2025年10月19日、オフィス用品通販大手のアスクル株式会社が、ランサムウェア(身代金要求型ウイルス)による大規模なサイバー攻撃を受け、受注・出荷業務の全面停止という深刻な事態に陥りました。この攻撃により、同社が運営する法人向け通販「ASKUL」や「ソロエルアリーナ」、個人向け通販「LOHACO(ロハコ)」の全サービスが機能不全に陥っただけでなく、同社の子会社に物流を委託していた無印良品、ロフト、そごう・西武などの大手小売企業のネット販売も停止する事態となり、影響は広範囲に及んでいます。
この事件は、一企業へのサイバー攻撃が、取引先や物流ネットワークを通じて瞬く間に複数の企業に波及する「サプライチェーンリスク」の恐ろしさを浮き彫りにしました。警察庁の統計によれば、2025年上半期のランサムウェア被害報告件数は116件と過去最多を記録しており、日本企業を狙った攻撃が高水準で続いている現状があります。わずか1カ月前の9月29日には、アサヒグループホールディングスも同様のランサムウェア攻撃を受けて生産・出荷が停止し、決算発表の延期を余儀なくされたばかりでした。
本記事では、アスクルへのサイバー攻撃の全容を詳細に分析し、攻撃の経緯、被害の実態、背景にある日本企業の脆弱性、そして企業が今後取るべき対策について包括的に解説します。
攻撃を受けた企業とその事業構造
アスクル株式会社の概要
アスクル株式会社は、1997年に設立された日本を代表するBtoB(企業間取引)およびBtoC(企業対消費者取引)のeコマース企業です。本社を東京都江東区に置き、2024年5月期の連結売上高は約4,716億円、従業員数は約3,687名(連結)という規模を誇ります。同社は、LINEヤフー株式会社の子会社として位置づけられており、Zホールディングスグループの一員でもあります。
同社の事業は大きく2つのセグメントに分かれています。第一は法人向け通販「ASKUL」で、オフィス用品、文具、事務用品、医療・介護用品、工業用資材など幅広い商品を取り扱い、企業や官公庁に「明日来る」をコンセプトにスピーディーな配送を提供しています。第二は個人向け通販「LOHACO」で、日用品、食品、化粧品などを取り扱い、一般消費者をターゲットとしています。
物流ネットワークの中核としての役割
アスクルの事業モデルの特徴は、自社で構築した高度な物流ネットワークにあります。同社は全国に複数の物流センターを展開し、翌日配送を実現する独自の配送システムを構築してきました。特に、子会社のアスクルロジスト株式会社は、アスクル自社だけでなく、外部企業からも物流業務を受託しており、その顧客リストには無印良品を展開する良品計画、生活雑貨のロフト、百貨店のそごう・西武など、著名な小売企業が名を連ねています。
アスクルロジストの採用ウェブサイトによれば、三芳EC物流センターでは2024年時点で約15社の荷主から業務委託を受けていたとされ、同社の物流インフラが日本の小売業界において重要な位置を占めていることがわかります。この「ハブ(中心拠点)」としての役割が、今回の攻撃において被害を拡大させる要因となりました。
攻撃直前の脅威環境
日本企業を取り巻くサイバー脅威は、近年急激に悪化しています。警察庁が2025年9月に発表した調査によると、2025年1月から6月までの半年間で、ランサムウェアの被害報告件数は116件に達し、2022年下半期と並んで過去最多を記録しました。特に中小企業が狙われる傾向が続いており、全体の約3分の2を占めています。
また、ランサムウェアの侵入経路として最も多いのがVPN機器の脆弱性で、全体の約7割を占めているとの統計があります。このような背景の中で、9月29日にはアサヒグループホールディングスがランサムウェア集団「Qilin(キリン)」による攻撃を受け、システム障害により生産・出荷が停止する事態が発生していました。アサヒの事例では、攻撃者が個人情報や内部文書を窃取し、身代金を支払わなければデータを公開すると脅迫する「二重恐喝」の手法が用いられました。
このように、日本の大手企業を標的としたランサムウェア攻撃が常態化している状況下で、アスクルへの攻撃が発生したのです。
