アスクルサイバー攻撃の概要
2025年10月19日、事務用品通販大手のアスクル株式会社がランサムウェア攻撃を受け、受注・出荷業務を全面停止する事態に陥った。そして10月30日夜、「RansomHouse(ランサムハウス)」と名乗るロシア系ハッカー集団がダークウェブ上で犯行声明を公開し、約1.1テラバイトのデータを窃取したと主張している。本稿では、アスクルが公式に発表した声明内容を中心に、感染後のタイムライン、被害範囲、そして予想される攻撃手法について詳述する。
犯行声明の内容と攻撃者の正体
RansomHouseの犯行声明
10月30日夜、セキュリティ専門家によってダークウェブ上でRansomHouseによる犯行声明が確認された。同グループは声明の中で、アスクルから約1.1テラバイトのデータをダウンロードしたと主張し、その証拠としてサンプルデータの一部を公開している。
公開されたサンプルデータには、物流に関する担当者情報や企業のサポート関連情報、さらにアスクルと顧客とのやり取りの一部とみられる文書が含まれている。朝日新聞の報道によれば、データの一部には個人情報が含まれている可能性も指摘されている。
興味深いことに、現時点では身代金の要求額や交渉期限などの情報は確認されていない。これは、RansomHouseの特異な活動形態と関連している可能性が高い。
RansomHouseとは何者か
セキュリティ企業SentinelOneの分析によれば、RansomHouseは2021年末から2022年3月頃に出現した比較的新しい脅威グループで、「多面的な恐喝脅威」に分類されている。最大の特徴は、従来のランサムウェア攻撃グループとは異なり、データを暗号化せず「恐喝のみ」を目的としている点にある。
通常のランサムウェアグループはデータを暗号化して使用不能にし、復号化と引き換えに身代金を要求する。しかしRansomHouseは、システムの脆弱性を突いてネットワークに侵入し、データを窃取した後、「公開されたくなければ金を払え」という脅迫を行う手法を採用している。この手法は「データ窃取型恐喝(Data Exfiltration Extortion)」と呼ばれ、近年増加傾向にある攻撃形態だ。
RansomHouseは過去に米国の半導体大手や日本企業を攻撃したと主張しており、2024年には元旦ビューティ工業への不正アクセス、2025年10月にも別の日本企業へのサイバー攻撃を主張している。日本企業への攻撃は相対的に稀だが、世界的に広範囲な活動を展開していることが確認されている。
犯行声明と脅迫文で一部開示された窃取情報はサポートチケット情報
独自調査で、RansomHouseの公開している窃取情報が確認され、サポートチケットでのやり取りや、それに関する個人情報の一部が、窃取した証拠として開示されている。
これはサイバー攻撃犯行の実績として公開するために一部情報を公開しているだけで、窃取された情報すべてではないため、実際にどこまで窃取されているかは不明確だ。
アスクルの公式声明
アスクルは10月31日、PR TIMESを通じて以下の公式声明を発表した。
「2025年10月30日、一部報道において、弊社に対するサイバー攻撃についてハッカー集団が犯行声明を出したとの報道がありました。弊社においても当該声明を把握しており、事実関係の確認を進めております。お客様、お取引先様、ならびに関係者の皆さまに多大なるご迷惑、ご心配をおかけしておりますことを深くお詫び申し上げます。確認された事実につきましては、速やかにお知らせいたします。」
この声明からは、アスクルが犯行声明の存在を認識しつつも、慎重に事実確認を進めている姿勢がうかがえる。これはランサムウェアグループが時に誇張した主張を行う場合もあるため、企業として正確な被害状況を把握する必要があるためだと考えられる。
感染後のタイムライン
アスクルへのランサムウェア攻撃とその後の対応について、公開情報から時系列を整理する。
10月16日頃(推定):初期侵入
セキュリティ専門家の分析によれば、攻撃者が実際にシステムに侵入したのは10月16日未明と推定されている。この段階では、フィッシングメール、標的型攻撃メール、あるいはサードパーティシステムの脆弱性が悪用された可能性が高い。
RansomHouseの一般的な手法として、侵入後は数日から数週間かけて、標的となる組織のネットワーク内部を探索し、重要なデータや機密情報を特定・窃取する活動を行う。この潜伏期間中、攻撃者は管理者権限を取得し、セキュリティ監視の死角を探し出す。
10月19日午前:異常検知
10月19日午前、アスクルのシステム監視チームが外部からの不正アクセスによる異常を検知した。迅速な対応として、同社は感染の疑いがあるシステムを即座にネットワークから切り離す措置を実施した。
10月19日16時30分:サービス停止の決定
被害の拡大を防ぐため、アスクルは同日16時30分に「ASKUL」「ソロエルアリーナ」「LOHACO(ロハコ)」といった自社が運営する全ての通販サービスで受注を停止した。この迅速な判断は、さらなる被害拡大を防ぐ上で重要な決断だったと評価されている。
10月19日14時:対策本部の設置
事態の深刻さを認識したアスクルは、同日午後2時に「事業継続部会」と「IT復旧部会」からなる対策本部を設置した。親会社であるLINEヤフーおよび外部のセキュリティ企業から約30人のエンジニアを招集し、社内エンジニア約60~70人と合わせて、総勢約100人規模の復旧チームを編成した。
10月22日:続報の公表
10月22日、アスクルは障害に関する続報を公表し、主に**物流システム(WMS:Warehouse Management System)**に深刻な障害が発生していることを明らかにした。WMSで制御している物流センターの入出荷業務が完全に停止しており、この影響によりグループ会社のASKUL LOGISTが受託している第三者物流業務(3PL)も停止していることが判明した。
10月24日:被害範囲の詳細公表
調査の進展により、被害がアスクルの物流システムに集中していることが明らかになった。しかし、近年のデジタル化によりシステムが複雑化しているため、復旧作業は困難を極めている。
10月29日:部分的な業務再開
10月29日、アスクルは佐川急便に一部の荷物を委託する形で試験配送を開始した。ファクスで受注し、医療機関や介護施設など一部の法人顧客向けの荷物を佐川急便に引き渡す形で、限定的な業務再開を実現した。これは、WMSを使用しない手作業による出荷体制を構築したものである。
ただし、この時点でも自社物流システムの復旧見通しは立っていない状況が続いている。
10月30日夜:犯行声明の公開
10月30日夜、RansomHouseがダークウェブ上で犯行声明を公開し、約1.1テラバイトのデータを窃取したと主張した。同時に、サンプルデータの一部を公開している。
10月31日:公式声明の発表
アスクルは犯行声明を把握していることを認め、事実関係の確認を進めているとする公式声明を発表した。
被害範囲の詳細
システム面の被害
アスクルへのランサムウェア攻撃による最大の被害は、物流システム(WMS)の機能停止である。WMSは倉庫内の在庫管理、入出荷管理、配送管理を一元的に制御する中核システムであり、この停止により以下の影響が発生している。
- 物流センターの機能停止:WMSで制御されている物流センターの入出荷業務が完全に停止
- 受注システムの停止:「ASKUL」「ソロエルアリーナ」「LOHACO」の全ての通販サービスで受注が不可能
- 出荷業務の停止:既存の注文に対する出荷作業も停止せざるを得ない状況
- 3PL業務の停止:グループ会社ASKUL LOGISTが受託している第三者物流業務も連鎖的に停止
取引先企業への波及被害
アスクルの物流機能停止は、同社の物流サービスに依存していた多くの企業に連鎖的な影響を与えている。
無印良品(良品計画):10月19日午後9時頃から、無印良品のネットストアで商品の購入や閲覧ができなくなった。良品計画はアスクル傘下のASKUL LOGISTに配送業務を大きく委託しており、別の物流会社への切り替えにも時間を要している。
ロフト:10月20日午前11時すぎから、ロフトのネットストアで商品の購入ができなくなった。商品は「在庫切れ」として表示され、注文を受け付けない状態が続いている。
そごう・西武:同社の通販サイト「e.デパート」でも受注・配送に影響が発生している。
これらの企業は、アスクルの復旧を待つか、代替の物流体制を急ピッチで構築するかの判断を迫られている状況だ。
顧客への影響
医療機関・介護施設への深刻な影響:アスクルは安価で高品質な医療用品に強みがあり、一部のクリニックでは院内備品の約8割をアスクルから調達しているケースもある。配送停止により、備蓄が切れかけている医療機関も出てきており、患者ケアへの影響も懸念される事態となっている。
企業の業務への影響:オフィス用品を主力とするアスクルのサービス停止により、多くの企業で日常業務に必要な備品の調達に支障が出ている。SNS上では、社食の食材調達にも影響が出ているという投稿も見られた。
