アスクル、ランサムウェアによるサイバー攻撃で約74万件の個人情報流出の可能性

セキュリティニュース

投稿日時: 更新日時:

アスクル、ランサムウェアによるサイバー攻撃で約74万件の個人情報流出の可能性

アスクルが受けたランサムウェア攻撃について、同社は2025年12月12日付「第13報」で調査結果と今後の対策を公表しました。
外部専門機関によるフォレンジック調査の結果、約74万件分の個人情報が外部に流出したことが確認された/流出の可能性があるとしており、被害規模が改めて明らかになりました。

一方で、この攻撃についてはランサムウェアグループ「Ransomhouse」が10月末から2度にわたって犯行声明とサンプルデータを公開しており、同社インシデントは「データ窃取+暗号化」を伴う本格的なランサム攻撃として位置づけられます。

流出(または流出の可能性)が確認された約74万件の情報

アスクルの公表および各社報道によれば、2025年12月12日時点で判明している流出・流出可能性のある件数は以下の通りです。

  • 法人向けEC(ASKULなど)の顧客情報:約59万件

  • 個人向けEC「LOHACO」などの顧客情報:約13万2,000件

  • 取引先企業・担当者情報:約1万5,000件

  • アスクルグループ役員・社員などの情報:約2,700件

合計すると約74万件に達し、顧客・取引先・従業員を広く巻き込むサイバーインシデントとなっています。

対象となり得る項目の例としては、氏名/住所/電話番号/メールアドレスなどの連絡先情報のほか、一部には社名・部署・役職なども含まれます。なお、LOHACOのクレジットカード決済は決済代行会社経由のトークン方式で処理されており、アスクル側は個人カード情報を保持していないと説明しており、カード番号そのものの漏洩は生じていないとしています。

同社は、該当する顧客・取引先に対し順次個別通知を実施しており、今後新たな情報公開が確認された場合は、対象者への追加通知と必要に応じた公表を行う方針です。

攻撃の原因:委託先アカウントから侵入し、数カ月潜伏

第13報とそれを踏まえた報道によると、今回のランサムウェア攻撃は短期集中型ではなく、数カ月にわたる潜伏と横展開を経て、10月19日に一斉暗号化を実行した形跡が確認されています。

主な流れは次のように整理されています。

  • 2025年6月ごろ

    • 業務委託先向けのリモート接続用アカウントが悪用され、外部からアスクルのネットワーク内部へ侵入。

  • 7〜10月

    • 侵入後、攻撃者はネットワーク内を偵察し、サーバや端末の認証情報を窃取

    • エンドポイント検知・防御(EDR)などのセキュリティソフトを無効化しながら、複数のサーバへ横展開(ラテラルムーブメント)

    • 物流システムや社内システム上にランサムウェアを配置。

  • 10月19日

    • 複数種のランサムウェアが同時に発動し、物流・社内の各システム、さらには同一データセンター内のバックアップデータまで暗号化

    • これにより、アスクルの物流センターの出荷業務が広範囲に停止し、ECサービスの大規模障害に発展。

さらに、社内システムへの侵入を足掛かりに、外部クラウド上の問い合わせ管理システムのアカウントも侵害され、一部お問い合わせデータが窃取・公開されたことも確認されています。一方で、基幹業務システムやECサイト本体などフロントシステムには侵害の痕跡はなかったとしています。

被害範囲:物流システムとバックアップの暗号化が復旧を長期化

アスクルの物流センターは、自動倉庫設備やピッキングシステムなど高度に自動化された設備と、それを制御する物流システムが密接に結びついています。今回の攻撃では、その物流システムを管理する複数サーバが暗号化され、同じデータセンター内にあったバックアップデータも同時に暗号化されたことで、出荷停止からの復旧に大きな時間を要したと説明しています。

第13報の時点で、基幹業務・EC・倉庫システムの多くは新たに構築した「クリーンな環境」へ移行済みであり、外部専門機関と連携したフォレンジック調査の結果、残存マルウェアや追加侵害の兆候は確認されていないとしています。

Ransomhouseによる犯行声明と公開データ

今回の事件については、ランサムウェア(恐喝)グループ「Ransomhouse」が10月30日前後に犯行声明を出し、約1.1TBのデータを窃取したと主張しています。その後、11月8日頃にも第2弾として追加データを公開しました。

