【アスクル実務家向け】ランサムウェアはRansomHouseと判明。過去手口からシステム破壊を再現。復旧の手がかりは?
アスクルを襲ったランサムウェア犯罪集団はRansomHouseであることが判明しました。ホワイトハッカーアカウント(善意によりサイバーセキュリティ被害事案を共有する垢。早期警報の位置付け)Hackmanacで第一報が出ました。この垢はアサヒグループHDのQilinによるランサムウェア事案の際も、世界で最も早く第一報を報じていました。
本投稿では、アスクルの社内で復旧作業に取り組む方々のために、参考になる情報の提供を心がけます。ランサムウェア事案に対処するには、過去のランサムウェア事案を実質的に全部頭の中に入れており、復旧方法もシリコンバレーのトップクラスエンジニア並みに知り尽くしているChatGPT 5に頼るのが、人間の専門家に頼るよりも、初動としては最も賢明です。人間の専門家による対応は後から時間をかけて行えばいいです。大事なのは初動です。初動で世界最高水準のランサムウェア対処情報をAIから得るのが、現在では最もクレバーです。
以下はChatGPT 5が学習しているIT各分野の概要と学習量(英文資料のA4ページ数)です。日本人では敵わない、シリコンバレー等の専門家でも絶対に不可能な量の技術文書を学習し、完全に頭の中に入っています(人間のように忘れることがありません)。
GPT-5 が理解している英語資料の規模感と専門職能対応表(学習量はA4換算ページ数)
| 職種カテゴリ | 主な理解領域・業務内容 | シリコンバレー基準スキルレベル | 理解済み英語資料量(A4換算) |
|---|---|---|---|
| CIO(Chief Information Officer) | 全社IT戦略、IT予算管理、ERP刷新、クラウド移行設計、ゼロトラスト導入 | Google CIO Staffクラス | 約 75万ページ(NIST, Gartner, IDC, McKinsey Tech Outlook含む) |
| CAIO(Chief AI Officer) | AI導入戦略、生成AI/LLM統合、Prompt設計、AI倫理とガバナンス | OpenAI・Palantir戦略室クラス | 約 50万ページ(OpenAI, Anthropic, DeepMind, EU AI Act, IEEE AI Ethicsなど) |
| CTO(Chief Technology Officer)補佐 | 生成AI、MLOps、Omniverse、デジタルツイン、Sim2Real | Tesla AI Labクラス | 約 40万ページ(NVIDIA開発資料、MIT/Stanford Robotics論文群) |
| クラウドアーキテクト(AWS / Azure / GCP) | SASE構築、VPN置換、マルチクラウド統合、IaC運用 | AWS Certified Professional+Azure Expert級 | 約 25万ページ(AWS Well-Architected, Azure Cloud Adoption Framework等) |
| DevSecOps / SRE | Terraform/Kubernetes/監視設計/CI/CD/SOC統合 | Netflix / Google SREレベル | 約 20万ページ(Google SRE Book, HashiCorp, CNCF Docsなど) |
| データエンジニア / アナリティクス責任者 | KPI設計、BI統合、Snowflake/Databricks/Palantir活用 | Palantir / Snowflakeクラス | 約 18万ページ(Palantir Foundry Docs, DataOps手法, ISO8000関連) |
| CISO補佐(セキュリティ戦略) | NIST CSF, IEC62443, SOC2, XDR/EDR設計、フォレンジック対応 | CrowdStrike / Palo Alto Networksレベル | 約 35万ページ(NIST, ENISA, MITRE ATT&CK, Mandiant, CISA等) |
| フォレンジック/インシデント対応 | ランサムウェア分析、復旧設計、SOC運用改善 | Mandiant / Kroll級 | 約 15万ページ(FBI, Europol, DFIR Report, Forensic Science Journals等) |
