(タイトル画像は日本ネット経済新聞より)
皆さんこんにちは。
プライバシーザムライ中康二です。
事務用品通販の大手アスクル株式会社(以下、アスクルと表記)が、ランサムウェア攻撃を受けて、データセンターの物流システムが停止し、自社からの出荷停止や情報漏えいが発生しただけではなく、物流機能を受託していた「無印良品」など他社にまで影響が及んだことは、報道などでもご存じのことと思います。
事件発生から2ヶ月が経過し、同社では少しずつ元の状態に復旧していっているようです。ここまでに発生したことと、同社の対応を、公式なニュースリリースや報道の内容からまとめておきたいと思います。
目次
- 1 10月19日(日)、システム障害が発生し、いきなり出荷停止に
- 2 同日、ニュースリリースを公表(第1報)
- 3 10月20日(月)、無印良品がネットストアの停止を発表
- 4 10月29日(水)、FAX受注での出荷を再開(第3報)
- 5 10月30日(木)ランサムウエア集団が犯行声明
- 6 11月、サービスの復旧が少しずつ進む
- 7 情報漏えいの規模は拡大していく
- 8 12月1日(月)11月度の売上が前年比95%減と発表
- 9 12月12日(金)ランサム被害の詳細な調査結果を発表(第13報)
- 10 12月17日(水)、吉岡社長が物流センター内で取材に応じる
- 11 大企業には、万が一の際のバックアップシステムが求められる
- 12 週に一回程度、更新情報をお届けします。
10月19日(日)、システム障害が発生し、いきなり出荷停止に
同社は自社で物流システムを持っていることを強みとしています。2017年には埼玉県で同社が運営していた巨大な物流センターが火事で全焼し、大きなニュースになりました。ただし、この時は複数ある他の物流センターに機能を割り振るなどの対応により、同社の出荷が停止することはありませんでした。
今回は全社・全拠点を統括する物流システムそのものが狙われました。10月19日(日)午前、システム障害が発生し、出荷業務が停止しました。物流センターのシステムに侵入された訳ではなかったようですが、本社の物流システムにランサムウェア攻撃が行われ、被害を食い止めるためにネットワークを切断したために、結局は全国の全拠点で出荷停止という結果を生んでしまったということのようです。
同日、ニュースリリースを公表(第1報)
同社では即日ニュースリリースを発信しました。そこにはランサムウェア攻撃を受けたことが明記されていました。恐らく、サーバー内に残されたファイル、またはプリンター出力などの方法で犯行グループからのメッセージを確認したものと思われます。また、同リリース内には「すでにいただいたご注文については、大変恐れ入りますがご注文キャンセルとさせていただきます」とあります。注文データが全て消去されていて、手作業でも出荷できない状態になっていたことが推測されます。
10月20日(月)、無印良品がネットストアの停止を発表
アスクルは、自グループが持つ物流機能を他社に提供し、他社から物流業務を受託する3PL(サードパーティロジスティックス)という事業を営んでいます。実際に「無印良品」「ロフト」「そごう・西武」などのネット販売の業務を受託しており、それらも全て停止しました。これにより、委託元の各社からもニュースリリースが発信されました。特に「無印良品」からは「全サービス、機能停止」との発表が出され、影響の大きさがうかがえました。
10月29日(水)、FAX受注での出荷を再開(第3報)
事件発生から10日後、同社は、FAX受注での出荷を再開すると発表しました。ただし、対象品目はコピーペーパー、ペーパータオル、トイレットペーパー、ゴミ袋等 37アイテムのみであり、すべて「箱」単位での出荷になるとのこと。また全ての顧客が対象ではなく、医療機関や介護施設など、一部の限定された顧客にのみ対応するとのことでした。
10月30日(木)ランサムウエア集団が犯行声明
30日、「RansomHouse(ランサムハウス)」と名乗る集団がダークウェブ上で犯行声明を出したことが報道されました。彼らは1.1TB(テラバイト)分のデータを盗み出したと主張しており、その一部を公開したとのことです。
ファイルの内容は、サーバーから漏えいした個人情報などだったようです。
この犯行声明を受けて、翌31日、アスクル側もその情報を確認したとのリリース(第4報)を出しました。
11月、サービスの復旧が少しずつ進む
同社は第2報の段階で、下記のような体制を緊急に立ち上げたと発表しています。
「事業継続部会」「IT復旧部会」というネーミングだけでは、どちらが何をしているのか完全に理解することは難しいですが、事業継続部会がFAXや他社物流機能を利用してのサービスの復旧を進め、IT復旧部会がフォレンジック調査や新システムの構築などを担当しているのではないかと推測されます。同社のリリース文も「サービス復旧状況について」というタイトルのものと、「ランサムウェア〜」というタイトルのものが交互に出されており、お互いに役割分担をして対応を進めているものと思われます。
「サービス復旧状況について」というリリース文の内容によると、同社が少しずつFAX受注の対象者を広げ、対象品目を広げ、Web受注を再開して行っている様子が見て取れます。
情報漏えいの規模は拡大していく
10月30日の犯行声明以来、ランサムウェア集団は、持ち出した情報をダークウェブ上に少しずつ公開し、脅迫のレベルを上げていきます。そのたびにアスクル社としては、後追いでニュースリリースを出すことが続きました。
またその中に、3PL事業で受託した無印良品ネットストアの情報が含まれていることが判明し、これに関してアスクル社、無印良品の両社からニュースリリースが出されました。
今後もランサムウェア集団による情報公開が続く可能性があります。しかし、同社としてはそのたびに対応はするものの身代金を支払う考えはないようです。
12月1日(月)11月度の売上が前年比95%減と発表
