オフィス用品通販大手アスクルで、ランサムウェア攻撃により大規模なサービス停止と情報流出が発生しました。アスクルが公表した調査結果では、外部流出が確認された情報は約74万件に上り、攻撃者が2025年6月ごろから侵入していた可能性が示されています(発覚は10月)。
本記事では、公開資料で確認できる事実を中心に、「何が起きたのか」「なぜ気づけなかったのか」「利用者は何をすべきか」「同様の事故を防ぐには」を、一般の方にもわかりやすい言葉で整理します。
※本記事は、アスクルの公表資料および主要報道をもとに構成しています。捜査・調査の進展により内容が更新される可能性があります。
確認された流出は約74万件、侵入は6月ごろからの可能性
アスクルの発表(第13報)によると、2025年12月12日時点で外部流出が確認された情報は約74万件。内訳は次のとおりです。
| 区分 | 件数(概数) |
|---|---|
| 事業所向けサービスに関するお客様情報の一部 | 約59万件 |
| 個人向けサービスに関するお客様情報の一部 | 約13万2,000件 |
| 取引先(業務委託先・エージェント・商品仕入先等)に関する情報の一部 | 約1万5,000件 |
| 役員・社員等に関する情報の一部(グループ会社含む) | 約2,700件 |
また同資料では、攻撃の流れとして、2025年6月5日ごろの初期侵入 → 数カ月の潜伏・侵入拡大 → 10月19日にランサムウェア発動という時系列が示されています。
何が起きたのか
公表資料の内容を、できるだけ噛み砕いて整理すると次のとおりです。
- 初期侵入(6/5ごろ):業務委託先が使用するアカウントの認証情報(ID/パスワード等)が不正に利用され、社外からネットワークへ侵入された可能性。
- 潜伏・探索(6月〜):すぐに目立つ破壊は行わず、内部の構成や権限を探る段階(いわゆる「静かな侵入」)。
- 侵入拡大(7月〜10月):複数サーバー間を移動し、必要な権限を取得。資料では、セキュリティ対策の無効化等が示されています。
- 攻撃発動(10/19):ランサムウェアによりデータ暗号化・システム障害が発生し、注文や出荷などに広範な影響が出ました。
- 情報公開(10/30、11/10、12月初旬など):リークサイト上で「サンプルデータ」が公開されたことが確認された旨が、資料に記載されています。
クレジットカード情報は?
アスクルの資料では、LOHACO決済は「クレジットカード情報を当社が受け取らない仕組み」であり、同社は個人のお客様のクレジットカード情報を保有していないとしています。
なぜ「4カ月気づけなかった」のか
侵入が長期化するケースでは、「侵入経路の管理」と「検知の仕組み」の両方が問われます。アスクルの資料では、次の論点が示されています。
- ログが消えており全容解明が難しい:当時のログが削除されていて、原因の完全究明は困難とされています。
- 委託先アカウントへの多要素認証(MFA)が例外的に未適用:侵入の起点として、MFA未適用だった可能性が示されています。
- 侵入検知の遅れ:侵害が発生したデータセンター側でEDR未導入、かつ24時間監視が行われておらず、即時検知ができなかった旨が記載されています。
つまり、「入られない仕組み(認証・権限)」と「入られても早く見つける仕組み(監視・ログ・検知)」の両輪が弱いと、侵入が長期化しやすい――という構図です。
利用者が今すぐできる対策
個人情報が流出した可能性がある場合、二次被害として多いのは「なりすまし」「詐欺(フィッシング)」「不正ログイン」です。慌てず、次を実施してください。
- 不審メール・SMSに注意:請求、アカウント停止、再設定などを装い、偽サイトへ誘導する手口が増えます。
- パスワードの使い回しをやめる:同じパスワードを他サービスでも使っている場合は、優先して変更します。
- 可能なら多要素認証(MFA)を有効化:メール、EC、クラウドなど重要アカウントほど優先しましょう。
- 怪しい連絡は公式窓口で確認:メール本文のリンクからではなく、公式サイトや公式窓口から確認します。
企業が学ぶべき再発防止
公表資料にある再発防止の方向性は、他社でもそのまま参考になります。ポイントは「例外を作らない」「見える化する」「止められるようにする」です。
- MFAを全リモートアクセスで必須化(委託先・協力会社も含む)
- 24時間365日の監視(SOC)と、アラート時の即応体制
- EDRの全社展開(特にサーバー・重要系を未導入にしない)
- ログの保全(改ざん・削除されにくい保管、相関分析)
- バックアップ設計の見直し(ランサム想定:オフライン/イミュータブル、復旧訓練)
アスクルは、短期〜長期の強化ロードマップや、NISTフレームワークに基づく見直しも示しています。大きなインシデント後に「監視・検知・復旧」を体系化するのは、どの業界でも有効です。
まとめ
アスクルの事案は、侵入から発覚まで時間がかかったことで被害が拡大し、復旧も長期化しました。一方で、公表資料には「どの段階で何が起きたか」「どこが弱点になったか」「今後どう強化するか」が具体的に示されています。
利用者側は、しばらくフィッシング・なりすましに警戒し、パスワード見直しとMFAの有効化を。企業側は、委託先を含む認証例外の排除、24/365監視、ログ保全、バックアップ設計を「実装と運用」まで落とし込むことが重要です。
参考リンク
- アスクル:ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組み(第13報・2025/12/12)
- アスクル:サービスの復旧状況について(第12報・2025/12/3)
- ビジネス+IT:アスクル、検証レポート公表(侵入は約4カ月前の可能性)
- LOGISTICS TODAY:顧客などの個人情報74万件が流出
- 読売新聞:アスクルのサイバー攻撃(2025/12/12)(※閲覧条件がある場合があります)
