アスクルのランサムウェア被害、社内で進んでいる復旧作業を経営者向けに解説
追記(2025/10/24, 5時台の投稿から数時間後):
2025年10月下旬、アスクルのランサムウェア事案は物流系システム(在庫・出荷連携)に直接影響が出ており、在庫の正確な把握・自動出荷の実行が困難な状態が続いています。これに伴い、アスクル本体のEC(ASKUL/LOHACO/Soloel Arena)は新規受注と出荷を一時停止、サプライチェーンの上流にある他社EC(例:無印良品など)でも国内オンライン販売の停止・縮小といった波及が生じています。
復旧は、(1)感染端末・サーバの隔離と証拠保全、(2)"汚染されていない"バックアップ環境への在庫・受注システムの再構築、(3)在庫実数の棚卸・突合(手作業を含む)、(4)順次の出荷テスト――という段階復旧が基本線。
外部のフォレンジック専門会社は侵入経路の特定・暗号化挙動の解析・流出有無の判定を担当し、同時に監督当局・警察への初期報告(発生日時/影響範囲/個人情報リスクの有無 など)と顧客・取引先への状況説明が進みます。報道各社は、注文受付・出荷停止と他社ECへの波及、および物流ネットワーク起因の広範な業務影響を確認しています。
実務的に見える化すると:現在のボトルネックは「在庫の可視性と整合性」です。WMS(在庫管理)やOMS(受注管理)が止まると、(a)倉庫内の実在庫と(b)画面上の在庫がズレるため、棚卸データの再信頼化が復旧の核心になります。次に、出荷可否ルール(欠品時の自動キャンセル/後送/代替)を一時的に"手動運用"へ切り替え、安全なサブ環境で小さく出荷テスト→段階開放という順序で戻していくのが定石です。
広報・コールセンターは「現時点で出来ること/出来ないこと(受注・配送・問い合わせ窓口)」を時刻つきで明示し、再開メドは確度が上がった段階でのみ告知する――これが信用毀損を最小化する運び方です。無印良品など委託先のオンライン停止も公式に言及されており、ロジスティクス委託の一極集中リスクが顕在化したかたちです。
アスクルもまたランサムウェア被害に遭い、現在復旧作業が続いています。
アスクル、ランサムウェア感染でシステム障害 外部含め100人体制で調査進める(2025/10/23)
ランサムウェア事案では社内で進められている復旧作業が広報などを通じて公表されることはまずありません。公表されなければならないのは、株式公開企業として株式市場に対して説明責任を果たす意味で株価形成に影響のある事柄を公表するのであり、復旧作業そのものには広報責任はありません。現在もおそらくランサムウェア犯罪集団との交渉等が進んでいるものと推察され、うかつに何かを外部に公表するとランサムウェア犯罪集団を利する可能性もあります。
一方で、ランサムウェアの被害を避けるために何をすればいいのか?一生懸命に考えなければならない経営者、役員、経営企画部、一般社員は、参考資料として、「現在のアスクルの中では何が行われているのか?」知りたいという思いはあるでしょう。一種の災害対策として、ある程度の知識は得ておきたいという思いはあると思います。
以下はアスクルが公開しているITシステムや情報セキュリティ関連の情報と、一般的なランサムウェア事案の対応に関する過去の事例をベースに推測した、「アスクルの内部で行われていること」です。御社のランサムウェア対策の参考にしていただけると思います。
【経営者向け】元マッキンゼー廣川謙一さんと行くCES2026視察ツアー
世界最大のテック見本市を現地で体感。AI・ロボティクス・モビリティの最前線を
廣川さんが会場内で解説します。
2026年1月5日羽田空港発、1月10日羽田空港着、5泊6日(うち1泊は機内)。
ビジネスクラスのオプションがあります。
最少催行人数10名、定員20名。正式申込受付スタート。11月14日申込締切
詳細を見るJTB申込ページOASYSへのリンク
開催地:ラスベガス/開催時期:2026年1月
旅行実施:株式会社 JTB ビジネスソリューション事業本部 第六事業部
企画:株式会社インフラコモンズ
監修:ラウンズベリー・アソーシエイツ
アスクルのセキュリティ体制の背景
まず、アスクルが平時に整備していた体制を確認すると、次のような情報があります。 askul.disclosure.site
-
アスクルは「情報セキュリティ方針・個人情報保護方針」を掲げ、情報資産保護・事業継続を重要な経営戦略と捉えています。
-
情報セキュリティマネジメントシステム(ISMS)を構築し、全社的に「予防・検出・対応」体制を整えています。
-
24時間監視、外部記憶媒体制御、アクセス権見直し、ゼロトラスト導入推進などの施策が記載されています。