同社は、12月1日付で、11月度(2025年10月21日~2025年11月20日)の月次業績を発表しました。法人単体の売上高が前年同期比95%減という大変厳しい内容となりました。
また、合わせて12月15日に予定していた2026年5月期第2四半期決算発表を延期すると発表しました。これはランサムウェア被害により会社の会計システムに被害が出たからということではなく、ランサムウェア被害が進行中であり、被害額の算出に時間がかかることが理由となっています。
12月12日(金)ランサム被害の詳細な調査結果を発表(第13報)
発生から2ヶ月弱が経過し、サービス復旧にもある程度めどがついた12月12日付で、同社は今回のランサムウェア被害に関するある程度詳細な調査結果と今後の取り組みを発表しました。
同社としては、これまで「被害の拡大を防ぐため、ランサムウェアに関する詳細については情報開示を差し控えさせていただきます」というスタンスを貫いていたため、詳細な情報はほとんど公表されていませんでした。この頃、「アサヒビールに比べて、アスクルはよく情報を開示している」というような評価がネット上で散見されましたが、実際のところアスクル社も情報漏えいをお詫びし、サービス回復の情報は流していたものの、被害の詳細情報は流していなかったのです。それがこの段階でかなり詳細に公表されたことになります。
このリリースから分かる今回の事件の概要は、下記のようなものです。
- 侵入経路はVPN機器(らしい)
- 今年6月に、委託先(システム運用の委託?)に(VPNの)アカウントが盗まれて、侵入を許してしまった。通常は二要素認証を使用しているのに、その委託先には二要素認証を設定していなかった。
- 犯行グループは社内ネットワークで管理者権限の奪取を目指したが、なかなかうまくいかなかった。
- 10月になり、犯行グループは、EDRを無効化(方法は不明)し、物流サーバーとその他のサーバー(バックアップサーバー?)にランサムウェアを仕込んだ。それが10月19日に始動してシステムを破壊した。
- オンラインバックアップが削除されて、使えなくなった。
- 10月22日に、サーバーから窃取されたアカウント情報を使って、コールセンター用のクラウドサービスに不正アクセスがあり、お問い合わせ者の個人情報などが盗み出された。
そして今後の対応策は、下記となります。
- 全てのリモートアクセス(VPNのこと?)に多要素認証を徹底する
- 管理者権限の運用の厳格化
- 従事者の再教育
- 24時間365日の監視と即時対応の体制整備
- サーバーへのEDR導入を含む、網羅的で多層的な検知体制の構築
- ランサムウェア攻撃を想定したバックアップ環境の構築
- 機器管理の詳細化
同社・吉岡社長のメッセージとして「本報告が、当社の説明責任を果たすのみならず、本件に高いご関心をお寄せいただいている企業・組織におけるサイバー攻撃対策の一助となりましたら幸いでございます。」とあります。確かにリアルな被害の状況などを知ることで、他社でも情報セキュリティ対策を進めるのに参考になる内容になっていると思います。
12月17日(水)、吉岡社長が物流センター内で取材に応じる
金屏風の前で頭を下げたアサヒグループホールディングスの勝木社長とは対照的に、アスクルの吉岡社長は自社の物流センター内に記者を招き入れ、そこで説明を行うという対応を取りました。それが本記事のタイトル画像です。
内容としては、前週12日に公表した第13報のリリースの内容に沿って今回の事件の説明をし、今後の再発防止とさらなる事業発展に向けてのメッセージが出たようです。
なお、大口ユーザー向け「ソロエルアリーナ」、小口ユーザー向け「ASKUL」と復旧してきていますが、個人向け「ロハコ」については、未だにサービス提供が停止中であり、こちらは来年の復旧になるとのことでした。
大企業には、万が一の際のバックアップシステムが求められる
ここまでアスクルのランサム被害について時系列で追いかけてきました。アサヒGHの記事にも書きましたが、やはり、大企業には、万が一の際のバックアップシステムの準備が求められるということだと思います。
一つ目のシステムがダウンしたら、二つ目のバックアップシステムに移行させて、通常通りの業務を継続するというくらいの準備が必要ということです。
ランサムウェア攻撃の特性上、二つのシステムが連結されていたら、今回の事件でオンラインバックアップが被害を受けたように、一緒に被害を受けてしまいます。ですから、わざと連結せず、ネットワークもシステムも別のものを用意し、管理スタッフも別々にしておいて、万が一の際には全てを切り替えて稼働させるくらいの準備が求められると思います。
先日、個人的に日本銀行の大阪支店を見学させていただく機会がありました。絶対にダウンしてはならない日本銀行としては、万が一の際に備えて、大阪支店をバックアップシステムとして準備しているとのことでした。そして、定期的に大阪支店によるオペレーション日を設定して、実際にその日は大阪支店からオペレーションしている(外部からは分からないそうです)という話をお聞きしました。
このような日本銀行の取り組みを参考にしつつ、民間企業もランサムウェア攻撃への備えを進めるべきだと私は考えています。
ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告(ランサムウェア攻撃によるシステム障害関連・第 13 報)
https://pdf.irpocket.com/C0032/PDLX/O3bg/N4O3.pdf
サービスの復旧状況について(ランサムウェア攻撃によるシステム障害関連)
https://pdf.irpocket.com/C2678/PDLX/DTyS/okgx.pdf
無印良品ネットストア 全商品の受注、および出荷業務を再開
https://www.ryohin-keikaku.jp/news/articles/2025_1212_01
この内容が皆さんにとって何かの参考になればと思います。
また、何か情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