研究用に確認されたサンプルには、

  • 物流担当者と思われる社員・担当者のメールアドレスリスト

  • 社内フォルダ構成リスト

  • サポート関連情報 など

が含まれていたことが報告されています。
ただし、これらがすべてアスクルから直接流出したものであるか、また窃取量が同グループの主張どおりかについては、公式な裏付けはありません。ランサムウェア/恐喝グループは、自らの「戦果」を誇張することも多く、慎重な見方が必要です。

Ransomhouseは、セキュリティベンダー各社から「暗号化ではなくデータ窃取と恐喝に特化した多面的恐喝グループ」として分類されてきたとされますが、今回アスクルの事案では実際にシステム暗号化も伴っていることから、

  • 同グループの戦術が変化しているのか

  • あるいは別グループとの協業・名義利用が行われているのか

といった点は現時点で不明です。

いずれにしても、データ窃取とシステム暗号化を組み合わせた「二重・三重の恐喝」が用いられたことはほぼ確実であり、典型的なビジネスランサム攻撃のパターンに沿ったものと言えます。

アスクルの初動対応と復旧プロセス

アスクルは異常を検知した時点で、次のような初動対応を行ったと説明しています。

  • 感染が疑われるネットワークを物理的に遮断し、社内・データセンター間の通信を停止

  • 感染端末の隔離、ランサムウェア検体の抽出、EDRシグネチャ(検知ルール)の更新

  • 管理者アカウントを含む主要アカウントのパスワードリセットと多要素認証(MFA)の適用

その後、汚染の可能性を残した既存環境を部分的に修復するのではなく、安全性が確認された新環境をゼロから構築し直す方針を採用。物流システムや社内システムを順次新環境へ移行することで、残存マルウェアのリスクを抑えつつサービス再開を進めました。

再発防止策:NISTフレームワークに基づく強化とガバナンス見直し

第13報では、技術的・組織的な再発防止策として、かなり踏み込んだ対策ロードマップが示されています。

短期フェーズ(封じ込めと安全確保)

  • 侵入経路となった認証情報の無効化、リモートアクセスのMFA必須化

  • EDRの強化と、残存脅威の徹底調査・除去

  • 主要システムの再構築と安全性確認

中期フェーズ(仕組みの高度化)

  • 24時間365日の監視を行うSOC(Security Operation Center)体制の強化

  • 権限管理やアカウント運用ルールの見直し

  • サイバーセキュリティ教育・訓練の体系化

長期フェーズ(成熟度向上)

  • NIST CSFやNIST SP800シリーズに沿ったリスクベースのセキュリティ評価と継続的改善

  • ランサムウェア事案を踏まえた事業継続計画(BCP)の再構築

  • 外部専門機関による定期アセスメント

また、同社は攻撃者とは一切接触せず、身代金の支払い・交渉も行っていないと改めて表明しており、犯罪行為を助長しないという立場を明確にしています。

情報公開と外部連携の方針

アスクルは、警察や個人情報保護委員会への早期報告に加え、JPCERT/CCなどインシデント共有コミュニティへの情報提供や、サプライチェーン企業への情報共有も進めているとしています。

情報公開については、

  • 事実に基づいた透明性の高い公表を基本としつつ

  • 攻撃手口の模倣や追加攻撃を誘発しかねない情報については、二次被害防止の観点から詳細を控える

というスタンスを明記しており、今後も影響範囲や公表内容を慎重に判断するとしています。

利用者・取引先が今できる対策

今回のように約74万件という大規模な個人情報が外部に渡った可能性が指摘されている以上、利用者側でも次のような対策を取っておくことが望ましいです。

  1. 不審メール・SMSへの警戒強化

    • 「アスクル」「LOHACO」「関連物流会社」などを名乗るメールやSMSで、

      • 添付ファイルの開封

      • URLのクリック

      • パスワード・カード情報の入力
        を求めてくるものには十分ご注意ください。

  2. パスワードの変更・使い回しの解消

    • アスクル関連サービスと同じID・パスワードを他サービスで使い回している場合は、早急に変更をおすすめします。

    • 可能であればパスワードマネージャーを使用し、各サイトごとに長く複雑なパスワードを設定してください。

  3. なりすまし電話・連絡への注意

    • 「アスクルの件で確認したいことがある」などと称して個人情報を聞き出そうとする電話・DMにも注意が必要です。

    • 不審に感じた場合は、その場で答えず、公式サイトに掲載されている問い合わせ窓口から改めて確認するのが安全です。

  4. 企業側(取引先)の対応

    • 社内でアスクル関連情報を扱っている部門には、今回のインシデント概要と注意点を共有し、標的型メール訓練・連絡フローの確認を行うとよいでしょう。