他社への注文殺到:アスクルの停止により、競合するオフィス通販大手には注文が殺到している。このため、新規会員登録や商品配送に通常よりも時間がかかる状況が発生している。
個人情報・データ流出の状況
最も懸念されるのは、個人情報や顧客データの流出である。
アスクルは10月29日時点で「個人情報や取引先情報などの外部流出については、現時点で確認されていない」としていた。しかし、RansomHouseが公開したサンプルデータには、朝日新聞の報道によれば「個人情報が含まれているとみられる」内容も確認されている。
現在、アスクルの法務・個人情報保護部門が、顧客情報や個人情報が実際に流出しているかどうかを詳細に調査している段階だ。万が一流出が確認された場合、監督当局への報告義務や、影響を受ける顧客への通知義務が発生する可能性がある。
RansomHouseが主張する1.1テラバイトという膨大なデータ量には、以下のような情報が含まれている可能性がある:
- 顧客の個人情報(氏名、住所、電話番号、メールアドレス)
- 企業の取引先情報
- 財務情報
- 内部のビジネス文書
- 従業員情報
- システムの設計情報やアクセス権限情報
予想される攻撃手法
セキュリティ専門家の分析とRansomHouseの過去の攻撃パターンから、今回の攻撃で用いられた可能性が高い手法を考察する。
初期侵入の手法
RansomHouseは多様な侵入手法を用いることで知られている。今回の攻撃でも、以下のいずれか、あるいは複数の手法が組み合わされた可能性が高い。
1. フィッシングメール・標的型攻撃メール
従業員を騙して悪意のあるリンクをクリックさせたり、添付ファイルを開かせたりする手法。企業の業務に関連した内容を装うことで、警戒心を緩めさせる。
2. サードパーティシステムの脆弱性悪用
VPN機器、リモートアクセスツール、あるいは業務で使用しているクラウドサービスの既知の脆弱性を悪用して侵入する手法。特に、パッチ適用が遅れているシステムが狙われやすい。
3. 漏洩した認証情報の悪用
過去のデータ漏洩事件などで流出した従業員のID・パスワードを使用してログインする手法。多くの人が複数のサービスで同じパスワードを使い回しているため、この手法は高い成功率を持つ。
侵入後の活動
1. 権限昇格と横展開
初期侵入後、攻撃者は管理者権限を取得し、ネットワーク内部を横方向に移動(ラテラルムーブメント)しながら、重要なシステムやデータを探索する。この段階では、Active Directoryなどの認証システムが標的となることが多い。
2. データ窃取活動
RansomHouseの特徴的な手法として、長期間(数週間から数ヶ月)にわたってネットワーク内に潜伏し、機密情報を大量に窃取する活動を行う。今回主張されている1.1テラバイトというデータ量は、計画的かつ長期的な窃取活動が行われたことを示唆している。
3. 証拠隠滅とログの削除
攻撃者は自身の活動痕跡を隠すため、セキュリティログの削除や改ざんを試みる。これにより、事後のフォレンジック調査が困難になる。
物流システムへの集中攻撃
今回の特徴は、物流システム(WMS)に被害が集中している点である。これは偶然ではなく、攻撃者が意図的に最も影響の大きいシステムを標的にした可能性が高い。
物流システムは以下の理由から、攻撃者にとって魅力的な標的となる:
- 事業継続への直接的影響:物流が停止すれば、売上が直ちにゼロになる
- 復旧の困難さ:複雑に連携した物流システムの復旧には高度な専門知識と時間が必要
- 圧力の大きさ:顧客や取引先への影響が大きく、企業に対する身代金支払いの圧力となる
「アイランドホッピング」の可能性
セキュリティ専門家の中には、「アイランドホッピング」と呼ばれる手法が用いられた可能性を指摘する声もある。これは、取引先企業のネットワークを踏み台にして、最終的な標的に到達する手法である。
アスクルのように多数の取引先と電子的に接続している企業の場合、セキュリティ対策が比較的脆弱な中小企業のシステムを経由して侵入される可能性がある。
企業の対応と復旧への取り組み
100人体制での復旧作業
アスクルは、親会社LINEヤフーおよび外部セキュリティ企業から約30人、社内エンジニア約60~70人の合計約100人規模の復旧チームを編成している。このチームは以下の役割を分担している:
- IT復旧部会:システムの復旧、データの復元、セキュリティ対策の強化
- 事業継続部会:代替手段による業務継続、顧客対応、取引先との調整