攻撃の経緯と手法
攻撃発生の経緯
2025年10月19日午前、アスクルの社内システムで異常が検知されました。同社の基幹システムにアクセスできない、注文管理システムが機能しないなどの問題が相次いで報告され、IT担当部門が緊急対応を開始しました。調査の結果、同社のサーバーがランサムウェアに感染していることが判明し、データが暗号化されて業務システムが使用不能な状態に陥っていることが確認されました。
同社は直ちに捜査当局に通報するとともに、被害の拡大を防ぐため、すべての受注・出荷業務を停止する決断を下しました。同日18時30分、アスクルは公式プレスリリースを発表し、「ランサムウェア感染によるシステム障害が発生した」ことを公表しました。
攻撃手法の詳細
今回の攻撃で使用されたランサムウェアの詳細や、具体的な攻撃者の特定については、10月20日時点では公表されていません。しかし、サイバーセキュリティの専門家からは、VPN機器経由での侵入の可能性が指摘されています。
ランサムウェア攻撃の一般的な流れは以下のとおりです。まず、攻撃者はVPN機器やリモートデスクトップ接続(RDP)の脆弱性を悪用して企業ネットワークに侵入します。次に、ネットワーク内を横断的に移動(ラテラルムーブメント)し、重要なサーバーやデータベースを特定します。そして、データを窃取した上でランサムウェアを展開してデータを暗号化し、身代金を要求します。近年は、身代金を支払わなければ窃取したデータを公開すると脅迫する「二重恐喝」が主流となっています。
アスクルの事例でも、同社の基幹システムが暗号化されて使用不能となり、受注・出荷システムが完全に停止しました。個人情報や顧客データの外部流出については「現在調査中」とされており、データ窃取の有無は明らかになっていません。
被害範囲と規模
攻撃により影響を受けたのは、アスクルの以下のサービスです:
(1)法人向け通販「ASKUL」「ソロエルアリーナ」
- 全面的な受注停止(Webサイト、FAXともに不可)
- 全面的な出荷停止
- 既に受け付けていた注文のキャンセル
- 新規会員登録の停止
- カスタマーサポート窓口の機能不全
(2)個人向け通販「LOHACO」
- 全面的な受注停止
- 全面的な出荷停止
- 既存注文のキャンセル
(3)その他サービス
- 返品受付の停止
- 領収書再発行の停止
- カタログ送付の停止
- 各種回収サービスの停止
システム復旧の見通しは10月20日時点で全く立っておらず、アスクルは「一刻も早い復旧に向けた対応を行っている」と繰り返すのみで、具体的な復旧時期を示すことができていません。
攻撃者に関する情報
10月20日時点では、今回の攻撃について犯行声明を出しているグループは確認されていません。アサヒグループへの攻撃ではロシア拠点のランサムウェア集団「Qilin」が犯行声明を出していましたが、アスクルの事例では攻撃者の特定には至っていません。
サイバーセキュリティ企業の分析によれば、2025年7月から9月の四半期において、Qilinは227件の攻撃を実行し、RaaS(Ransomware as a Service:ランサムウェア・アズ・ア・サービス)集団の中で最も活発でした。日本企業を標的とする攻撃が継続的に発生していることから、今回の攻撃も同様の組織的犯罪グループによるものである可能性が高いと考えられます。
影響・被害範囲
アスクル自身への業務影響
アスクルの2024年5月期の売上高は約4,716億円で、そのうちASKUL事業が約3,585億円、LOHACO事業が約368億円を占めています。全面的な業務停止により、1日あたり約10億円から13億円程度の売上機会損失が発生していると推定されます。
さらに深刻なのは、システム復旧に要する費用です。警察庁の調査によれば、ランサムウェア被害を受けた企業の約59%が復旧費用として1,000万円以上を要しており、長期化すれば数億円規模の損害となる可能性があります。また、専門家の見解では、これまでのパターンから見ると復旧には1カ月以上かかる可能性も指摘されています。
サプライチェーン・取引先への波及
