2025年10月、オフィス用品通販大手のアスクルがランサムウェア攻撃を受け、74万件の個人情報流出が確認されました。
攻撃発生から約2か月経過した12月時点でも完全復旧には至らず、無印良品やロフトなど取引先にも影響が波及しています。
▼本記事でわかること
- アスクルのサイバー攻撃の全容と被害規模
- 4か月間潜伏した攻撃の手口と成功要因
- 日本企業が狙われる3つの構造的脆弱性
本記事では、アスクル事例を詳細に分析し、経営層への報告に使える具体的なデータを提供します。
自社のセキュリティ体制を見直し、予算確保の論拠として活用できる内容です。
目次
アスクルのサイバー攻撃|事件の全容と被害規模
2025年10月19日に発生したアスクルへのランサムウェア攻撃は、日本企業のサイバーセキュリティリスクを浮き彫りにしました。
事件の詳細を時系列で見ていきましょう。
2025年10月19日に発生したランサムウェア攻撃
アスクルは2025年10月19日午前、社内システムで異常を検知しました。
調査の結果、ランサムウェアに感染していることが判明し、データが暗号化されて業務システムが使用不能な状態に陥っていました。
同社は直ちに全ての受注・出荷業務を停止し、法人向け「ASKUL」「ソロエルアリーナ」、個人向け「LOHACO」の全サービスが機能停止しました。
攻撃発生当日の18時30分、アスクルは公式にランサムウェア感染を公表しています。
74万件の個人情報流出が確認された被害
12月12日に公表された調査結果では、74万件弱の個人情報流出が確認されました。
流出した情報の内訳は、法人向けサービスで約59万件、個人向けサービスで約13万2000件、取引先関連で約1万5000件です。
物流システムと社内システムが暗号化されて使用不能となり、バックアップデータも一部暗号化されました。
トレンドマイクロの分析によれば、初期侵入は2025年6月5日で、実際のランサムウェア発動まで4か月以上の潜伏期間がありました。
無印良品・ロフトにも波及したサプライチェーン被害
アスクルの攻撃は、同社の物流を委託していた複数企業に連鎖的に拡大しました。
▼影響を受けた主な企業
- 無印良品:ネットストア全面停止
- ロフト:ECサイトでの受注・発送停止
- そごう・西武:一部商品の販売停止
無印良品を展開する良品計画は、主要販促イベント「無印良品週間」をネットで実施できず、大きな機会損失となりました。
一企業への攻撃が、サプライチェーン全体に波及する深刻な事態となったのです。
サプライチェーン攻撃は連鎖的に被害が拡大するよ!
攻撃成功の原因|4か月潜伏した侵入の実態
アスクルの攻撃が成功した背景には、複数のセキュリティ上の脆弱性がありました。
それぞれ詳しく見ていきましょう。
初期侵入から暗号化まで4か月の潜伏期間
トレンドマイクロの分析では、初期侵入は2025年6月5日、ランサムウェア発動は10月19日でした。
通常のランサムウェア攻撃は、初期侵入から平均7日程度で発動するとされています。
しかしアスクルのケースでは4か月以上の潜伏期間があり、攻撃者は時間をかけて重要なデータを探索し窃取しました。
アスクルは24時間365日の監視体制を整備していなかったため、この長期間の潜伏を検知できませんでした。
攻撃者にとって、時間をかけてデータを選別できる環境が整っていたのです。
多要素認証未適用の業務委託先が侵入経路
アスクルの公式報告書によれば、侵入経路は「例外的に多要素認証を適用していなかった業務委託先の管理者アカウント」でした。
攻撃者は、この委託先のIDとパスワードを何らかの方法で入手し、不正アクセスを実施しました。
▼委託先管理の課題
- 自社とは異なるセキュリティポリシーで運用
- 例外的に多要素認証を適用していなかった
- アクセス権限の定期的な棚卸が不十分
自社のセキュリティは強化していても、委託先が侵入口となるリスクが浮き彫りになりました。
EDR未導入とバックアップ不備が復旧を困難化
アスクルの報告書では、侵害が発生したデータセンターのサーバーにEDRが未導入だったと明記されています。
▼復旧を困難にした要因
- EDR未導入により検知が遅れた
- 複数種のランサムウェアが使用された
- ランサムウェア攻撃を想定したバックアップ環境が未構築
攻撃者はEDRなどのセキュリティソフトを無効化した上で、バックアップデータも暗号化しました。
適切なバックアップ戦略がなかったため、復旧に長期間を要する結果となったのです。
EDRは侵入後の異常を検知する重要なツールだよ!
