アスクルのランサムウェア被害から考えるサプライチェーンリスクと事前の備え

2025年10月19日、アスクル株式会社（以下、アスクル）はランサムウェア感染によるシステム障害の影響により、受注・出荷業務が停止するなど、大規模な影響を受けたことを公表しました。現在も復旧を段階的に進めてはいますが、完全復旧はまだ先になる見込みです。（11月12日現在）

本事案は、アスクルおよびそのグループ会社の事業継続に影響を与えただけでなく、無印良品やロフトなど他社のEC事業にも波及する事態となっており、複数の企業が連携して動く現代のサプライチェーンリスクを改めて浮き彫りにしました。

さらに、二重恐喝型ランサムウェアによる個人情報流出被害も発生しており、サービス復旧だけでなく、個人情報保護委員会への報告や流出対象者へのお詫び・通知、問い合わせへの対応なども求められる事態となっています。

事件の概要（時系列）

アスクル株式会社へのランサムウェア攻撃は、2025年10月19日に発生しました。攻撃により、アスクルの基幹システムが暗号化され、法人向け通販「ASKUL」および個人向け通販「LOHACO」の受注・出荷システムが全面停止しました。

以下は、事件の発生から現時点（11月12日現在）までの時系列の概要です。

10月19日（日）：システム障害により受注・出荷業務の停止^{※1 ※2}

午前：外部からの不正アクセスによる異常を検知、ランサムウェア感染の疑いのあるシステムの切り離しとネットワーク遮断を実施。受注・出荷システムが停止し、物流サービスが機能不全に陥る。
14時：対策本部を設置。
16時30分：「ASKUL」「ソロエルアリーナ」「LOHACO」の受注を停止。

10月20日（月）、21日（水）：無印良品、ロフト、ネスレ日本がネットストア受注停止を公表

20日（月）：アスクル/LOHACOの物流子会社「ASKUL LOGIST株式会社」にネットストアの配送業務を委託していた株式会社良品計画と株式会社ロフトが、アスクルで発生したシステム障害の影響による一部業務の停止を公表。^{※3 ※4}
21日（水）：ネスレ日本が委託会社で発生した物流障害による一部業務の停止を公表。^※5

10月29日（水）：医療機関等へ出荷トライアル運用を開始^※6

倉庫管理システム（WMS:Warehouse Management System）を使用しない手運用による出荷スキームを構築し、医療機関や介護施設を含む一部の顧客を対象にトライアル運用を開始。

10月30日（木）：犯行グループが声明を発表^※7

ランサムウェアグループ「RansomHouse（ランサムハウス）」が犯行声明を公開。アスクルから1.1TBのデータを盗んだと主張。

10月31日（金）：個人情報の流出を確認^※8

アスクルがサーバへの不正アクセスによる一部ファイルの外部流出についてのお詫びとお知らせを公表。31日時点で流出が確認された情報は以下。

事務所向けEC（「ASKUL」「ソロエルアリーナ」）の顧客が行ったお問い合わせに関する一部の情報
（会社名、担当者名、メールアドレス、電話番号、お問い合わせ内容等）
個人向けEC（「LOHACO」）の顧客が行ったお問い合わせに関する一部の情報
（顧客氏名、メールアドレス、電話番号、お問い合わせ内容等）
商品仕入れ先（サプライヤー）が商品関連システムに登録していた情報の一部
（会社名、担当者の部門名、氏名、メールアドレス等）

なお、クレジットカード情報は保有していないため流出の可能性はないとのこと。

11月4日（月）：LINEヤフー社長がコメント^※9

アスクルの親会社であるLINEヤフー株式会社の出沢剛社長最高経営責任者（CEO）が本件について「非常に重く受け止めている」とコメント。グループ全体の情報セキュリティー体制を強化すると述べた。

11月6日（木）：サービス復旧計画を公表^※10

基本方針として事業所向けサービスの復旧を優先することを示し、10月29日に開始したトライアル運用を第一弾として、出荷拠点および取扱商品の段階的な拡大を進めていく方針を明らかにした。本格復旧フェーズには、12月上旬以降に入る予定。

11月11日（火）：情報流出件数の拡大を確認^※11

10月31日に流出が確認された①～③の情報の流出件数の拡大を確認したことを公表。

サプライチェーンを守るためのサイバーセキュリティ戦略

アスクルの事案だけでなく、アサヒグループホールディングスやアクリーティブ（「ドン・キホーテ」「ユニー」などを運営するパン・パシフィック・インターナショナルホールディングスの業務委託先企業）の事案に見られるように、2025年10月以降、ランサムウェアがサプライチェーン全体に多大な影響を及ぼすケースが相次いでいます。いずれも事業継続への影響と情報流出が同時に発生しており、両軸に対する対応が求められています。

もはやランサムウェアは企業にとって「ほとんど自然災害のようなもの」ともいえる存在であり、完全に食い止めることは容易ではありません。しかし、ひとたび被害が発生すれば、その損害額は極めて高額となり、株価にも影響を与える事態になりかねません。会社を守るためには、事前の備えを「していて当然」という前提で考える必要があります。侵入対策はもちろんのこと、仮に入口を突破されたとしても被害を最小限にとどめるための施策を、あらかじめ用意しておくべきです。加えて、近年需要が急増しているサイバー保険の活用も、有効な選択肢の一つとなりえます。

弊社のIRM（Information Rights Management）システム「DataClasys（データクレシス）」は、サーバーやクラウドストレージ、PC などに存在するファイルを暗号化して守るデータセキュリティシステムです。暗号化されたファイルは、IDを所持する利用者以外は開くことができないため、仮にランサム攻撃によって外部流出したとしても、攻撃者はファイル内の情報を閲覧できません。当然、その状態でダークウェブ上に公開しても意味はありません。従来の侵入対策やバックアップにファイル暗号化を加えることで、二重恐喝型ランサムウェアによるリスクを大幅に低減できることが期待できます。