これらがあるため、ランサムウェア被害に遭ったとしても "まったく準備なし" よりは早く動ける土台があったと推察されます。
復旧作業の流れ(推察に基づく)
以下は「被害発生直後から、復旧・終結に至るまで」の典型的な行程を、アスクルのケースに即して簡略化して説明します。
1. 初動対応
-
ランサムウェアにより多数のサーバ/端末が暗号化、業務停止が発生。
-
情報シス部門・CSIRT(または同等の組織)が呼び出され、被害範囲のスコープを急速に把握。例えば「どのシステムが暗号化されたか」「どの部門が影響を受けたか」「外部からの脅迫文が出たか」など。
-
EDR/ログ監視システムで、「どの端末が最初に感染したか」「どのプロセスが動いたか」「ネットワーク接続異常はあったか」などを探します。
-
感染端末をネットワークから隔離、さらなる拡散を防止。
-
フォレンジック専門会社(例:マルウェア解析を行う外部ベンダー)を招集し、現場操作ログ、ファイル暗号化のタイムスタンプ、マルウェアの痕跡を保全。
2. 被害調査と影響範囲の特定
-
フォレンジック会社と連携し、暗号化されたデータの種類・量、影響を受けたシステム、復旧可能性、流出の可能性などを調査。
-
同時にバックアップの状況を確認。どのデータが最新バックアップから復旧可能か、どのデータが失われている可能性があるか。
-
法務・個人情報保護部門が、顧客情報や個人情報が巻き込まれているかどうかを確認。流出リスクがあれば、監督当局・顧客への通知義務も検討。
-
経営層・CSIRTが「業務停止/復旧優先度の仮決定」を行う。例:物流・コールセンター・倉庫配送の停止は収益/信用に直結するため優先順位が高い。
3. 復旧作業
-
被害を受けていないクリーンなバックアップまたは新たに構築した環境へシステムを移行・立ち上げ。
-
端末・サーバをゼロトラスト設計・再構築。アスクルはゼロトラスト導入を進めている旨を公表しています。 askul.disclosure.site
-
従業員向けには「このシステムはまだ停止中/代替手段を使ってください」といった案内を発信。コールセンター/物流拠点も影響を受けていれば、電話応対や顧客対応フローの代替を稼働。
-
フォレンジックおよびセキュリティ担当が再発防止のための施策(パッチ適用・アクセス権見直し・EDR強化・ログ監視強化)を即実施。
4. 外部報告・法令対応
-
個人情報や重要情報が流出した可能性がある場合、監督庁(例えば個人情報保護委員会)や金融庁(金融情報取扱なら)に初期報告。
-
警察(サイバー犯罪窓口)に「不正アクセス・マルウェア攻撃の被害届」または相談を提出。報告内容としては発生日時、被害範囲、暗号化されたデータ種類、疑われる攻撃者・脅迫文など。
-
保険会社(サイバー保険加入なら)へ被害見積もり・通知。
-
主要取引先・お客様へ影響状況の説明。
5. 経営・広報・コールセンターの対応
-
社長・経営陣:被害の重大性を踏まえて、対応体制(100人体制・外部支援)を承認。復旧優先順位・予算の確保・株主・顧客対応の方針決定。
-
広報:ステークホルダー(顧客・取引先・メディア)向けの声明文を作成。「現状 ・対応中 ・影響範囲 ・再発防止策」などを簡潔に。誤報・風評被害防止のため専門部署と法務との協議を行う。
-
コールセンター:顧客からの問い合わせが増える。「いつからシステム復旧するのか」「自分の注文・配送・請求はどうなるのか」など。スクリプトを用意し、現状を正確に伝えられるようにし、対応不能時はエスカレーションを設定。
ポイント:なぜ100人体制?
報道では「100人体制で調査進める」とあります(詳細な初報情報へのアクセスができなかったため推察ベースですが)
-
多数のサーバ・端末・ログ、ネットワーク機器が関わるため、フォレンジックチーム・IT部門・法務・コールセンター・物流・バックオフィス...と多部門が同時稼働しているため。
-
復旧・影響調査・お客様対応・社内通知・外部対応を並行で行うため多数リソースが必要。
警察/政府機関への報告内容
-
発生日時・発見日時
-
被害端末数・暗号化ファイル数・システム停止規模
-
攻撃者からの脅迫文/ランサム要求の有無
-
顧客情報・個人情報の流出疑いの有無
-
初動対応概要(隔離・ネット遮断・ログ保全)
-
今後の予定(フォレンジック起動・復旧スケジュール)
これを「被害届」または「相談書」として提出するケースが多いです。
まとめ:経営者が知っておくべき3点
-
ランサムウェア被害では「発見 ⇒ 封じ込め ⇒ 調査 ⇒復旧」が同時並行で進む。
-
復旧には時間がかかる(数日〜数週間)ため、「代替手段」「顧客説明」「操業停止リスク」を想定しておくこと。
-
経営・広報・顧客対応は"技術作業"と同じくらい重要。被害が見えないうちに信用を守る動きが求められます。