アスクル、アサヒに見る新たな脅威の実態
2025年10月、オフィス用品通販大手のアスクルがランサムウェア攻撃を受け、「ASKUL」や「LOHACO」などの全サービスが停止する事態に陥りました。その約1カ月前の9月末には、アサヒグループホールディングスも同様の攻撃を受け、全国30カ所の工場のほとんどで生産停止を余儀なくされています。いずれも日本を代表する大企業です。
実は、これらは決して特殊な事例ではありません。警察庁の統計によると、2025年上半期だけでランサムウェア被害の報告件数は116件にのぼり、過去最多を記録しました。特に注目すべきは、被害企業の約3分の2が中小企業であるという事実です。今、日本企業を取り巻くサイバー空間で、一体何が起きているのでしょうか。
サイバー攻撃が「ビジネス化」した時代
かつてサイバー攻撃は、高度な技術を持つ一部のハッカーによる犯行でした。しかし現在、状況は一変しています。その背景にあるのが「RaaS(Ransomware as a Service)」と呼ばれる仕組みです。
RaaSは、まるでクラウドサービスを利用するかのように、ランサムウェア攻撃に必要なツールやインフラを「サービス」として提供するビジネスモデルです。犯罪組織が開発したランサムウェアを、技術知識のない者でも簡単に使えるようにパッケージ化し、暗号通貨による決済システムまで用意されています。攻撃者は得られた身代金を開発者と分配する仕組みで、まさに「犯罪のフランチャイズ化」とも言える状況が生まれています。
アサヒグループを攻撃したとされる「Qilin(麒麟)」というランサムウェア集団は、2022年の登場以来、世界中で792件以上の犯行声明を出しているとされています。このような組織化・ビジネス化により、サイバー攻撃のハードルが劇的に下がり、攻撃件数が爆発的に増加しているのです。
デジタル化が生んだ新たな脆弱性
もう一つの大きな要因は、コロナ禍を契機とした急速なデジタル化です。多くの企業がテレワークを導入し、クラウドサービスを活用するようになりました。これ自体は業務効率化やコスト削減につながる素晴らしい変化ですが、同時に新たなリスクも生み出しています。
特に問題となっているのが、VPN(仮想私設網)機器の設定ミスや脆弱性です。2024年の調査では、ランサムウェア被害の原因として「設定ミス」が増加傾向にあり、その大半がVPNなどネットワーク機器の設定ミスであることが判明しています。急速なリモートワーク導入により、十分な準備期間がないままVPNを設置したり、セキュリティパッチの適用が追いつかなかったりするケースが後を絶ちません。
また、クラウドサービスやIoTデバイスの普及により、攻撃者が狙える「入口」が劇的に増えました。従来は会社のオフィスという物理的な境界を守ればよかったものが、今や従業員の自宅、取引先企業、クラウドサーバーなど、守るべき範囲が飛躍的に拡大しているのです。
「弱い輪」を狙うサプライチェーン攻撃
最近のサイバー攻撃で特に注目されているのが「サプライチェーン攻撃」という手法です。これは、セキュリティ対策が強固な大企業を直接攻撃するのではなく、セキュリティが相対的に弱い取引先や関連会社を経由して侵入する手口です。
大企業は多額の費用をかけてセキュリティ対策を施していますが、中小の取引先企業まで同じレベルのセキュリティを維持することは困難です。攻撃者はこの「弱い輪」を見逃しません。アスクルの事例でも、同社が物流業務を受託していた無印良品やロフト、西武・そごうなどのECサイトにまで影響が波及しました。
警察庁の統計で中小企業の被害が急増している背景には、「中小企業自体が標的」である場合と、「大企業への踏み台として狙われている」場合の両方があります。いずれにせよ、「うちは小さな会社だから狙われない」という考えは、もはや通用しない時代になっています。
国境を越えた脅威の実態
警察庁がセンサーで検知した不審なアクセス件数は、2024年に1日・1IPアドレスあたり9,520件と過去最高を記録しました。そして、その大部分の送信元が海外であることが確認されています。
現代のサイバー犯罪は、国境を意識しません。東欧やロシア、アジアなど世界各地に拠点を持つ犯罪組織が、日本企業を標的として攻撃を仕掛けています。アサヒグループを攻撃した際も、注文システムが使えなくなり、飲食店や小売店への出荷が停止。「スーパードライが手に入らない」という事態が発生し、国内のサプライチェーン全体に影響が及びました。
今、企業に求められる対策とは
では、私たちはどう対処すべきなのでしょうか。まず重要なのは、サイバーセキュリティを「IT部門だけの問題」と考えないことです。経営層がリスクを正しく理解し、適切な投資と体制整備を行う必要があります。
具体的な対策としては、以下が挙げられます。第一に、基本的なセキュリティ対策の徹底です。VPNやネットワーク機器のセキュリティパッチを迅速に適用し、多要素認証の導入を進めることが重要です。第二に、従業員へのセキュリティ教育です。不審なメールを開かない、安易にUSBメモリを使用しないなど、基本的な注意喚起を継続的に行う必要があります。
第三に、取引先を含めたサプライチェーン全体でのセキュリティレベル向上です。大企業は取引先の中小企業に対して、セキュリティ対策の支援や情報共有を行うことが求められています。そして第四に、インシデント発生時の対応計画の策定です。攻撃を完全に防ぐことは困難であるため、被害を最小限に抑え、迅速に復旧するための体制を事前に整えておくことが不可欠です。
結びに
日本社会全体のデジタル化が進む中、サイバーセキュリティは全ての企業、全ての従業員にとって「他人事」ではなくなりました。アスクルやアサヒグループの事例は、大企業であっても一瞬で事業が停止しうることを示しています。
サイバー攻撃の「ビジネス化」、急速なデジタル化による脆弱性の拡大、サプライチェーンを狙った巧妙な手口——これらの変化を正しく理解し、適切な対策を講じることが、これからの企業活動において必須の条件となっています。「自分の会社は大丈夫」という油断こそが、最大のリスクなのです。
参考情報: