2025年10月、アスクル株式会社がランサムウェア攻撃を受け、約74万4,000件の個人情報および取引先情報が流出しました。この事件の原因は、VPN機器の脆弱性が放置されていたことにあり、攻撃者は2025年6月から約4ヶ月間にわたって社内ネットワークに潜伏し、管理者権限を奪取した上でシステムを暗号化しました。本記事では、アスクル個人情報漏えい事件の原因、経緯、流出した情報の詳細、そして企業が学ぶべき教訓について徹底解説します。
アスクル個人情報漏えい事件とは
アスクル個人情報漏えい事件とは、2025年10月19日に発覚したサイバー攻撃により、アスクル株式会社から約74万4,000件の個人情報・企業情報が流出した事件です。攻撃を行ったのは「RansomHouse(ランサムハウス)」と名乗るサイバー犯罪グループであり、彼らはデータを暗号化するだけでなく、盗み出した情報を公開すると脅す「二重脅迫(ダブルエクストーション)」の手口を用いました。
アスクルは「明日来る(ASKUL)」の社名が示す通り、迅速な配送をアイデンティティとする日本有数のオフィス通販企業です。法人向けの「ASKUL」や個人向けの「LOHACO」など、日本全国の企業や消費者に物資を届ける物流インフラとしての役割を担っています。そのアスクルが攻撃を受けたことで、単なる一企業の問題にとどまらず、医療機関への物資供給が滞るなど、社会インフラを揺るがす事態へと発展しました。
2025年12月12日に公表された最終報告書によると、攻撃者は同年6月の時点ですでにアスクルのネットワークに侵入しており、約4ヶ月間にわたって内部で活動を続けていたことが判明しています。この長期潜伏により、攻撃者はネットワーク構成の把握、重要データの特定、管理者権限の奪取を行い、最終的にランサムウェアを一斉展開してシステムを麻痺させました。
74万件流出の詳細な内訳
流出した約74万4,000件の情報は、複数のカテゴリーに分類されます。それぞれの内訳と想定されるリスクについて詳しく見ていきましょう。
事業所向けサービスの顧客情報(約59万件)
流出件数の大半を占めるのが、法人向けサービス「ASKUL」および「ソロエルアリーナ」を利用する企業の情報です。流出した項目には、会社名、部署名、担当者氏名、メールアドレス、登録電話番号、そしてお問い合わせ内容が含まれています。
この情報が悪用された場合、攻撃者は「どの会社の誰が担当者か」を把握した上で、アスクルからの連絡を装った精巧なフィッシングメールを送信することが可能になります。たとえば「先日のお問い合わせの件ですが」という件名でウイルス付きメールが届いた場合、過去に実際に問い合わせをした担当者は疑うことなく開封してしまう恐れがあります。このように、流出情報を基にした標的型攻撃のリスクが極めて高い状態となっています。
個人向けサービスの顧客情報(約13万2,000件)
一般消費者が利用するLOHACOの利用者情報も流出しました。流出項目は氏名、電話番号、メールアドレス、お問い合わせ内容です。
ただし、クレジットカード情報については、アスクル側で非保持化(決済代行会社が管理)していたため、今回の流出対象には含まれていません。これは被害者にとって不幸中の幸いと言えるでしょう。しかし、氏名や連絡先が流出していることから、詐欺メールや迷惑電話のターゲットとなるリスクは残っています。
取引先・サプライヤー情報(約1万5,000件)
アスクルに商品を供給するメーカーや卸売業者の担当者情報も流出しています。流出項目は会社名、担当者名、部門名、メールアドレスです。
この情報が悪用されると、サプライチェーン攻撃の足がかりとされる可能性があります。具体的には、アスクルの担当者を装ってサプライヤーにウイルス付きメールを送るなどの手口が考えられます。サプライチェーン全体のセキュリティリスクを高める深刻な流出と言えます。
従業員・役員情報(約2,700件)
アスクルグループの内部情報として、氏名、社員番号、所属、連絡先などが流出しました。従業員の個人情報が外部に漏れたことで、なりすましや詐欺のターゲットとなるリスクがあります。
3PL受託事業のエンドユーザー情報
最も複雑かつ深刻なのが、アスクルの物流子会社「ASKUL LOGIST」が管理していた他社の配送データです。アスクルは自社の物流網を活用し、他企業の物流業務を一括受託する3PL(サードパーティ・ロジスティクス)事業を展開しています。
今回の流出では、良品計画(無印良品)などの委託元の顧客情報が含まれていました。流出項目は配送先住所、氏名、電話番号、注文商品情報です。被害に遭ったエンドユーザーは「アスクルを使った覚えがない(無印で買い物をしただけ)」にもかかわらず、アスクルから情報が漏れるという事態に直面しました。さらに、注文商品情報が含まれることから、「何を買ったか」というプライバシー情報まで露見する可能性があり、二次被害の懸念が広がっています。