今回の攻撃の最も深刻な側面は、アスクルの物流ネットワークに依存していた複数の企業に被害が連鎖的に拡大したことです。
(1)良品計画(無印良品) 無印良品を展開する良品計画は、アスクルの子会社アスクルロジストに商品配送を委託していました。攻撃発生を受けて、同社はネットストアの全サービス・機能を停止し、公式アプリの一部機能も停止しました。店舗の物流には影響がなく通常営業を継続していますが、EC事業は完全にストップしました。
特に深刻なのは、10月24日から11月3日まで予定していた主要な販促イベント「無印良品週間」について、実店舗での開催に限定せざるを得なくなったことです。会員に対して10%値引く同社の最重要販促策において、ネット販売が実施できないことは、大きな機会損失となります。
(2)ロフト 生活雑貨店ロフトも、アスクルロジストに物流を委託しており、ネットストアでの販売を全面停止しました。復旧時期は未定とされています。
(3)そごう・西武 百貨店のそごう・西武は、アスクルに出荷を依頼しているファッション、コスメなどの一部商品について、ネットストアでの受注・出荷を停止しました。ただし、全体への影響は軽微としています。
顧客への影響
既に注文を完了していた顧客は、すべてキャンセル処理となり、商品を受け取ることができなくなりました。法人顧客にとっては、業務に必要な事務用品やオフィス用品の調達計画が狂い、代替手段を緊急に探す必要が生じました。個人顧客にとっても、日用品や食品などの購入予定が白紙となり、不便を強いられています。
カスタマーサポート窓口も機能不全に陥り、電話が繋がりにくい状態が続き、Webサイトの問い合わせフォームも停止しているため、顧客は状況を確認する手段すら限られています。
株価・信用・ブランドへの影響
週明け10月20日の東京株式市場では、ランサムウェア感染による物流障害の影響が懸念され、アスクル株は一時前週末比6%安の1,387円と、7月7日以来の日中下落率を記録しました。良品計画株も続落し、一時6.6%安の2,924円を付けました。
岩井コスモ証券のシニアアナリストは、「良品計画のECは比率としてはまだ大きくないが、ECを強化し始めてその効果が少しずつ出始めたところだった」と指摘し、成長戦略への影響を懸念しています。アスクルについては、影響が長引けば顧客が競合他社に流れるリスクも指摘されています。
実際、オフィス用品通販を手がけるコクヨの子会社カウネットでは、アクセス集中や新規登録の問い合わせ増加が見られており、サーバー増強などで対応する方針を明らかにしています。アスクルの既存顧客が、この機会に競合サービスに乗り換える可能性は十分にあり、中長期的な顧客基盤の毀損が懸念されます。
法規制・開示義務への対応
日本では、個人情報保護法により、個人情報の漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務付けられています。アスクルは現在、個人情報や顧客データの外部流出について調査中としていますが、流出が確認された場合には法的な対応と開示が必要となります。
また、上場企業として、重要な業務停止は適時開示の対象となります。今回、アスクルは攻撃発生当日にプレスリリースを発表しており、初動の情報開示は迅速でしたが、今後の復旧見通しや被害規模の詳細については、投資家や株主に対して継続的な説明責任が求められます。
背景・原因分析
業界特有のリスク
物流・EC業界は、サイバー攻撃の格好の標的となっています。その理由は以下のとおりです。
第一に、膨大な顧客データと取引情報を保有していることです。氏名、住所、電話番号、メールアドレス、購買履歴、決済情報など、攻撃者にとって価値の高いデータが集中しています。
第二に、業務システムの停止が直ちに事業継続に影響することです。受注・出荷・配送といった基幹業務がデジタル化されているため、システムが停止すれば事業そのものが止まります。これは攻撃者にとって、身代金支払いを強制する強力な圧力となります。
第三に、サプライチェーンの中核に位置することです。物流業者が攻撃を受けると、その影響は物流を委託している複数の企業に連鎖的に波及します。今回のアスクルの事例がまさにそれを示しています。
