アスクルのランサムウェア被害を踏まえて
〜多層防御の重要性〜　

　

近年、ランサムウェア被害は後を絶ちません。昨年も多くの企業が被害に遭い、新聞やニュースで報じられました。その中には、アサヒグループのように、誰もが知る大企業の名前も含まれています。アサヒの事案については詳細な調査報告書は公表されていないため、技術的な背景を深く知ることはできませんが、「昨年もランサムウェア被害が非常に多かったこと」「大企業であっても被害を免れなかったこと」は、重く受け止める必要があります。

　

こうした事案を「大企業の話」「自分たちとは関係ない話」として他山の石にしてしまうことが、最も危険です。そこで本記事では、調査報告書を公表しているアスクル株式会社のランサムウェア被害を踏まえ、中小企業の経営者の皆様にぜひ心に刻んでいただきたい教訓を整理します。

　

2025年、アスクルはランサムウェア攻撃を受け、物流システムおよび一部の社内システムが停止しました。その結果、受発注や物流、顧客対応といった事業の中核機能に長期間の影響が生じました。本件の影響はアスクル本体にとどまらず、関連サービスや取引先にも波及し、サプライチェーン全体に影響を与えています。

　

また、攻撃に伴い大量の情報流出が確認されています。公表されている内容によれば、事業所向け顧客情報が約59万件、個人向け顧客情報が約13万件、取引先情報が約1万5千件、役員・社員情報が約2,700件、合計で約74万件規模の情報が漏えいしました。攻撃者はデータを暗号化しただけでなく、窃取した情報をリークサイトに段階的に掲載する、いわゆる二重恐喝型の手口を用いています。

　

被害の流れを見ていくと、侵入は2025年6月頃にはすでに始まっていました。攻撃者は業務委託先に付与されていた管理者アカウントの認証情報を何らかの形で入手し、正規の認証情報を用いて内部に侵入しています。この点で重要なのは、VPNの脆弱性が悪用された形跡は確認されておらず、社員のパソコンから情報が漏えいした事実も確認されていないということです。特別な攻撃手法ではなく、漏えいしたIDとパスワードが使われただけで侵入が成立しています。

　

その後、攻撃者は約4か月にわたり内部に潜伏し、探索や権限取得の試行を続けました。そして2025年10月19日、大規模なランサムウェア攻撃が実行され、複数のサーバでデータが暗号化されました。この際、オンラインで保管されていたバックアップデータも暗号化され、復旧は困難を極めました。攻撃後は脅迫が行われ、10月末以降、複数回にわたってリークサイトで情報が公開されています。

　

では、なぜこれほどまでに被害が拡大してしまったのでしょうか。本件では、特に三つの問題点が浮き彫りになっています。

　

一つ目は侵入経路です。業務効率を優先するあまり、業務委託先の管理者アカウントに多要素認証が導入されていませんでした。これは極めて致命的です。「委託先だから」「例外的な対応だから」という判断が、そのまま侵入口となりました。

　

二つ目は、侵入から攻撃までの約4か月間、異常に気づくことができなかった点です。調査報告書によれば、侵入されたデータセンターではサーバにEDRが導入されておらず、24時間体制で検知・対応する仕組みもありませんでした。その結果、攻撃者は長期間、内部で自由に活動できる状態にありました。

　

三つ目はバックアップです。バックアップは取得されていましたが、オンラインで保管されていたため、ランサムウェアと同時に暗号化されました。復旧の切り札となるはずのバックアップが機能せず、事業への影響は長期化しました。

　

ここで整理したいのは、この被害が単一のミスで起きたものではないという点です。外部からの侵入を防ぐ対策、内部での検知と封じ込め、そして事業を継続するための備え。この三つすべてが十分に機能していなかったことが、被害拡大につながっています。

　

このように複数の防御を重ねる考え方を、多層防御と呼びます。多層防御とは、一つの対策が破られることを前提に、役割の異なる防御を重ねることで、侵入を防ぎ、侵入後は早期に気づき、最悪の場合でも被害を限定し事業を継続するという考え方です。どれか一つでも欠けていれば、ランサムウェア攻撃は成立してしまいます。

　

アスクルは本件を踏まえ、全てのリモートアクセスに多要素認証を徹底し、監視体制やEDRの強化、ランサムウェアを想定したバックアップ設計への見直しなど、再発防止策を明確に示しています。

　 　

いずれも特別な最先端技術ではなく、基本的な対策です。 中小企業の経営者の皆様には、ぜひ考えていただきたいことがあります。外部に渡しているIDを把握しているでしょうか。例外的に緩めている設定はないでしょうか。夜間や休日に侵入があった場合、誰が気づくのでしょうか。1週間業務が止まった場合、会社は持ちこたえられるでしょうか。止める、支払う、公表する判断は誰が行うのでしょうか。

　

なお、こうした問いに対する具体的な対策や実務的な考え方については、別記事 「ランサムウェア被害は他人事ではない」 にて詳しく解説していますので、あわせてご参照ください。

　

セキュリティは、もはやIT担当者だけの問題ではありません。経済産業省が進めるセキュリティ評価制度が示すように、今後は「どの程度セキュリティ対策を実施しているか」が、財務諸表と同じように企業の信用を左右する時代になります。

　

完璧な防御は不要です。しかし、何も想定していない状態だけは避けなければなりません。アスクルですら止まりました。この事実を他山の石にせず、自社に置き換えて考えること。それこそが、ランサムウェア時代を生き抜くための第一歩です。

　

アスクル調査結果報告書

　　

コンテンツへ戻る