事件の原因:なぜアスクルは侵入されたのか
約74万件もの情報が流出した背景には、複数のセキュリティ上の問題がありました。2025年12月12日に公表された最終報告書を基に、技術的な原因を詳しく解説します。
VPN機器の脆弱性放置
全ての悪夢の始まりは、ネットワーク境界に設置されたVPN(仮想プライベートネットワーク)機器でした。調査によると、アスクルが使用していたVPN機器には、メーカーから公表されていた既知の脆弱性が存在していましたが、修正パッチが適用されていませんでした。
VPNは、テレワークや外部業者が社内システムにアクセスするための「玄関」です。しかし、この玄関の鍵が壊れたまま放置されていたことで、攻撃者は正規の認証プロセスを迂回して社内ネットワークへの侵入に成功しました。2025年においては、FortinetやCisco、SonicWallなどの主要なVPN製品に対する脆弱性が頻繁に報告されており、パッチ適用の遅れは致命的なリスクとなります。アスクルにおいてもそのリスク管理の隙が突かれた形です。
特権IDの管理不備と権限昇格
VPNを突破した攻撃者は、すぐにランサムウェアを実行したわけではありません。彼らはネットワーク内部で慎重に探索活動を行いました。
攻撃者は、社内のサーバー管理やクラウドサービスの管理に使用されていた特権ID(管理者アカウント)とそのパスワードを窃取しました。具体的には、本来無効化されているべき監視用ソフトウェアや管理ツールが悪用され、そこから認証情報が抜き取られたとされています。
奪取した管理者権限を用いることで、攻撃者は「正当な管理者」になりすまし、社内システム、メールサーバー、物流システム(WMS)、そしてクラウド上の問い合わせ管理システムへと、縦横無尽にアクセス範囲を広げました。このような横方向への移動を「ラテラルムーブメント」と呼びます。
EDRの検知回避とバックアップの破壊
アスクルは、高度な攻撃を検知するためのEDR(エンドポイントでの検知と対応)を導入していましたが、今回の攻撃を防ぐことはできませんでした。
攻撃者が使用したランサムウェアやツールは、当時のEDRの検知シグネチャ(定義ファイル)に合致しない未知のものであったか、あるいは管理者権限を悪用してEDRの監視プロセスそのものを停止・無効化した可能性があります。
さらに深刻だったのは、バックアップデータの破壊です。攻撃の最終段階において、攻撃者はシステムの復旧を阻止するためにバックアップデータを標的としました。オンラインで接続されていたバックアップサーバーはランサムウェアによって暗号化されるか、管理コンソールから削除操作が行われました。これにより、アスクルは「バックアップからすぐに戻す」という選択肢を奪われ、ゼロからのシステム再構築を余儀なくされました。
事件の経緯:時系列で振り返る
アスクル個人情報漏えい事件の経緯を時系列で詳しく見ていきましょう。
侵入と潜伏期間(2025年6月〜10月)
2025年6月、攻撃者はVPN機器の脆弱性を利用してアスクルのネットワークに侵入しました。この時点ではシステムの異常は検知されず、攻撃者は約4ヶ月にわたり内部偵察を行いました。ネットワーク構成の把握、重要データの特定、管理者権限の奪取など、着々と攻撃の準備が進められていきました。
この潜伏期間中、EDRなどの監視網は突破あるいは無効化されており、アスクル側は侵入に気づくことができませんでした。「侵入されている」という前提での監視体制が不十分だったことが、被害拡大の一因となっています。
ランサムウェアの発症と初期対応(2025年10月19日〜22日)
2025年10月19日(日曜日)、攻撃者がランサムウェアを一斉に展開しました。物流システム、受注システム、基幹システムを含む広範囲のサーバーが暗号化されました。アスクルのシステム監視チームがサーバーの異常な挙動とアクセス障害を検知し、事態を重く見たアスクルは、被害拡大を防ぐために外部ネットワークとの接続を物理的に遮断しました。
この措置により、Webサイト「ASKUL」「LOHACO」が閲覧不能となり、倉庫での出荷作業も停止しました。翌20日(月曜日)、週明けのビジネス開始とともに、全国のオフィスや医療機関で「アスクルに繋がらない」「注文ができない」という混乱が発生しました。アスクルは第1報をリリースし、システム障害の発生を公表しました。
10月22日には調査状況とサービスの現況に関する第2報を発表し、ランサムウェア攻撃であることを認め、復旧に時間を要することを示唆しました。
アナログ対応と犯行声明(2025年10月29日〜31日)
10月29日、アスクルは医療機関や介護施設など、生命や健康に関わる物資を必要とする顧客に対し、FAXによる注文受付と手作業での出荷トライアルを開始しました。デジタルシステムが全停止する中、人海戦術によるアナログ対応という緊急退避が行われたのです。