日本企業一般のセキュリティ体制の弱点
ITジャーナリストの三上洋氏は、「日本企業は英語圏に比べてセキュリティが甘い傾向にある」と指摘しています。これには複数の構造的要因があります。
(1)IT・セキュリティ人材の不足 日本では多くの企業がサイバーセキュリティ専門人材を持たないという課題があります。特に中小企業では、情報システム部門そのものが少人数で運営されており、最新のサイバー脅威に対応できる体制が整っていません。
(2)レガシーシステムの存在 長年使用してきた古いシステムが、セキュリティパッチの適用が困難であったり、最新のセキュリティ技術に対応していなかったりするケースが多く見られます。
(3)DX投資の遅れ 欧米企業と比較して、日本企業はデジタルトランスフォーメーション(DX)への投資が遅れており、セキュリティ対策が後回しにされる傾向があります。
(4)サプライチェーン全体のセキュリティ管理の不足 自社のセキュリティは強化していても、取引先や委託先のセキュリティが脆弱であれば、そこが侵入口となります。サプライチェーン全体を俯瞰したリスク管理が不足しています。
攻撃者視点から見たターゲット選定理由
アスクルが攻撃対象となった理由は、複数考えられます。
第一に、企業規模と知名度です。売上高約4,700億円の大手企業であり、攻撃が成功すれば大きな身代金を得られる可能性があります。また、メディアでの報道も大きくなり、攻撃者にとっては「実績」のアピールにもなります。
第二に、物流ハブとしての重要性です。アスクル自身だけでなく、複数の企業の物流を担っているため、攻撃の影響が広範囲に及び、身代金支払いへのプレッシャーが高まります。
第三に、データの価値です。法人・個人合わせて膨大な顧客データを保有しており、これらを窃取すれば二重恐喝の材料となります。
第四に、VPN等の侵入経路の存在可能性です。リモートワークの普及に伴い、多くの企業がVPN機器を導入していますが、適切な管理とセキュリティパッチの適用が追いついていないケースが多く、攻撃者にとっては侵入しやすい環境となっています。
初期段階の対処と被害拡大のメカニズム
ランサムウェア攻撃は、多くの場合、侵入から実際のデータ暗号化まで数日から数週間の潜伏期間があります。この間、攻撃者はネットワーク内を探索し、重要なサーバーを特定し、データを窃取します。
もし、この潜伏期間中に異常を検知できれば、被害を最小限に抑えることができます。しかし、多くの企業では、ネットワーク監視やログ分析が十分に行われておらず、異常を早期に検知できないのが実情です。
また、一度ランサムウェアが展開されると、ネットワーク内を横断的に拡散し、複数のシステムを同時に暗号化します。特に、バックアップサーバーも標的とされるケースが多く、バックアップからの復旧すら困難になることがあります。
アスクルの事例では、10月19日午前に異常が検知されていますが、それ以前にどの程度の期間、攻撃者がネットワーク内に潜伏していたかは明らかになっていません。
ランサムウェア被害に対する対応・復旧状況のタイムライン
アスクルの対応(時系列)
2025年10月19日(土)
- 午前: 社内システムで異常を検知。IT担当部門が緊急対応を開始
- 同日: ランサムウェア感染を確認。捜査当局に通報
- 同日: 全面的な受注・出荷業務の停止を決定
- 18時30分: 公式プレスリリースを発表。ランサムウェア感染によるシステム障害を公表
- 同日: 自社Webサイトにお知らせを掲載。顧客への謝罪と影響範囲の説明
- 同日夕方: 親会社のLINEヤフー株式会社も公式発表を実施
2025年10月20日(日)以降
- 継続中: 復旧作業を実施中(具体的な復旧時期は未定)
- 継続中: 個人情報・顧客データの流出に関する調査を実施中
- 継続中: 影響範囲の詳細な把握を進行中
復旧プロセスと代替手段
アスクルは「一刻も早い復旧に向けた対応を行っている」と繰り返していますが、具体的な復旧時期や復旧計画については明らかにしていません。ランサムウェア攻撃からの復旧には、以下のステップが必要となります。