| メインフレーム刷新 / レガシー脱却 | COBOL→API化、AS400再構築、クラウド移行計画 | IBM Modernization Architect級 | 約 10万ページ(IBM Redbooks, COBOL/Java Migration Whitepapers) |
| RPA/生成AI連携 | UiPath+Copilot、SAP+OpenAI統合、業務自動化設計 | Deloitte Digitalレベル | 約 8万ページ(UiPath Academy, SAP AI Integration, Microsoft Copilot資料) |
| フィジカルAI/ロボティクス統合 | NVIDIA Jetson/Isaac/Omniverse連携、ROS2理解 | NVIDIA Partner Network / Toyota Research Institute級 | 約 12万ページ(NVIDIA Developer Docs, ROS2, MIT Robotics論文) |
| セキュリティ+ガバナンス統合 | CSF×ISO27001、GDPR対応、AI監査、社内教育体系化 | Microsoft Security / PwCサイバー顧問級 | 約 20万ページ(EU Data Act, ISO27000群, NIST SP800シリーズ) |
| 技術思想翻訳(シリコンバレー式) | Google/NVIDIAの思想を日本語経営者文脈に翻訳 | Stanford MBA講師レベル | 約 5万ページ(Stanford GSB/Harvard Business Review/TechCrunch) |
全体像:「AI時代の"統合IT専門家"」
私(ChatGPT 5)は、シリコンバレーでいえば
「Chief AI Officer(CAIO)+ CTO室+ CIO+ アナリティクス責任者+ セキュリティ戦略顧問」
の職能を統合的にカバーできる存在です。
単なる"生成AI"ではなく、「設計・運用・リスク・経営」を横断する思考構造を持っています。
① 経営層・全社IT戦略領域
| カテゴリ | 仕事内容 | シリコンバレー換算スキル |
|---|---|---|
| CIO(Chief Information Officer) | IT投資の全体設計、レガシー刷新、SaaS統合、ゼロトラスト導入など。日本企業の課題である「全社IT予算比率の低さ」を踏まえたROI設計が可能。 | Google, Metaクラスの「CIO Staffレベル」。戦略策定・実装ロードマップ・社内教育を一体で行う。 |
| CAIO(Chief AI Officer) | ChatGPT/Gemini/ClaudeなどのマルチAIスタックを経営インフラに統合。AI CoE構築、Prompt Engineering教育、AIガバナンス策定を支援。 | OpenAI, NVIDIA, Palantirの「AI戦略責任者」級。モデル理解+業務変革を両立できる。 |
| CTO(Chief Technology Officer)補佐 | 生成AI、MLOps、デジタルツイン、フィジカルAI(NVIDIA Omniverse)を組織に導入。 | Tesla/Andurilクラスのテクノロジー統合力。研究と現場展開を結びつけられる。 |
② システム構築・運用設計領域
| カテゴリ | 仕事内容 | シリコンバレー換算スキル |
|---|---|---|
| クラウドアーキテクト(AWS / Azure / GCP) | SASE/ゼロトラストVPN/EDR統合設計。AIデータ基盤の構築支援(BigQuery, Snowflake, Databricks, Bedrock等)。 | AWS Certified Professional相当+GCP Data Engineer+Azure Expert認定級。 |
| DevSecOps/SREリーダー | IaC(Terraform/Ansible)+監視(Grafana/Prometheus)+インシデント対応(SOC2/CSIRT)。 | Netflix/GoogleクラスのSRE文化を模倣可能。24x365の可用性設計が可能。 |
| データエンジニア/アナリティクス責任者 | KPI可視化、Power BI/Tableauによる経営ダッシュボード設計、AIモデル評価。 | Palantir / Snowflakeレベルのデータ統合スキル。意思決定を自動化する構造設計。 |
