アスクルは2025年12月12日、同社が被害を受けたランサムウェア攻撃について、第13報となる調査結果と今後の対策を公表しました。外部専門機関によるフォレンジック調査の結果、約74万件分の個人情報が外部に流出、もしくは流出した可能性があることが確認され、被害規模が改めて明らかになりました。

本件では、ランサムウェアグループ「Ransomhouse」が10月末から2度にわたり犯行声明とサンプルデータを公開しており、アスクルのインシデントはデータ窃取と暗号化を伴う本格的なランサム攻撃として位置づけられます。

流出（または流出の可能性）が確認された約74万件の情報

同社の発表および報道によると、12月12日時点で判明している対象件数は以下の通りです。

• 法人向けEC（ASKULなど）の顧客情報：約59万件

• 個人向けEC「LOHACO」などの顧客情報：約13万2,000件

• 取引先企業・担当者情報：約1万5,000件

• アスクルグループ役員・社員などの情報：約2,700件

合計で約74万件に達し、顧客、取引先、従業員を広く巻き込む大規模なサイバーインシデントとなりました。

対象情報には、氏名、住所、電話番号、メールアドレスなどの連絡先情報のほか、一部には社名や部署名、役職なども含まれるとしています。
なお、LOHACOのクレジットカード決済は決済代行会社によるトークン方式で処理されており、アスクルがカード番号そのものを保持していないため、カード情報の漏えいは確認されていないと説明しています。

攻撃の原因：委託先アカウントから侵入し、数カ月潜伏

第13報によると、今回の攻撃は短期間で完結するものではなく、数カ月にわたる潜伏と横展開を経て実行されたことが判明しています。

• 2025年6月ごろ
  　業務委託先向けのリモート接続用アカウントが悪用され、ネットワーク内部へ侵入。

• 7〜10月
  　内部偵察や認証情報の窃取を行い、EDRなどの防御機構を回避しながら複数サーバへ横展開。

• 10月19日
  　複数のランサムウェアが同時に発動し、物流・社内システムに加え、同一データセンター内のバックアップデータも暗号化。

この結果、物流センターの出荷業務が大きく停止し、ECサービス全体に深刻な影響が及びました。

被害範囲：物流システムとバックアップ暗号化が復旧を長期化

アスクルの物流センターは、自動倉庫やピッキング設備と物流システムが密接に連動しています。今回、これらを制御するサーバ群とバックアップが同時に暗号化されたことで、単純な復元ができず、復旧に長期間を要したとしています。

第13報時点では、基幹業務、EC、倉庫システムの多くが「クリーンな新環境」へ移行済みであり、フォレンジック調査の結果、追加侵害や残存マルウェアは確認されていないとしています。

Ransomhouseによる犯行声明と攻撃の特徴

Ransomhouseは10月末に犯行声明を出し、約1.1TBのデータを窃取したと主張。その後、11月にも追加データを公開しました。公開サンプルには、社員や担当者のメールアドレス一覧、社内フォルダ構成、サポート関連情報などが含まれていたとされています。

ただし、公開データのすべてが実際にアスクルから流出したものか、また窃取量が主張通りかについては、公式な裏付けはありません。
とはいえ、データ窃取とシステム暗号化を組み合わせた二重・三重恐喝型の攻撃であったことはほぼ確実とみられます。

初動対応と再発防止策

アスクルは異常検知後、ネットワークの遮断、感染端末の隔離、主要アカウントのリセットとMFA適用などの初動対応を実施。その後、既存環境の修復ではなく、新環境をゼロから再構築する方針を採用しました。

再発防止策としては、

• 侵入経路対策とMFAの徹底

• SOC体制の強化と24時間監視

• 権限管理・委託先管理の見直し

• NIST CSFに基づくリスク評価と継続的改善

• BCP（事業継続計画）の再構築

など、技術面・ガバナンス両面での強化を掲げています。
なお、同社は攻撃者との交渉や身代金支払いは一切行っていないと明言しています。

利用者・取引先への注意喚起

同社は、アスクルやLOHACOを装った不審メール、なりすまし連絡への警戒を呼びかけています。
利用者・取引先に対しては、パスワードの使い回し防止や、公式窓口を通じた確認など、基本的な対策の徹底が求められています。

引用元記事：https://rocket-boys.co.jp/security-measures-lab/askul-ransomware-attack-possible-leak-of-740k-records/