(1)被害範囲の特定 どのシステムが影響を受けたか、データがどこまで暗号化されたか、データ窃取の有無などを詳細に調査します。
(2)感染源の特定と排除 攻撃者の侵入経路を特定し、ネットワークから完全に排除します。これを徹底しなければ、復旧後に再び攻撃を受けるリスクがあります。
(3)システムの復旧 バックアップからのデータ復元、システムの再構築、セキュリティ対策の強化を行います。
(4)動作確認とテスト 復旧したシステムが正常に動作するか、セキュリティに問題がないかを徹底的にテストします。
これらのプロセスには、通常1カ月以上の期間を要することが多く、アサヒグループの事例では、9月29日の攻撃発生から3週間以上経過した10月20日時点でも完全復旧には至っていません。
現時点では、アスクルが代替手段(電話やFAXでの受注、手作業での業務継続など)を実施しているという情報は確認されていません。
関係当局・法令対応
アスクルは攻撃発生当日に捜査当局に通報しており、警察による捜査が進められています。また、個人情報の流出が確認された場合には、個人情報保護委員会への報告と、影響を受けた本人への通知が法的に義務付けられています。
上場企業として、投資家や株主に対する適時開示の義務もあり、今後の復旧状況や業績への影響については、継続的な情報開示が求められます。
今後の監査・調査・再発防止策
アスクルは今後、以下の対応が必要となるでしょう。
(1)フォレンジック調査 専門のセキュリティ企業による詳細な調査を実施し、侵入経路、攻撃手法、データ窃取の有無などを明らかにします。
(2)セキュリティ体制の全面的な見直し VPN機器のセキュリティ強化、多要素認証の導入、ネットワーク監視の強化、セグメンテーション(ネットワークの分離)の実施などが必要です。
(3)バックアップ戦略の再構築 オフライン・バックアップやイミュータブル(変更不可能)バックアップの導入により、ランサムウェアに感染してもバックアップからの復旧が可能な体制を構築します。
(4)インシデント対応計画(IRP)とBCP(事業継続計画)の策定 サイバー攻撃を受けた場合の対応手順を明確化し、定期的な演習を実施します。
(5)サプライチェーン全体のセキュリティ管理 取引先や委託先のセキュリティレベルを評価し、リスクの高い取引先には改善を求めるなど、サプライチェーン全体でのセキュリティ強化が必要です。
教訓と今後の潮流
この攻撃から得るべき教訓
今回のアスクルへの攻撃から、企業が学ぶべき教訓は多岐にわたります。
(1)「侵害前提(Assumed Breach)」の思考 「自社は攻撃されない」という楽観的な前提ではなく、「いつか必ず攻撃される」という前提で対策を講じる必要があります。侵入を完全に防ぐことは困難であるため、侵入された場合の被害最小化と早期検知・早期対応が重要です。
(2)サプライチェーン全体のリスク可視化 自社だけでなく、取引先、委託先、子会社など、サプライチェーン全体のセキュリティレベルを把握し、弱点を補強する必要があります。一社の被害が複数社に波及する現実を直視すべきです。
(3)「消されない」バックアップの重要性 ランサムウェアは、バックアップも標的とします。ネットワークから物理的に切り離されたオフライン・バックアップや、変更不可能なイミュータブル・バックアップの導入が不可欠です。
(4)早期検知・分離可能な体制 ネットワーク監視を強化し、異常を早期に検知する仕組みを構築します。また、ゼロトラストアーキテクチャの導入により、ネットワーク内の横展開を防ぎます。
(5)事業継続計画(BCP)と災害復旧(DR)対策 サイバー攻撃を想定したBCPとDR計画を策定し、システムが停止した場合でも最低限の業務を継続できる体制を整えます。
チェックすべきポイントと直ちに取り組める課題
企業が今すぐ取り組むべき具体的な対策は以下のとおりです。
(1)VPN機器のセキュリティ確認
- 最新のセキュリティパッチが適用されているか
- 多要素認証(MFA)が導入されているか
- アクセスログが適切に記録・監視されているか
(2)バックアップの確認