なぜ日本企業が狙われるのか|3つの構造的脆弱性
アスクルの事例は、日本企業が抱える構造的な脆弱性を象徴しています。
警察庁の統計では、2025年上半期のランサムウェア被害は116件と過去最多を記録しました。
なぜ日本企業が狙われるのか、3つの構造的課題を解説します。
VPN単要素認証が43.7%|基本設定の甘さ
総務省の2024年調査によれば、多要素認証を導入済みの企業は43.7%にとどまります。
半数以上の企業が「ID+パスワード」のみの単要素認証でVPNを運用しているのが実態です。
攻撃者はダークウェブで購入したIDとパスワードをVPNに入力し、容易に侵入しています。
シスコシステムズの分析では、Qilin攻撃グループは流出IDを使った侵入を得意としており、高度な技術ではなく基本設定の甘さを突いています。
多要素認証の導入だけで、攻撃の大半は防げる可能性があるのです。
オンプレ中心のシステムとバックアップの脆弱性
日本企業の多くは、オンプレミス(自社サーバー)中心のシステム構成を維持しています。
オンプレ環境ではバックアップの独立性が弱く、暗号化された後に復元ポイントが残っていないケースが多発しています。
専門家は「一度侵入されると復旧に数十日単位の時間を要する」と指摘します。
クラウド移行やゼロトラストアーキテクチャへの対応が遅れていることが、被害拡大の一因となっているのです。
セキュリティ人材不足と経営層の認識不足
日本企業の最大の課題は、サイバーセキュリティを経営課題として認識していないことです。
多くの企業では、セキュリティは「IT部門の技術的な問題」として扱われ、十分な予算と人材が配分されていません。
経営層がサイバーセキュリティの重要性を理解しておらず、優先順位が低いのが実情です。
具体的な被害事例や経営リスクとの関連性を示すデータがなければ、経営層を動かすことは困難なのです。
セキュリティは経営課題として取り組む必要があるよ!
他社事例との比較|KADOKAWA・アサヒに共通する課題
アスクルの攻撃は、日本企業が抱える共通課題を示しています。
2024年のKADOKAWA、2025年のアサヒグループと立て続けに大手企業が標的となりました。
これらの事例を比較し、共通する課題を明らかにします。
KADOKAWA・アサヒ・アスクル3社の被害比較
| 企業名 | 攻撃時期 | 攻撃グループ | 被害規模 | 復旧期間 |
| KADOKAWA | 2024年6月 | BlackSuit | 約1.5万件流出 | 約1か月 |
| アサヒGHD | 2025年9月 | Qilin | 生産・出荷停止 | 1か月以上 |
| アスクル | 2025年10月 | 不明(RansomHouse説) | 74万件流出 | 2か月以上 |
※復旧期間は完全復旧までの目安です。各社の公表情報に基づく。
3社に共通するのは、大手企業であることとサプライチェーンの中核に位置することです。
攻撃者は、事業停止による影響が大きく、身代金の支払い能力がある企業を組織的に狙っています。
共通する攻撃手法Qilinの特徴
アサヒへの攻撃ではQilinグループが犯行声明を出しましたが、アスクルも同様の手法が確認されています。
▼Qilinの攻撃手法
- VPN経由での侵入(流出IDとパスワードを使用)
- 長期間の潜伏と情報探索
- 標準コマンドを使用した検知回避
- データ窃取と暗号化の二重恐喝
サイバーセキュリティ企業の分析では、2025年7月から9月にQilinは227件の攻撃を実行し、最も活発なグループとなっています。
日本企業への攻撃が継続的に発生しており、今後も警戒が必要です。
復旧期間の長期化と事業継続への影響
| 項目 | KADOKAWA | アサヒGHD | アスクル |
| 発見までの期間 | 不明 | 数日 | 4か月潜伏 |
| 初動対応 | システム遮断 | システム遮断 | 全面業務停止 |
| 復旧見通し | 約1か月 | 1か月以上 | 2か月以上 |
※データは各社の公表情報に基づく推定値です。
復旧期間の長期化は、初動対応の遅れとバックアップ体制の不備が原因です。
日本企業は「原因究明が終わらないとシステムを再開できない」という文化があり、海外企業に比べて復旧が遅れる傾向があります。
事業継続を優先する設計思想への転換が求められているのです。
経営層を説得する|予算確保に使える被害データ
経営層にセキュリティ投資の重要性を理解してもらうには、具体的な数値データが不可欠です。
