2025年10月、通信販売大手であるアスクル株式会社(以下、アスクル)がランサムウェアを用いたサイバー攻撃による被害を受け、受注・出荷業務が全面的に停止しました。このサイバー攻撃によって、多数の企業、医療機関、学校などが備品の納入を受けられず、流通ネットワークに混乱が広がりました。また、取引先や委託先のECサイトでも連鎖的に受注・出荷を停止するなど、サプライチェーン全体に影響が拡大しました。
本記事では、アスクルが受けたサイバー攻撃の概要、そしてサプライチェーンにおけるリスク、企業が取るべき対策について解説します。
アスクルが受けたサイバー攻撃の概要
アスクルはランサムウェア被害について、影響範囲や対応状況などを公式サイトのニュースリリースにて発表を行っています。ここでは、公表された一連の情報からサイバー攻撃の概要を時系列順に整理します。
アスクルによる公式発表
第1報(2025年10月19日)
アスクルはランサムウェアによるシステム障害を確認し、法人向け通販「ASKUL」、個人向け通販「LOHACO」、購買支援サービス「ソロエルアリーナ」の受注・出荷業務を停止したことを発表しました。
第2報(2025年10月22日)
対策本部を設置し、障害範囲の特定や影響の詳細調査を継続することを発表しました。外部セキュリティ企業のエンジニア、社内エンジニアとあわせて100名規模の調査チームを組成しました。
第3報(2025年10月29日)
出荷停止状態が続く中、倉庫管理システムを使用しない手運用により、一部商品の「出荷トライアル運用」を開始したことを発表しました。トライアル運用の開始時点では、医療機関や介護施設など限定的な注文受付となりました。
第4報~第5報(2025年10月31日)
サイバー攻撃についてハッカー集団が犯行声明を出したとの報道がありましたが、事実関係の確認中であることを発表しました。また、サーバーへの不正アクセスにより、一部ファイルの流出が確認されたことを公表しました。
第6報〜第11報(11月6日〜11月28日)
サービス復旧の基本方針や計画を公表し、復旧に向けた進捗状況が逐次報告されました。
11月11日の第7報では、10月31日に確認された情報について流出件数の拡大を確認したことが発表されました。具体的には、「ASKUL」「ソロエルアリーナ」「LOHACO」の問い合わせに関する情報の一部、サプライヤーが商品関連システムに登録していた情報の一部としています。さらに11月14日の第9報では、3PL(サードパーティロジスティクス)サービスを利用している取引先企業の顧客情報も流出した可能性があることを確認したと発表しました。
第12報(2025年12月3日)
ASKUL Webサイトでの注文を12月3日午前9時に再開したことを発表しました。一方で、倉庫管理システム(WMS)を使った在庫商品の出荷再開は12月中旬以降としており、完全復旧には時間を要す見込みとなっています。
出典:ニュースリリース(アスクル株式会社)
ランサムウェア被害の原因と影響
アスクルは、被害の拡大を防ぐためにランサムウェアに関する公式発表は行っておらず、侵入経路などの詳細な情報は判明していません。また、一部の報道では国際的なハッカー集団である「ランサムハウス」が犯行声明を出しているとされていますが、アスクルは事実関係の確認を進めている状況です。
今回のランサムウェア被害によるシステム障害で、無印良品やロフト、そごう・西部などのネット通販にも影響が波及し、オンライン販売を停止する事態となりました。
ランサムウェアのトレンドについては、以下の記事で詳しく解説しています。あわせてお読みください。
【2025年版】ランサムウェアの特徴!最新の動向や被害を防ぐ対策を解説
現在の対応状況
現在は専門機関と連携してセキュリティ対策を強化し、復旧作業を進めている状況となっています。12月3日より、ASKUL Webサイトでの一部商品の注文受付を再開していますが、完全復旧には至っていません。通常運用の再開にはまだ時間がかかる見込みです。