10月30日、「RansomHouse」がダークウェブ上で犯行声明を発表しました。アスクルから1.1TB(テラバイト)のデータを盗んだと主張し、身代金交渉を要求しました。翌31日、アスクルは第5報を発表し、事業所向け・個人向けの問い合わせ情報の一部流出を初めて公式に認めました。
被害拡大と二重脅迫の実行(2025年11月)
アスクルが身代金の支払いを拒否する姿勢を堅持したため、RansomHouseは脅迫のレベルを引き上げ、窃取したデータの一部(サンプルデータ)を公開しました。
11月14日、アスクルは追加の流出事実を公表しました。物流子会社「ASKUL LOGIST」が受託していた他社(3PL事業)のエンドユーザー情報も流出していたことが判明し、無印良品などの顧客情報が含まれていることが明らかになりました。
11月28日には、12月第1週からのWebサイト注文再開(段階的復旧)を発表しました。
段階的復旧と最終報告(2025年12月)
12月3日、法人向けサービス「ASKUL」の一部商品の注文受付を再開しました。そして12月12日、アスクルは最終的な調査報告書(第13報)を公表しました。流出件数が合計で約74万4,000件に達すること、そして攻撃者は6月の時点で侵入していたことを認めました。同時に、犯行グループとは一切の交渉を行わず、身代金を支払わなかったことを明言しました。
攻撃者「RansomHouse」とは
アスクルを攻撃した「RansomHouse」とは、2021年後半から2022年にかけて頭角を現したサイバー犯罪グループです。彼らは従来のランサムウェアギャングとは一線を画す独特の特徴を持っています。
「善良な力」を自称する倒錯した正義感
RansomHouseは自身を「プロのペネトレーションテスター(侵入テスト担当者)」や「バグバウンティハンター(脆弱性報奨金稼ぎ)」であると自称し、「企業のセキュリティ対策がお粗末だから我々が侵入できたのだ」という倒錯した正義感を振りかざす傾向があります。彼らのダークウェブ上のサイトには「Force for Good(善良な力)」といったスローガンが掲げられることもあります。
しかし実態は、KADOKAWAへの攻撃で見られたようなロシア系ハッカー集団や、他の著名なランサムウェアグループ(LockBitやBlackCatの残党など)と緩やかに連携し、金銭的利益のみを追求する犯罪組織です。
二重脅迫の手口
RansomHouseの最大の特徴は、暗号化そのものよりも「データの窃取と脅迫」に重きを置いている点です。暗号化ツール(ロッカー)を使用する一方で、交渉が決裂した際には容赦なくデータを公開する「二重脅迫」の手口を常套手段としています。
アスクルの事例においても、彼らは「1.1TB(テラバイト)」もの膨大なデータを窃取したと主張しました。これは単なる顧客リストのコピーではなく、データベースのダンプファイルや、ファイルサーバー内の非構造化データ(契約書、メールのアーカイブなど)を含んでいることを示唆する量です。
社会的・経済的影響
アスクルのシステム停止は、日本の社会インフラのもろさを露呈させました。
医療・介護現場への深刻な影響
アスクルはオフィス用品だけでなく、医療用消耗品(マスク、手袋、ガーゼ、消毒液、注射器関連部材など)の巨大な供給パイプラインを持っています。多くのクリニックや介護施設は、アスクルの「明日来る」配送を信頼し、院内在庫を最小限に抑える「ジャスト・イン・タイム」運用を行っていました。
供給停止により、数日で在庫が尽きる施設が続出しました。アスクル以外の通販サイトや卸業者に注文が殺到し、品薄状態が発生しました。一部の業者が価格を通常の2〜3倍に吊り上げるなど、市場の混乱を招きました。医療現場では「処置に必要な器具が手に入らず、診療に支障が出るレベルだった」という声も上がっています。
壊滅的な売上減少
2025年12月に発表された月次業績(11月度)は、サイバー攻撃が企業経営に与えるダメージを数値として明確に示しました。アスクル単体の売上高は、前年同月比でマイナス94.9%(約95%減)という衝撃的な落ち込みを記録しました。通常300億円以上あるはずの月商が、わずか17億円程度に激減したことになります。
特に個人向けLOHACO事業は売上高が300万円(前年同月比0.1%)となり、1ヶ月間、事業が完全に消滅したに等しい状態でした。被害額の算定が困難であること、システム障害により数値の集計ができないことから、第2四半期の決算発表も延期されました。
物流センターの機能不全
ランサムウェアによって暗号化されたのは、本社のPCだけではありませんでした。物流センターの中枢であるWMS(倉庫管理システム)や、配送トラックを制御する配送管理システム、ハンディターミナルを制御するサーバー群も停止しました。