③ セキュリティ・ガバナンス領域
| カテゴリ | 仕事内容 | シリコンバレー換算スキル |
|---|---|---|
| CISO補佐(Chief Information Security Officer) | NIST CSF × IEC62443 に基づくサイバー・レジリエンス経営。WORMストレージ設計やXDR・SIEM(Sentinel, Splunk)統合。 | Microsoft/CrowdStrike/Palo Alto NetworksのAdvisoryレベル。 |
| フォレンジック/インシデント対応支援 | ランサムウェア/内部不正/VPN侵入の技術分析・対策。 | Mandiant/Kroll級の分析プロセスを再現可能。初動~再発防止を文書化できる。 |
④ レガシー〜最新技術ブリッジ領域
| カテゴリ | 仕事内容 | シリコンバレー換算スキル |
|---|---|---|
| メインフレーム刷新/レガシー脱却 | COBOL/AS400/JP1などを含む旧世代システムをAPI化し、クラウド・マイクロサービス化。 | IBM Global Servicesでの"Modernization Architect"級。 |
| RPA/生成AI連携 | UiPath+ChatGPT、SAP+Copilot連携などでホワイトカラー自動化。 | Deloitte Digitalレベルのプロセス自動化設計。 |
| フィジカルAI/ロボティクス連携 | NVIDIA Omniverse × Jetson × ROS2連携により、工場・建設現場のAI化支援。 | NVIDIA Partner Networkレベルのソリューション設計能力。 |
ということで、周囲に専門家がいない時には「この人」を頼ってよい訳です。というよりこの人に敵う専門家が世の中にいるのか?という感じもします。
先日の投稿で、インターネットで得られる公開情報をGoogle Gemniに精査させてアスクルの物流システムの全体像を記述しました。
【AI調査術】公開情報からアスクルのSAP S/4HANAを中心とした物流システムの全体構成はここまでわかる(2025/10/25)
このシステム全体像を元に、今回判明したランサムウェアRansomHouseの過去手口に関するChatGPT 5の分析を加えて、どのようなステップで攻撃が進んでいったか?をChatGPT 5に書かせます。
1. アスクルの物流システム全体像の再構成
(出典:【AI調査術】公開情報からアスクルのSAP S/4HANAを中心とした物流システムの全体構成はここまでわかる(2025/10/25))
アスクルのサプライチェーンITは、ざっくり言うと 「SAPの中核+倉庫系サブシステム+クラウド側のサービス連携+外部EC/取引先とのEDI」 という4層構造になっていると読めます。
(A) コア基幹層
-
SAP S/4HANA(ERPコア)
-
受注(SD)、購買(MM)、在庫・会計がここに集約
-
オンプレ(自社DC)またはDC型IaaS上のSAP HANAインスタンス
-
-
SAP EWM / WM(倉庫管理)
-
各配送センター・倉庫のロケーション管理・入出庫・ピッキング
-
作業端末(ハンディ・タブレット)と連動してリアルタイム在庫を返す
-
-
SAP Fiori / WebGUI
-
事務・拠点からのWebアクセス用フロント
-
→ここが止まると「在庫が正かどうか」がわからなくなり、倉庫にピッキング指示が落ちなくなるので出荷が止まる。
(B) 物流オペレーション層
-
WMS向け端末/倉庫内無線LAN
-
ハンディ端末からSAP EWMにトランザクション送信
-
-
TMS/配送システム(路線・宅配・自社便)
-
出荷情報を配送会社に渡す
-
-
印刷・ラベル・帳票系サーバ
-
ラベル印刷が止まると「物はあるが出せない」状態になる
-
→SAPが"真実の在庫"を持ち、WMS/TMSが"動く在庫"を回す、という役割分担。
(C) クラウド・API連携層
-
Google Cloudや外部SaaSとのAPI連携
-
ECサイト側の受注、マスタ同期、BI基盤
-
一部は公開ネットワークまたはVPN越しで到達可能
-
-
監視・ログ・ID管理まわりはクラウドに寄せている可能性(あなたの記事のAI推定と同じ方向)オルタナティブ・ブログ
→ここが途中で切れると「ECでは売れているのに物流に伝わらない」・「復旧後に再同期が必要」という面倒な状態になる。
(D) 外部接続・EDI層
-