サプライチェーンにおけるリスク
アスクルのランサムウェア被害は、自社の業務にとどまらず、配送を委託しているネットストアや3PLを利用する企業、さらには一部の顧客情報にも影響を及ぼしました。この事例から、サプライチェーン全体に潜むリスクが明確になっています。以下では、こうしたサプライチェーンのリスクについて整理します。
リスク①サプライチェーンの脆弱性
サプライチェーンでは、自社の対策が十分でも、取引先や連携企業がサイバー攻撃を受けると業務に支障が生じるおそれがあります。今回の事例では、アスクルのランサムウェア被害が無印良品やロフトなどの他社ECサイトにも広がり、サプライチェーン全体の弱点が明らかになりました。
リスク②サプライチェーン構造の複雑化
サプライチェーンは、グローバル化や消費者ニーズの変化により、関係する工程や事業者が増えています。かつては製造から販売までを比較的単純に管理できましたが、現在は物流やITサービス、EC、物流代行などが加わり、仕組みが入り組んだ形になりました。その結果、全体を把握しにくくなり、どこにセキュリティ上の問題が潜んでいるのか見極めづらくなっています。
リスク③被害が拡大しやすい構造
今回の事例では、アスクルの倉庫管理や物流に関わるシステムが停止したことで、そのサービスを利用していた他社や消費者にも影響が広がりました。特定の企業やシステムに頼った体制では、ひとつのトラブルが発生しただけでも影響が連鎖しやすく、サイバー攻撃に限らず、自然災害などでも同様の問題が起こり得ます。
サプライチェーンのセキュリティ対策については、以下の記事で詳しく解説しています。あわせてお読みください。
サプライチェーンを狙う攻撃が増加中!企業が今すぐ始めるべきセキュリティ対策とは
企業で取り組むべき対策
今回の事例から、セキュリティ対策の強化だけではなく、サプライチェーンリスクへの対策やBCP対策も必要であることが明らかになりました。ここでは、今回の事例から、企業で取り組むべき対策について解説します。
対策①サプライチェーンリスクの徹底管理
サプライチェーンのリスク対策では、自社だけでなく、取引先・委託先・物流パートナー・外部サービス提供者も含めたサプライチェーン全体を俯瞰し、リスクを洗い出す必要があります。
そのためには、取引開始時にセキュリティ要件を契約で定める、定期的な監査・診断を義務化する、取引先のセキュリティ水準や過去のインシデント履歴、情報管理体制を可視化するなどの取り組みが有効です。
対策②バックアップ体制の強化
ランサムウェア被害においては、データの暗号化に備えるため、バックアップ体制を強化することが重要になります。ただし、バックアップデータも暗号化されてしまう可能性があるため、オフラインバックアップや一方向同期などを併用することが推奨されます。
さらに、バックアップからの復旧訓練を定期的に実施し、実際に復旧できることを確認しておくことも重要になります。
対策③BCP対策の見直し
巧妙化するサイバー攻撃をすべて防ぐことは現実的ではないため、被害を想定したBCPの整備が欠かせません。インシデント発生時に迅速に動けるよう、初動対応の手順を共有し、報告の流れを整理したうえで、専門チームを中心とした体制を整えることが重要になります。
さらに、今回の事例を踏まえ、自社だけでなく取引先も含めたサプライチェーン全体を対象に、BCPの内容を点検し直す必要があります。
サプライチェーン全体を見据えた対策が必要
アスクルのランサムウェア被害は、通販サービスの問題にとどまらず、物流や流通を支える仕組みに大きな影響を与えました。受注や出荷が止まっただけでなく、顧客や取引先に関する情報の流出、他社のECサイトや物流委託先への影響も確認され、サプライチェーンが抱える課題が明確になっています。
こうした事態に備えるには、自社に限定せず取引先や委託先まで含めてリスクを管理し、バックアップ体制やBCPを見直すことが欠かせません。本記事を踏まえ、サプライチェーンのリスクを整理し、自社の対策をあらためて確認してみてください。