- バックアップが定期的に実施されているか
- バックアップからの復旧テストを実施しているか
- オフライン・バックアップが保管されているか
(3)社員教育の実施
- フィッシングメール訓練を定期的に実施する
- 不審なメールやリンクをクリックしないよう教育する
- セキュリティインシデント発生時の報告ルートを周知する
(4)サプライヤー管理
- 取引先のセキュリティポリシーを確認する
- 重要な取引先に対してセキュリティ監査を実施する
- 契約書にセキュリティ要件を盛り込む
(5)定期的な演習
- サイバー攻撃を想定した演習(サイバーレジリエンス演習)を実施する
- インシデント対応チームの役割分担を明確にする
- 経営層を含めた対応訓練を行う
総括:企業が取るべき「姿勢」
アスクルへのランサムウェア攻撃は、一企業の問題に留まらず、サプライチェーン全体に影響が波及する深刻な事態となりました。この事件が重要なのは、どれほど大手企業であっても、サイバー攻撃の前には脆弱であること、そして一社の被害が取引先や顧客に連鎖的に拡大することを如実に示したからです。
わずか1カ月前にアサヒグループが受けた攻撃に続き、日本の大手企業が相次いでランサムウェアの標的となっている現実は、もはや「他人事」ではありません。警察庁の統計が示すとおり、2025年上半期のランサムウェア被害は過去最多を記録しており、この傾向は今後も続くと予想されます。
企業が取るべき「姿勢」は、まず「自社も攻撃される」という前提に立つことです。完全な防御は不可能であるという現実を受け入れ、侵入された場合の被害最小化、早期検知、迅速な対応、そして事業継続のための備えを整えることが不可欠です。
次に、サプライチェーン全体の視点を持つことです。自社のセキュリティだけでなく、取引先、委託先、子会社のセキュリティレベルを把握し、弱点を補強する必要があります。一社の脆弱性が全体のリスクとなる現実を直視すべきです。
そして、経営層がサイバーセキュリティを「経営課題」として認識することです。セキュリティ対策はコストではなく投資であり、事業継続のための必須要件です。十分な予算と人材を配分し、継続的な改善を進める必要があります。
日本企業はこのサイバー攻撃を見て何をするべきか?
企業の経営者、情報システム担当者、そしてすべてのビジネスパーソンの皆様には、以下のアクションを推奨します。
- 自社のセキュリティ体制を今すぐ点検する
- VPN機器、バックアップ、社員教育など、基本的な対策を確認する
- サイバーセキュリティ専門家に相談し、リスク評価を実施する
- 経営層を含めたインシデント対応演習を計画する
- 取引先のセキュリティレベルを確認し、必要に応じて改善を求める
サイバー攻撃は、もはや避けられない現実です。しかし、適切な準備と対策により、被害を最小限に抑え、事業を継続することは可能です。アスクルの事例を教訓とし、すべての企業が「明日は我が身」という認識のもと、今すぐ行動を起こすことを強く求めます。
補足・参考情報
主要な用語解説
ランサムウェア(Ransomware) データを暗号化して使用不能にし、復号キーと引き換えに身代金(Ransom)を要求する悪意のあるソフトウェア。近年は、データを窃取して公開すると脅迫する「二重恐喝」が主流。
RaaS(Ransomware as a Service) ランサムウェアを「サービス」として提供するビジネスモデル。技術力のない犯罪者でも、RaaSを利用すれば容易に攻撃を実施できる。
VPN(Virtual Private Network) インターネット上に仮想的な専用ネットワークを構築し、安全な通信を実現する技術。リモートワークの普及で利用が増加したが、適切に管理されていない場合、攻撃者の侵入経路となる。
サプライチェーン攻撃 直接の標的企業ではなく、その取引先や委託先を経由して攻撃する手法。セキュリティの弱い企業を踏み台にして、本命の企業に侵入する。
ゼロトラストアーキテクチャ 「信頼しない、常に検証する」を原則とするセキュリティモデル。ネットワーク内であっても、すべてのアクセスを認証・認可する。