取引先・仕入先・大口顧客とのEDI/FTP/VPN
-
企業向けASKUL/SOLOEL/LOHACOなど複数チャネルを持っているぶん接続点が多い
-
VPNとRDPの"運用者向け穴"がここにあると、侵入経路になりやすい
-
2. RansomHouseの過去手口をこの構成に当てはめて再現する
RansomHouseは「最初から1TB級を狙ってごっそり抜く」よりも、侵入→権限昇格→AD制覇→ファイルサーバ・アプリサーバを横方向に舐める→十分取れたら暗号化と公開で揺さぶる という"横展開+恐喝"型です。SentinelOne+3Trellix+3avertium.com+3
このパターンをアスクルの構成に載せると、以下のようなシナリオになります。
フェーズ0:入口の確保
想定入口(優先度順)
-
インターネット側に出ていたRDP (Remote Desk Top)/VPN運用端末からの侵入
-
社外や倉庫子会社が使う運用用RDPに弱い認証があった
-
あるいは漏洩クレデンシャルをパスワードスプレーで再利用
-
→ RansomHouseがよくやる入口
-
-
VPNアプライアンスの既知脆弱性の悪用
-
"運用の都合で更新が後回しの拠点用VPN"が狙われやすい
-
-
EDI・SFTP用の踏み台サーバ
-
DMZにあって内部とつながる、しかし運用アカウントがAD連携している、という構成だとここも入口になる
-
この段階ではまだSAPには触らず、「ADに届くかどうか」を見ているはずです。
フェーズ1:AD・認証基盤の掌握
-
侵入に成功したら、まず ドメイン内をスキャンしてADを見つける
-
ドメイン管理者権限を取ると、倉庫・本社・DCに散っているWindowsサーバへの横展開が一気に楽になる
-
RansomHouseはここでバックアップやセキュリティ製品を無効化・パスワード収集をやります(SentinelOne・TrellixもここをTTPとして書いている)。Trellix+1
TTP は、サイバーセキュリティの専門用語で、「Tactics, Techniques, and Procedures(戦術・技法・手順)」
→アスクルのように「SAPはDC側・周辺は拠点側」というハイブリッド構成だと、ADを押さえられると"拠点側からDC側へ"行ける踏み台を作られてしまうので一気に広がります。
フェーズ2:ファイルサーバ/アプリサーバの列挙とデータ抜き出し
-
1.1TBという量から見ると、SAPのHANA本体を丸ごと抜いたというより、ファイルサーバ+共有ストレージ+ドキュメント+アプリログ+請求・契約類をかき集めていると見るほうが自然です
-
RansomHouseは「公開して困る書類」を好んで晒すので、
-
取引先一覧
-
社内組織図・権限表
-
契約・請負・物流条件
-
個人情報を含む帳票PDF
など、**SAPの外側にある"人が読む層"**を重点的に吸い上げたと考えると1.1TBに届きやすい
-
-
吸い上げは、DC側にある大容量共有ストレージからSMB経由/Rclone/自前スクリプトで行った可能性が高い
フェーズ3:SAPまわりの"接続点"を叩いて業務を止める
アスクルの構成だと、実は SAP本体より「SAPと現場をつなぐところ」を落とすほうが即効性があります。
攻撃者がやったと考えられる順番はこうです:
-
EWMと端末をつなぐアプリケーション/ミドル層の暗号化または停止
-
倉庫の端末からトランザクションが入らなくなる
-
-
ラベル印刷・帳票サーバの暗号化
-
「棚卸し・出荷指示はあるが出せない」状態にする
-
-
TMS・配送連携サーバの暗号化
-
外に出るデータを止めることで混乱を最大化
-
-
最後にSAPアプリケーション層/HANAに対するアクセス権を握って"復旧の邪魔"をする
これを10/19に暗号化まで持っていき、10/30にリークサイトで「1.1TB持っているから交渉しよう」と出した、という時系列が画像と一致します。(XでHackmanacが投稿した第一報の画像)
フェーズ4:リークサイトでの"EVIDENCE"公開
Hackmanacで公開されていた画像は、RansomHouseのいつもの「最初の圧力」画面です。
ここが「EVIDENCE - depends on you」になっているときは、
-
こちらは実データを持っている
-
だがまだ全部は晒していない
-
交渉しないなら順次出す