アスクル事例から、予算確保の論拠として使える被害データを整理します。
自社への報告資料として活用してください。
1日10億円超の機会損失|事業停止の経済的影響
| 項目 | 金額 |
| アスクル年間売上高 | 約4,716億円 |
| 1日あたり売上 | 約13億円 |
| 1か月の機会損失 | 約390億円(推定) |
※2024年5月期データに基づく試算です。
アスクルの全面的な業務停止により、1日あたり約10億円から13億円程度の売上機会損失が発生したと推定されます。
2か月間の業務停止が続けば、機会損失は780億円規模に達する可能性があります。
さらに、顧客が競合他社に流れるリスクを考慮すれば、長期的な損失はより大きくなります。
復旧費用は数億円規模|過去事例から見る実態
| 費用項目 | 金額目安 |
| フォレンジック調査 | 数千万円〜1億円 |
| システム復旧 | 1億円〜数億円 |
| セキュリティ強化 | 数千万円〜1億円 |
| 法的対応・補償 | 数千万円〜 |
| 合計 | 数億円〜10億円超 |
※過去事例からの推定値です。実際の費用は被害規模により異なります。
警察庁の調査によれば、ランサムウェア被害を受けた企業の約59%が復旧費用として1,000万円以上を要しています。
大手企業の場合、専門家によるフォレンジック調査、システムの全面再構築、セキュリティ体制の強化などを含めると、数億円規模の費用が発生します。
2024年のKADOKAWA事例では、被害額が数十億円規模に達する可能性が指摘されました。
株価下落と信頼低下|ブランド毀損の長期的影響
アスクルの株価は、攻撃発覚後の10月20日に一時前週末比6%安を記録しました。
良品計画の株価も続落し、一時6.6%安を付けています。
株価下落だけでなく、長期的なブランド毀損も深刻です。
アスクルのブランド価値の根幹は「明日届く」という信頼性でしたが、攻撃により2か月以上サービスが停止し、この信頼が大きく損なわれました。
既存顧客が競合他社に流れるリスクがあり、顧客基盤の回復には長期間を要します。
セキュリティ事故は企業の信頼を大きく損なうよ!
よくある質問|アスクルのサイバー攻撃に関するQ&A
アスクルのサイバー攻撃はいつ発生したのか
アスクルのサイバー攻撃は2025年10月19日に検知されましたが、初期侵入は2025年6月5日とされています。
攻撃者は4か月以上ネットワーク内に潜伏し、重要なデータを探索していました。
ランサムウェアが実際に発動したのは10月19日で、同日に全ての業務が停止しました。
12月12日に公表された調査結果では、74万件弱の個人情報流出が確認されています。
個人情報の流出は自社に影響があるのか
流出した個人情報は、アスクルの法人向けサービス約59万件、個人向けサービス約13万2000件、取引先関連約1万5000件です。
アスクルを利用したことがある企業や個人は、自社の情報が流出している可能性があります。
アスクルは対象者に個別に通知を行っているため、通知が届いた場合は指示に従ってください。
パスワードの変更、不審なメールへの警戒など、基本的なセキュリティ対策を徹底することが重要です。
自社で同様の攻撃を防ぐには何をすべきか
自社で同様の攻撃を防ぐために、今すぐ実施すべき対策は以下の通りです。
▼最低限実施すべき対策
- VPN機器への多要素認証導入
- セキュリティパッチの定期的な適用
- オフラインバックアップの構築
- 委託先のセキュリティレベル確認
- 社員へのセキュリティ教育
特に、多要素認証の導入は最も費用対効果が高い対策です。
経営層にセキュリティ投資の重要性を理解してもらい、十分な予算と人材を確保することが不可欠です。
まとめ|アスクルのサイバー攻撃から学ぶ教訓
アスクルのサイバー攻撃は、日本企業が抱える構造的脆弱性を浮き彫りにしました。
▼本記事のポイント
- 74万件流出と2か月超の業務停止という甚大な被害
- 4か月潜伏した攻撃と委託先経由の侵入
- VPN単要素認証・バックアップ不備など日本企業共通の課題
経営層へのセキュリティ投資の重要性を説得するには、具体的な被害データが不可欠です。
機会損失・復旧費用・ブランド毀損を数値で示し、セキュリティは経営課題であることを認識してもらいましょう。
自社のセキュリティ体制を今すぐ見直し、多要素認証・バックアップ強化・委託先管理の徹底から始めてください。
