL・LOHACOサービス停止。
参考情報・出典
- ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告(第13報)|アスクル株式会社(2025年12月12日)
- サービスの復旧状況について(第16報)|アスクル株式会社(2026年1月15日)
- アスクルがロハコ再開 停止から3カ月ぶり、通販全サイトが復旧|日本経済新聞(2026年1月)
- アスクル、ランサムウェア攻撃の詳細な調査結果を公開~個人情報など72万件以上の流出確認|INTERNET Watch
- アスクル、ランサムウェアの情報流出は約74万件「攻撃者とは接触せず」|Impress Watch
- アスクル株式会社のランサムウェア攻撃被害報告書を読み解く|トレンドマイクロ
- アスクルへのランサムウェア攻撃:RansomHouseによる犯行声明と被害の全容|サイバーセキュリティ総研