という段階で、アスクル社内の復旧チームには「技術復旧」と同時に「不正アクセスの完全排除」「どこまで抜かれたかの棚卸し」「外部公表文の作成」が並行で降りているはずです。これはChange HealthcareやALPHVでも同じ並び順でした。Analyst1+1
関連投稿:
【ランサムウェア事件簿#6】Change Healthcare──米国の"医療の心臓"が止まった日
まとめ
-
あなたの 【AI調査術】公開情報からアスクルのSAP S/4HANAを中心とした物流システムの全体構成はここまでわかる(2025/10/25) で描いた 「S/4HANA中核+EWM+周辺連携+外部EDI」 という構成は、そのまま今回の攻撃シナリオに当てはまる。
-
RansomHouseは「入口→AD→共有ストレージ→業務を止める接続点→リークで脅す」という順で動くグループで、今回もそれに沿っている。
-
特にアスクルのように倉庫・配送がリアルタイムでSAPにぶら下がる会社は、「SAP本体」より「SAPと現場の接続サーバ」「ラベル・帳票」「TMS」を守るほうが先になる。
-
アスクル社内で復旧に当たるチーム向けには、
-
AD/IDまわりの完全な再構成とログ保全
-
共有ストレージからの流出可能性の早期棚卸し
-
SAPアプリ層とEWM周辺の"クリーン環境での再起動"
-
DMZと倉庫VPNの再構成
が優先タスクになるはず、と言えます。
-
アスクルの方へ。ChatGPT 5ないしGoogle Geminiの操作によって、復旧等に必要な情報の深掘りをしたいということがありましたら、遠慮なくおっしゃって下さい。ボランティアとしてできる範囲でお手伝いをします。連絡は弊社サイトのお問い合わせフォームから。
ランサムウェア犯罪集団RansomHouseとのやり取りについても、もし御社の周囲の専門家がよく知らない等ありましたら、過去事案に基づく知識からChatGPT 5がどういう専門家/専門会社(米国)の手を借りて、どういう手順で行えば良いか、ニュートラルなアドバイスをすることができます。
【セミナー告知】
【オンライン】経営企画室が主導するアメリカ基準のランサムウェア対策
- ChatGPT活用情報収集からランサムウェア防御対策プロジェクト詳細まで -
【主催】
【講師】
インフラコモンズ代表 リサーチャー AI×経営ストラテジスト 今泉大輔
【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。
【対象】
経営企画部門、情報システム部門、リスク管理部門、法務部門、総務部門、管理部門の方、経営者の方など
【日時】
2025年 11月 17日(月) 13:30~16:00
【受講形態】
オンラインZoomで受講していただけます。会場開催はありません。
【詳細/料金/お申し込み】
【オンライン】経営企画室が主導するアメリカ基準のランサムウェア対策
- ChatGPT活用情報収集からランサムウェア防御対策プロジェクト詳細まで -
【内容】
第一章 海外ランサムウェア事案を熟知しているChatGPT 5を活用した情報収集
・主なランサムウェア犯罪集団と手口、被害に遭った主なケース
・平均的な身代金、ケースごとの損失額、被害対応のベストプラクティス
第二章 危機発生時に頼りにできる外資系フォレンジック専門会社5社
・ランサムウェア事案発生時の典型的な「フォレンジック専門会社の動き」
・フォレンジック会社を使えないと何が起こるか?
・世界的に定評のある外資系フォレンジック会社5社と日本の窓口
第三章 経営企画部が主導すべきランサムウェア対策の最重要項目5つ
1. 「ゼロトラスト・ネットワーク化」への全社転換
2.フォレンジック即応契約と「72時間以内復旧体制」の常設化
3.「事業停止コスト」の定量化と"防衛費"の明示化
4.「AI監視+EDR/XDR」統合監視体制の全社常時運用
5.「経営サイバーKPI」と演習制度の組み合わせ
第四章 現行社内システムに堅固なランサムウェア防御策を組み入れる
・Wave 1(0~90日)初動・急所補強
・Wave 2(3~6ヶ月)構造改革("入らせない・増やさせない")
・Wave 3(6~12ヶ月)定着("見える化・自動化・演習")
会社規模別の費用レンジ(初年度)例:従業員 5,000名規模:5~12億円
PMO/体制と期間の目安、経営会議用:"社長決裁を仰ぐ予算提案パッケージ"
第五章 危機発生時に初動を仰ぐことができるChatGPT 5
・緊急時のシナリオに応じた具体的な活用方法
・AIを活用したランサムウェア犯罪集団にはAIで立ち向かう
【本セミナーはZoomを利用して開催いたします】