2025年10月、オフィス用品通販大手「アスクル」を襲った大規模なシステム障害。その正体は、悪質なランサムウェア攻撃でした。
「注文した商品が届かない」「LOHACOが使えない」という混乱が続き、最終的には約74万件もの情報流出が判明する事態となりました。
この記事では、元プログラマーの視点から「なぜアスクルほどの企業が侵入を許したのか」「バックアップまで無力化された手口とは何か」を詳しく解説し、私たちが学ぶべき対策をまとめます。
何が起きたのか(時系列まとめ)
今回のインシデントは、単なるウイルス感染ではなく、数ヶ月前から準備された計画的なサイバー攻撃でした。2025年12月に公開された調査報告書に基づき、時系列を整理します。
- 2025年以前(潜伏期間):攻撃者が「委託先企業のID/パスワード」を入手し、アスクルのネットワークへ密かに侵入。数ヶ月間、社内システムの偵察を行う。
- 2025年10月19日:攻撃者がランサムウェアを一斉に実行。基幹システム、物流システム、さらにバックアップサーバーまでもが暗号化される。
- 直後:アスクルが異常を検知し、ネットワークを遮断。法人向け「ASKUL」、個人向け「LOHACO」の受注・出荷が停止。
- 2025年10月30日頃:サイバー犯罪グループ「Ransomhouse」が犯行声明を発表。データの身代金を要求(アスクル側は支払いを拒否)。
- 2025年11月〜12月:物流が部分的に再開するも、完全復旧には至らず。「クリーンな環境」でのシステム再構築を進める。
- 2025年12月15日:調査結果を公表。約74万件の個人・取引先情報の流出(可能性含む)と、原因が「委託先アカウントの漏洩」であることを特定。
詳細・事実関係(なぜ起きたのか)
ここからは、ITの裏側に詳しい「村上陽介」として、この事件の技術的な恐ろしさを解説します。単に「ウイルス対策ソフトを入れていれば防げた」という単純な話ではありません。
1. 「正規の鍵」で正面突破された(委託先アカウントの漏洩)
今回、ハッカーはシステムの不具合(脆弱性)を突いたのではなく、「正しいIDとパスワード」を使って堂々と正面玄関から入ってきました。
原因は、アスクルの業務を請け負う「委託先企業」のアカウント情報が漏洩していたことです。セキュリティの世界では「サプライチェーン攻撃」と呼ばれますが、どんなに本丸(アスクル)の城壁を高くしても、城に出入りする業者の「合鍵」を盗まれたら防ぎようがありません。
2. 管理者権限を奪取し、防御システム(EDR)を無効化
侵入後、攻撃者はすぐに暴れまわったわけではありません。数ヶ月間息を潜め、ネットワーク内でより高い権限(ドメイン管理者権限など)を奪うための工作を行いました。
その結果、本来ウイルスを検知して止めるはずの高度なセキュリティ製品「EDR」の設定を、攻撃者が自らOFFにする(無効化する)という事態が発生しました。番犬(EDR)が吠える前に、泥棒が首輪を外してしまったような状態です。
3. バックアップも同時に暗号化
最も被害を深刻化させたのが、「バックアップデータも同じネットワーク内にあり、暗号化されてしまった」点です。
通常、システムが壊れてもバックアップがあれば復元できます。しかし、今回は攻撃者がネットワーク内を自由に移動できたため、接続されていたバックアップサーバーも破壊されました。これにより、アスクルは「ゼロからシステムを作り直す」という気の遠くなる作業を強いられ、復旧に数ヶ月を要することになったのです。
世間の反応・公式声明
アスクルは、攻撃者に対する毅然とした態度を表明しています。
「犯罪行為を助長させないという社会的責任の観点から、身代金の支払いや交渉は一切行わない」(アスクル株式会社 公表資料より要約)
この対応には、セキュリティ業界からも「苦渋の決断だが正しい」「安易に支払えば次の攻撃資金になるだけだ」と評価する声が上がっています。一方で、利用者からは「情報流出が心配」「配送遅延で業務に支障が出た」という不安の声も依然として多く見られます。
まとめ
今回のアスクルの事例は、日本企業にとって「明日は我が身」の教訓となりました。
- 原因:委託先のアカウント管理不備(パスワード漏洩)。
- 被害:物流停止、売上減、74万件の情報流出。
- 教訓:
- ID/パスワードだけでなく、スマホ認証などを組み合わせる「多要素認証(MFA)」の徹底が必須。
- バックアップはネットワークから切り離した場所(オフライン)にも保管する。
- 「委託先」のセキュリティ管理も自社の責任として監査する。
私たち利用者は、流出した可能性のある情報(メールアドレスなど)が悪用されないか、不審なメールに注意を払う必要があります。
