アスクル、ランサムウェア攻撃の検証レポートを公開、4カ月前からの「静かな侵入」明らかに

オフィス用品通販大手のアスクルで発生したランサムウェア被害は、2025年10月19日に顕在化したが、調査報告書によって攻撃の起点はそれより約4カ月前にさかのぼることが明らかになった。報告書によると、攻撃者は6月5日、アスクルの業務委託先が使用していた認証情報を不正に取得し、それを用いて社内ネットワークへのアクセスに成功した。この段階ではシステム障害やデータ破壊といった目立った挙動は確認されず、いわゆる静かな侵入が行われていた。

侵入後、攻撃者は長期間にわたってネットワーク内部に潜伏し、段階的に行動範囲を拡大していった。6月から10月にかけて、複数のサーバーやシステムへのアクセスを試み、認証情報の収集や権限昇格を進めたとされる。この過程で、ネットワーク構成や業務システムの関係性を把握し、どのサーバーが業務上重要かを見極める偵察活動が行われていた。 報告書では、攻撃者が正規のアカウントを利用していた点が強調されている。業務委託先の管理者アカウントには多要素認証が設定されておらず、例外的な運用が続いていたことが、侵入を許す要因となった。また、一部のサーバーはEDRによる監視対象外であり、24時間体制のセキュリティ監視からも外れていた。このため、攻撃者が内部で横断的に移動し、セキュリティ機能を無効化するなどの行為を行っていたにもかかわらず、異常として検知されなかった。

こうした潜伏期間を経て、10月19日、攻撃は一気に表面化した。攻撃者は複数のサーバーに対してランサムウェアを展開し、ファイルの暗号化を実行すると同時に、システム復旧を妨げる目的でバックアップデータの削除を行った。物流システムや問い合わせ管理システムなど基幹システムが次々と影響を受け、受注や出荷といった主要業務が停止した。 同日、アスクル社内ではシステムの大規模な異常を検知し、IT部門が直ちに調査を開始した。ランサムウェア被害と判断した時点で、被害拡大を防ぐためにネットワークの遮断を実施し、対策本部を設置した。夕方には公式にサイバー攻撃を受けた事実を公表し、外部の専門機関や捜査当局と連携して対応に当たる方針を示した。

その後、アスクルはシステムの安全確認と並行して、情報流出の有無について詳細な調査を進めた。当初は被害範囲の特定に時間を要したが、10月末から11月にかけて、個人情報が外部に持ち出されていた可能性が高いことが判明し、調査を拡大した。ログの一部が削除されていたこともあり、初期侵入時の詳細な手口の完全特定には至らなかったものの、データの暗号化と窃取が行われていた事実が確認された。

12月に公表された最終的な調査結果では、流出した個人情報は約74万件に上るとされた。内訳は、事業所向けサービス「ASKUL」や「ソロエルアリーナ」に関する顧客情報が約59万件、個人向け通販「LOHACO」の顧客情報が約13万2000件、取引先情報が約1万5000件、役員・社員情報が約2700件と整理されている。氏名、会社名、住所、電話番号、メールアドレスなどが含まれる一方、クレジットカード情報は非保持化されており、流出は確認されていない。

攻撃発覚後の対応として、アスクルは個人情報保護委員会への報告を行い、影響を受けた顧客や取引先に対して順次通知を実施した。併せて、なりすましメールやフィッシング詐欺といった二次被害への注意喚起を行い、専用の問い合わせ窓口を設置して対応を続けている。サービス面では、安全性を確認しながら段階的な復旧を進め、12月初旬にはWeb注文受付を再開したが、完全復旧にはなお時間を要するとしている。

報告書では、被害が拡大した背景として、特権ID管理の不十分さ、監視体制の死角、オフラインバックアップの未整備が挙げられた。これを受け、アスクルは再発防止策として、多要素認証の全面適用、全サーバーを対象としたEDR導入と24時間監視の実施、バックアップ体制の強化を進めるとともに、ゼロトラストセキュリティへの移行や事業継続計画の見直しを掲げている。

約4カ月に及ぶ潜伏の末に顕在化した今回の事案は、サプライチェーンを含めたアカウント管理や早期検知体制の重要性を改めて示した。アスクルは詳細な経緯を公表することで教訓を共有し、信頼回復と再発防止に努めるとしており、本件は多くの企業にとって自社のセキュリティ体制を見直す契機となりそうだ。