サイバー攻撃事件簿：「アスクル」 サイバー攻撃

このブログで、不定期連載で、「サイバー攻撃事件簿」と題し、サイバー攻撃に関するニュースを取り上げ、事件の内容と、どんな対策有効なのかを啓発していきます。またも大手企業でサイバー攻撃が発生。法人向け「ASKUL／ソロエルアリーナ」、個人向け「LOHACO」を抱えるアスクルでランサムウェア感染が判明し、受注・出荷が全面停止しました。本記事では報道ベースで確からしい事実だけを時系列で整理し、その後**「日本はサイバー攻撃に脆弱か？」**をデータから短評。最後に、現場がすぐ動ける再発防止の最小セットもまとめます。

---

1) 報道・公式発表で判明している事実（タイムライン）

2025年10月19日（日）

• アスクルのシステムがランサムウェアに感染。受注・出荷業務を停止。
• 影響：Webの**カゴ／レジ画面はエラー、FAX注文も不可、**領収書郵送や各種回収サービス等も停止。
• 個人情報や顧客データの流出有無は調査中（公式は「分かり次第案内」）。

2025年10月20日（月）、21日（火）

• 復旧見通しは未提示。10/21時点で未出荷の注文は順次キャンセルと告知。
• サプライチェーンへの波及： 物流委託を受ける良品計画（無印良品）が公式ECの受注・出荷を全面停止。ロフト、そごう・西武など複数の小売ECでも障害・停止が相次ぐ。

現時点で分かっていないこと： 攻撃グループの特定／侵入経路／暗号化の範囲／身代金要求の有無と交渉状況／個人情報流出の有無。

📌 一次情報・主要報道（抜粋）

• アスクル公式「ランサムウェア感染によるご注文受付停止のお知らせ（10/21更新）」

  • （出典） https://www.askul.co.jp/snw/newsDispView/?newsId=18364

• アスクル公式「ご注文キャンセルの対応とお詫び」

  • （出典） https://www.askul.co.jp/snw/newsDispView/?newsId=18384

• Reuters「アスクル、ランサムウエアで受注・出荷業務停止 無印良品にも影響」

  • （出典） https://jp.reuters.com/business/R4MX6FCJVJNZJA6SRAYDZXQGHI-2025-10-19/

• The Record「Askul halts online orders and shipments after ransomware」

  • （出典） https://therecord.media/askul-japan-retailer-cyberattack-disruption

• Business Insider Japan「無印良品はEC全面停止に」

  • （出典） https://www.businessinsider.jp/article/2510muji-official-e-commerce-site-fully-halts-orders/

• マイナビニュース Tech+「無印良品やロフトにも影響」

  • （出典） https://news.mynavi.jp/techplus/article/20251022-3576000/

---

2) なぜ連鎖したのか（構造理解）

• 委託集中と単一障害点： ECの受注→倉庫WMS→配送まで同一ベンダ／子会社に委託集中しやすく、1社停止＝広範な顧客停止に直結。今回は物流委託を受けるASKUL LOGISTの停止が良品計画のEC全面停止につながった。

• 切替設計の未整備： バックアップ倉庫／代替配送フロー／受注縮退運用（カタログ限定販売・在庫限定再開など）の事前手順化が不足していると、停止が長期化しやすい。

• 情報連携の遅延： 影響範囲と目安時期の更新が委託先—委託元間で非同期になりがち。自治体・顧客向けの周知テンプレ・FAQがあっても**実装（誰が・何分で・どのチャネルで）**まで決め切れていないケースが多い。。

---

3) 日本はサイバー攻撃に脆弱なのか？（データで短評）

結論：脆弱性は高止まり。

• ランサム被害は最多水準： 警察庁の2025年上半期まとめで被害報告116件。半期ベースで過去最多水準と並ぶ。侵入はVPN／RDP経由が多数、中小企業が6割超。

• 脅威ランキング： IPA「情報セキュリティ10大脅威 2025（組織編）」は1位：ランサム攻撃、2位：サプライチェーン攻撃。今回の事案構図と一致。

• 観測データ： JPCERT/CCの**インターネット定点観測（TSUBAME）**でも国内向けの探索・スキャン活動の活発化が継続。

• 政策強化は進行中： NISC年次報告「サイバーセキュリティ2025」や、経産省のサプライチェーン対策評価制度（中間とりまとめ）など、制度整備は前進。ただし現場への浸透・実装は道半ば。

📌 根拠へのリンク

• 警察庁「令和7年上半期 サイバー空間をめぐる脅威の情勢」(PDF)：

  • （出典） https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf

• IPA「情報セキュリティ10大脅威 2025（組織編）」：

  • （出典） https://www.ipa.go.jp/security/10threats/10threats2025.html

• JPCERT/CC「インターネット定点観測レポート（2025年4〜6月）」：

  • （出典） https://www.jpcert.or.jp/tsubame/report/report202504-06.html

• NISC「サイバーセキュリティ2025（年次報告・計画）」(PDF)：

  • （出典） https://www.nisc.go.jp/pdf/policy/kihon-s/250627cs2025.pdf

• 経産省「サプライチェーン強化に向けたセキュリティ対策評価制度（中間とりまとめ）」：

  • （出典） https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html

---

4) 実務で見える“脆弱さ”の正体（要因の棚卸し）

• 委託集中（単一障害点）： 物流・受注・決済・倉庫WMSが1社依存。BCP／SLAに多重委託・段階的縮退が織り込まれていない。

• 境界装置・VPNの老朽化／設定不備： パッチ遅延、EoL機器の残存、RDP露出など、**攻撃者の“定番入口”**が残る。

• バックアップ設計の甘さ： オフライン／不変（WORM）バックアップ・復旧訓練（DR演習）が形式化し、**本番切替の“最後の1マイル”**が未検証。

• 監視・初動の運用成熟度： EDR/MDRを入れても検知→封じ込め→復旧のオーケストレーション（人・手順・権限）が未整備。

• 広報・法務の即応体制： 個人情報事案の法定報告・公表、周知テンプレ、メディア／顧客応対フローの事前合意が弱い。

---

5) いま現場がやるべき最小セット（再発防止・被害極小化）

1.侵入口の総点検（ゼロトラスト前提）

• 外向きVPN/RDP/管理UIは**閉塞 or IP制限＋MFA強制、**EoL装置は置換。
• 攻撃面の可視化：**ASM（外部攻撃面管理）**で露出資産を継続監視。

2.バックアップ “3-2-1＋不変化

• オフライン＆WORM、四半期DR演習（委託先も合同）。
• RTO/RPOと手順書＋自動Runbook（復旧スクリプト）をリハーサル。

3.委託の二重化と切替手順

• 物流・決済・メール・CDNをベンダ分散、フェイルオーバーの責任分界（誰がスイッチを押すか）を契約明記。

4.初動パッケージ

• 身代金方針**（支払わない原則＋例外判断プロセス）、**社内緊急連絡網、顧客向けFAQ雛形、法定報告チェックリストを事前承認。

5.脆弱性・注意喚起の自動取込み

• JPCERT/CC・IPA・NISCのアラートをRSS/メール→チケット自動起票（JIRA/ServiceNow等）に連結。

---

6) まとめ

• アスクルの事案は「ランサム攻撃 × 委託集中」が重なった教科書的ケース。いま必要なのは被災企業の批評ではなく、自社の委託と復旧設計の“穴”を埋めること。明日から着手できるのは入口削減・バックアップ不変化・委託分散の3点です。