- 法務・個人情報保護部門:データ流出の確認、法的対応の検討
- 広報・コミュニケーション部門:情報開示、顧客・取引先・株主への説明
段階的な復旧戦略
完全な復旧には時間がかかることを見越し、アスクルは段階的な復旧戦略を採用している。
第1段階:手作業による限定的再開(10月29日~)
WMSを使用せず、ファクスによる受注と手作業による出荷を実施。優先順位の高い医療機関・介護施設などへの配送から再開。佐川急便への業務委託により、自社物流の負担を軽減。
第2段階:部分的なシステム復旧(時期未定)
感染していない、あるいは復旧が完了したシステムから順次稼働を再開。対象顧客や取扱商品を段階的に拡大。
第3段階:全面復旧(時期未定)
全てのシステムが正常稼働し、通常の業務体制に戻る段階。ただし、セキュリティ対策の抜本的な見直しと強化が前提となる。
復旧の困難さ
物流システムの復旧が困難な理由として、以下の要因が指摘されている:
- システムの複雑化:長年の開発により、様々な機能が複雑に絡み合っている
- 相互依存性:複数のシステムが連携しており、部分的な復旧が困難
- データ整合性の確保:在庫データ、受注データ、配送データの整合性を確保する必要がある
- セキュリティ検証:復旧したシステムに攻撃者の侵入経路が残っていないか徹底的に検証する必要がある
社会的影響と今後の課題
サプライチェーン攻撃のリスク
今回の事件は、一企業へのサイバー攻撃が、取引先企業や最終的には消費者にまで広範な影響を及ぼす「サプライチェーンリスク」を改めて浮き彫りにした。
無印良品、ロフト、そごう・西武といった大手小売企業のEC事業が停止したことで、多くの消費者が影響を受けている。また、医療機関への影響は、単なる経済的損失を超えて、公共の福祉にも関わる重大な問題となっている。
ランサムウェア攻撃の進化
RansomHouseのような「データ窃取型恐喝」は、従来型のランサムウェアよりもさらに対処が困難である。データが暗号化されるだけなら、バックアップから復元できる可能性があるが、データが既に窃取されている場合、バックアップは解決策にならない。
さらに、「二重恐喝(Double Extortion)」や「三重恐喝(Triple Extortion)」と呼ばれる手法も増加している。これは、データの暗号化と窃取に加えて、DDoS攻撃を実施したり、取引先や顧客に直接脅迫を行ったりする手法である。
企業に求められる対策
今回の事件から、企業が学ぶべき教訓は多い:
1. 多層防御の実施
単一のセキュリティ対策に頼らず、複数の防御層を設ける必要がある。境界防御だけでなく、内部ネットワークのセグメンテーション、エンドポイント保護、異常検知システムなどを組み合わせる。
2. ゼロトラストアーキテクチャの導入
「内部ネットワークは安全」という前提を捨て、全てのアクセスを検証・認証する「ゼロトラスト」の考え方が重要である。
3. 重要システムの定期的なバックアップと検証
バックアップを取得するだけでなく、実際に復元できるかを定期的に検証する必要がある。また、バックアップデータ自体が攻撃されないよう、オフラインでの保管も検討すべきである。
4. インシデント対応計画の策定と訓練
サイバー攻撃を受けた際の対応手順を事前に策定し、定期的に訓練を実施することで、実際の攻撃時に迅速かつ適切に対応できる体制を構築する。
5. サプライチェーン全体でのセキュリティ向上
自社だけでなく、取引先企業のセキュリティレベルも確認し、必要に応じて支援や指導を行う。
おわりに
アスクルへのランサムウェア攻撃は、現代のサイバー脅威の深刻さと複雑さを如実に示す事例となった。RansomHouseによる犯行声明と約1.1テラバイトのデータ窃取の主張は、企業のデジタル資産がいかに脆弱であるかを改めて認識させる出来事である。
10月31日現在、アスクルは引き続き復旧作業を進めているが、全面的なサービス再開の見通しは立っていない。顧客や取引先への影響は日を追うごとに深刻化しており、一日も早い復旧が望まれる。
同時に、この事件は他の企業にとっても重要な教訓となる。サイバー攻撃は「いつか起こるかもしれない」リスクではなく、「いつ起こってもおかしくない」現実の脅威である。今回の事件を他山の石として、全ての企業が自社のセキュリティ体制を見直し、強化することが求められている。
データ流出の有無や被害の全容については、アスクルによる調査が続いており、今後新たな事実が明らかになる可能性もある。続報に注目していく必要があるだろう。
主要参考資料