top of page

アスクルへのサイバー攻撃について

  • y-sakonji
  • 1月23日
  • 読了時間: 6分

2025年10月19日、事務用品通販大手のアスクル株式会社がランサムウェアによるサイバー攻撃を受けました。これによりアスクルは受注・出荷業務の停止を余儀なくされ、取引先を含む広範囲に多大な被害を受けました。この件についてまとめています。



<発生・対応経緯>

アスクルのニュースリリース(ランサムウェア攻撃によるシステム障害関連・第13報)にて次のような経緯が公表されています。 

2025年10月19日

  • 午前、ランサムウェアによる攻撃を検知 

  • ランサムウェア感染の疑いのあるシステムの切り離しとネットワーク遮断 

  • セキュリティ監視運用の強化 

  • 全パスワードの変更に着手 

  • 14 時、本社内に対策本部、事業継続部会・IT復旧部会を設置 

  • 16 時半、「ASKUL」「ソロエルアリーナ」「LOHACO」受注、出荷業務停止

2025年10月20日

  • 外部専門機関へ支援要請。ログ解析、影響の詳細調査開始 

  • 意図しないデータ変更のチェック 

  • 意図しないプログラムリリース有無の点検実施 

  • プログラムのタイムスタンプ異常の点検実施

2025年10月22日

  • 外部クラウドサービスへの不正アクセス発生

2025年10月23日

  • 主要な外部クラウドサービスに関連するパスワードを変更完了 

2025年10月24日

  • 認証情報のリセット 

  • 主要なアカウントパスワード変更の実施 

  • 管理アカウントのMFA(※1)適用 

  • ランサムウェア検体抽出、EDR(※2)シグネチャ更新

2025年10月29日

  • 出荷トライアル第1弾(FAX注文・出荷2拠点/ケース品37アイテム出荷)開始

2025年10月31日

  • 攻撃者により公開された情報(外部への流出)の確認を完了 ※10月30日夜に公開された情報

2025年11月4日

  • 情報流出専用お問い合わせ窓口を開設

2025年11月7日~10日

  • 出荷トライアル第1弾拡大(出荷5→7拠点、ケース品37→230アイテム)

2025年11月11日

  • 攻撃者により公開された情報の確認を完了 ※11 月10日夜に公開された情報

2025年11月12日~12月3日

  • 出荷トライアル第2弾開始、拡大

    ・ソロエルアリーナとASKULがWebサイト受注再開

    ・メディカル単品500アイテム、ケース品596アイテム、サプライヤー直送1,450万アイテム

2025年12月2日~12月9日

  • 12月2日夜に攻撃者により公開された情報を認識、調査開始 

  • 12月9日攻撃者により公開された情報の確認を完了


※1 Multi Factor Authentication:ID やパスワード(知識情報)に加え、認証の3要素である「(スマホなどの)所持情報」「(指紋、顔などの)生体情報」のうち、2つ以上の異なる要素を組み合わせて認証を行う方法。多要素認証。

※2 Endpoint Detection and Response:PC、スマートフォン、サーバといったエンドポイントに侵入したサイバー攻撃の痕跡を検知し、迅速に対応するためのセキュリティ対策。



<被害>

〇受注、発注業務の全面停止による売上減少

11月度(10月21日~11月20日)の売上高が前年同月比約95%減。

(法人向け「ASKUL」事業の売上高は94.6%減の17億円、個人向け「LOHACO」事業は99%以上減の300万円)

12月度(11月21日〜12月20日)の売上高が前年同月度比75%減。

(法人向け「ASKUL」事業の売上高は73%減の88億円、個人向け「LOHACO」事業は99%以上減の1300万円)


〇サプライチェーン・取引先に与える影響

アスクルの子会社アスクルロジスト株式会社に物流を委託していた無印良品、ロフト、そごう・西武などの大手小売企業のネット販売も停止する事態に陥り、被害が広範囲に及びました。


〇個人情報の流出

2025年12月12日時点で流出が確認された個人情報の概要は以下のとおりです。

二次被害防止の観点から情報の詳細については公表されていません。

事業所向けサービスに関するお客様情報の一部

約59万件

個人向けサービスに関するお客様情報の一部

約13万2,000件

取引先(業務委託先、エージェント、商品仕入先等)に関する情報の一部

約1万5,000件

役員・社員等に関する情報の一部(グループ会社含む)

約2,700 件

なお、「LOHACO」の決済ではクレジットカード情報をアスクルが取得しない仕組みをとっているため、顧客のクレジットカード情報は保有していません。



<攻撃手法>

アスクルの調査結果(ランサムウェア攻撃によるシステム障害関連・第13報)にて攻撃の手口が次のように明らかにされています。


攻撃者はネットワーク内に侵入するために、認証情報を窃取し不正に使用したと推定

初期侵入に成功後、ネットワーク内を偵察し複数のサーバにアクセスするための認証情報を収集

EDR等の脆弱性対策ソフトを無効化し、複数のサーバ間を移動して必要な権限を取得し、ネットワーク全体へのアクセス権を窃取

複数種のランサムウェアが使用され、当時のEDRシグネチャでは検知が難しいランサムウェアも含まれていた。

その後、ランサムウェアを複数サーバに展開し、ファイルの暗号化を一斉に実行

同時にバックアップファイルの削除も行われ、一部システムの復旧に時間を要する要因となった。



<発生原因>

当時のログが削除されているため完全な原因究明は難しいものの、例外的に多要素認証を適用していなかった業務委託先の管理者アカウントのIDとパスワードが不正利用され、侵入されているのが調査で確認されています。

なお、VPN機器ベンダが2025年9月末頃に脆弱性を公表していましたが、脆弱性を悪用した侵入の痕跡や、アスクル社員のPCへの不正侵入は確認されませんでした。

また、侵入されたデータセンターのサーバにはEDRが未導入で24時間監視も行われていなかったため不正アクセス等を検知できなかったとのことです。



<再発防止策>

今回の事件を受けて以下のような再発防止策が打ち出されています。

〇当社および業務委託先における

    ・全てのリモートアクセスにMFAの徹底


    ・管理者権限の厳格な運用


    ・従事者の再教育


〇24時間365日の監視と即時対応の体制整備


〇EDR導入を含む、網羅的で多層的な検知体制の構築


〇ランサムウェア攻撃を想定したバックアップ環境の構築


〇機器管理の詳細化




<まとめ>

1月20日に「LOHACO」サービスが注文再開となり、3か月ぶりに全サービスが再開、復旧されました。復旧に数日で済む場合もあれば、今回のように数か月必要になることもあります。それを見越してBCP(事業継続計画)を構築または定期的に見直すことの重要性を感じました。

それと同時に自社のみならずサプライチェーン全体のセキュリティ強化が必要に迫られていることが分かります。



<参考>




 
 
 

コメント

  • Facebook
bottom of page