どの棚にどの商品があるか、どの注文に対して何を箱詰めすればよいかというデータが参照できなくなり、ピッキング作業が停止しました。配送伝票の発行もできなくなり、荷物をトラックに積み込むことが不可能になりました。
システムが全停止する中、アスクルは医療機関などの緊急性の高い顧客を守るため、FAXで注文を受け付け、従業員が紙のリストを片手に広い倉庫を走り回り商品を探し出すという、創業初期のような光景が繰り広げられました。しかし、処理能力は通常時の数分の一に低下し、配送遅延が常態化しました。
アスクルの危機管理対応
アスクルの対応において特筆すべきは、「身代金の支払い拒否」を貫いた点です。
身代金支払い拒否の決断
RansomHouseからの脅迫に対し、アスクルは「テロリストには屈しない」という国際的な原則、および反社会的勢力への利益供与を防ぐ観点から、要求を拒絶しました。身代金を支払わない場合、窃取されたデータが公開されるリスクは避けられませんが、アスクルはこのリスクを受容し、顧客への謝罪と真実の公表を選びました。
セキュリティ業界やコンプライアンスの観点からは、犯罪組織に資金を渡さず、攻撃の連鎖を断ち切る正しい判断として評価されています。しかし、情報が公開された被害者からの反発や不安の声に対応し続けるという困難な道を歩むことになりました。
透明性の高い情報公開
初期の段階では情報の錯綜も見られましたが、アスクルは合計13報に及ぶプレスリリースを通じて、調査状況を逐次公開しました。特に最終報告書において、攻撃手法や時系列、流出件数の詳細を包み隠さず公表した姿勢は、他の被害企業と比較しても透明性が高いものでした。
再発防止策と今後のロードマップ
アスクルは復旧と並行して、抜本的なセキュリティ強化策を打ち出しています。
ゼロトラストセキュリティへの移行
「社内ネットワークなら安全」という従来の境界防御モデルを捨て、全てのアクセスを疑い検証する「ゼロトラスト」アーキテクチャへの移行を進めています。管理者アクセスだけでなく、VPNやクラウドサービスへのアクセス全てに多要素認証(MFA)を導入し、パスワード漏洩だけでは侵入できない環境を構築します。また、管理者権限を厳格に管理し、必要な時だけ権限を付与する特権ID管理(PAM)も導入します。
24時間365日の監視体制強化
外部専門機関と連携したSOC(Security Operation Center)機能を強化します。EDRが発するアラートを専門家が即座に解析し、深夜や休日であっても攻撃の予兆を検知して遮断できる体制を構築します。
バックアップの堅牢化
ランサムウェア対策の切り札として、バックアップデータの「イミュータブル(書き換え不可)化」と「オフライン保管」を徹底します。攻撃者がシステムに侵入しても、バックアップデータだけは絶対に破壊できない仕組みを構築し、万が一の際にも確実な復旧を保証します。
サプライチェーン・リスク管理の再構築
ASKUL LOGISTでの被害を教訓に、委託先や子会社を含むグループ全体のセキュリティ水準を統一し、定期的な脆弱性診断と監査を実施する体制へと移行します。
企業が学ぶべき3つの教訓
アスクル事件は、全ての企業にとって重要な教訓を残しました。
脆弱性の放置は経営責任
既知の脆弱性を放置することは、鍵を開けたまま外出するのと同じです。特にVPNのような境界機器のパッチは、公表から数時間以内に対策を検討すべき最優先事項です。システム担当者任せにせず、経営陣がリスクを認識し、リソースを配分する必要があります。
「侵入されている」前提での監視が必要
「4ヶ月間気づかなかった」という事実は、境界内部の監視体制が不十分だったことを示唆しています。侵入を防ぐだけでなく、侵入後の動きを早期に検知する「ゼロトラスト」の考え方への転換が急務です。
バックアップはオフラインで保管
ネットワークから切り離された環境にバックアップを保管していなければ、ランサムウェアに対抗できません。バックアップの「イミュータブル化」と「エアギャップ(物理的分離)」が不可欠です。
まとめ
2025年のアスクル個人情報漏えい事件は、VPN機器のパッチ適用という「基本的な衛生管理(サイバーハイジーン)」の欠如が、企業の存続を揺るがす巨大な危機に直結することを証明しました。約74万4,000件の情報流出、6月からの4ヶ月間にわたる長期潜伏、そして物流インフラの停止という事態は、対岸の火事ではなく、あらゆる企業に起こりうる現実です。
アスクルは身代金の支払いを拒否し、透明性の高い情報公開を行うとともに、ゼロトラストセキュリティや24時間監視SOCなど、抜本的なセキュリティ強化への移行を表明しています。この事件から得られた知見を社会全体で共有し、日本企業のセキュリティレベル向上につなげていくことが求められています。
コメント