赤坂国際会計事務所

ホーム > blog > アスクル・アサヒのランサムウェア被害比較|復旧戦略と教訓

アスクル・アサヒのランサムウェア被害比較|復旧戦略と教訓

2026.02.23UP!

  • blog
  • BCP
  • アサヒグループHD
  • アスクル
  • サイバーセキュリティ
  • サプライチェーン攻撃
  • ランサムウェア
  • 委託先管理
  • 法令遵守

2025年後半、日本を代表する大企業2社がランサムウェア攻撃の標的となった。アスクルとアサヒグループHDのインシデント対応を、侵入経路・復旧戦略・ガバナンス再構築の3軸で徹底比較する。自社のBCP策定や委託先管理の見直しに直結する具体的な教訓をまとめた。

なお、本比較はどちらが優れているかを示すものではなく、大企業の対応スタンダードを把握するための参考情報である。被害の性質・システム構成が異なる点は十分に留意されたい。

1.ランサムウェア攻撃の概要と復旧サマリー

両社は約3週間差でランサムウェア攻撃を受け、ともに2026年2月に主要サービスの正常化を完了した。復旧にかかった期間と方式に大きな差がある。

アスクル(ASKUL)
高度自動化EC・物流
攻撃発生日
2025年10月19日
攻撃グループ
複数種のランサムウェア使用
主な侵入経路
業務委託先の管理者アカウント(MFA未適用)
最大の影響
物流センター自動化設備(OT領域)の完全停止
最終漏えい確定規模
約74万件
主要サービス復旧完了
2026年2月13日
復旧方式
既存環境完全破棄→ゼロから新環境構築
アサヒグループHD
食品・飲料(製造業)
攻撃発生日
2025年9月29日
攻撃グループ
未公表(Qilin等の関与を指摘する報道あり)
主な侵入経路
自社拠点のVPN機器の脆弱性(パスワード管理不備)
最大の影響
基幹・事務系システムの広範囲な停止
最終漏えい確定規模
約11.5万件(当初おそれ191万件→確定縮小)
主要サービス復旧完了
2026年2月(リードタイム正常化)
復旧方式
健全バックアップ+全サーバー再構築後に健全性確認

停止期間・復旧方式の比較

物流・受注システム完全停止期間
アスクル約3.5ヶ月(10/19〜2/4 新システム出荷再開)
アサヒ約2ヶ月(手作業併用で12月上旬EOS再開)
事業継続中の実態
アスクル出荷ゼロ(高度自動化ゆえ手作業での代替不可)
アサヒ手作業・Excel併用で約2ヶ月間対応
ガバナンスの焦点
アスクルサプライチェーン・委託先管理の徹底
アサヒ取締役会の監督機能強化・組織改編

2.ランサムウェア攻撃の侵入手口と被害規模

両社とも「認証情報の窃取→内部横展開→ランサムウェア一斉展開」という典型的な手口を採られたが、侵入口が根本的に異なる。アスクルは委託先経由のサプライチェーン攻撃、アサヒグループは自社VPN機器の脆弱性という構造的差異が今後の対策方針を分けた。

1)アスクルの侵入手口

⚠ サプライチェーン攻撃
⚠ MFA未適用
⚠ バックアップ削除★
  • 業務委託先に付与した管理者アカウントを悪用して侵入。多要素認証(MFA)が例外的に適用されていないアカウントが足掛かりとなった。
  • ランサムウェアは暗号化と同時にバックアップファイルの削除まで実行。これが復旧長期化の最大要因となった。
  • 初期侵入は発覚数か月前とみられ、長期潜伏後に一斉発動した可能性がある。

👉 ポイント:「境界の外」に潜む侵入口。委託先や弱い認証が攻撃者の最も好む入口になる「境界外部化」リスクが露呈した。

2)アサヒグループHDの侵入手口

⚠ VPN機器脆弱性
⚠ 長期潜伏(10日間)
  • 自社拠点のVPN/拠点間ネットワーク機器を経由して侵入。パスワードの脆弱性で管理者権限を奪取したと指摘されている。
  • 侵入から攻撃まで約10日間、業務時間外に潜伏・偵察していた点が特筆される。
  • 攻撃グループはQilin等とする報道があるが、詳細な公表は限定的。

3)被害規模の比較

情報漏えい規模
アスクル約74万件(個人・法人合計、確定分)
アサヒ当初おそれ約191万件→確定約11.5万件に縮小。顧客相談室データ152.5万件が含まれていた。
インターネット上への流出公開
アスクル調査継続中
アサヒ公開は確認されていない
事業への最大インパクト
アスクル高度自動化ゆえ、物流システム停止=出荷ゼロという脆弱な構造が露呈
アサヒ約300拠点の業務停止。売上への影響(一部7割程度)が数ヶ月継続

3.ランサムウェア攻撃から学ぶ3つの教訓

両社の被害を横断的に分析すると、すべての企業が今すぐ自社に照らすべき教訓が3点に集約される。

サプライチェーンの「一箇所の穴」が命取りになる

アサヒが自社ネットワーク機器の管理不足に起因したのに対し、アスクルは「業務委託先」のアカウントが起点となった。自社を守るだけでは不十分で、委託先を含めた認証管理の徹底が不可欠だ。

MFAを例外的に適用していないパートナー企業はないか? その『例外』こそが、攻撃者が最も好む入口になる。委託先契約にセキュリティ要件を明記することが今や法的リスク管理の一部となる。

物流自動化(OT)の高度化がサイバー攻撃への脆弱性を高める

アサヒは手作業で出荷を継続できたが、アスクルは自動倉庫・ピッキングシステムが高度にIT化されていたため、システム停止が即、物理的な出荷停止に直結した。DX推進とリスク管理は表裏一体。

DXが進んでいる企業ほど、サイバー攻撃による物理的ダメージが大きい。OTとITの統合的リスク管理ができていなければ、ビジネスは瞬時に窒息する。BCP策定時にはIT障害シナリオをOT領域まで広げることが必須だ。

バックアップ自体の削除・暗号化を想定した設計が必要

アスクルでは攻撃者が暗号化と同時にバックアップファイルを削除した。「バックアップがあるから安心」は過去の常識であり、現在の攻撃手法では通用しない。

ネットワークから切り離されたオフラインバックアップ、または変更・削除が不可能なイミュータブルバックアップがなければ、復旧の鍵を攻撃者に握られることになる。バックアップ設計の見直しは今すぐ行うべき

4.初動・復旧対応の比較

1)初動対応

両社ともに攻撃発生翌日に個人情報保護委員会へ速報を行い、適切な初動を踏んでいる。遮断速度に差があった点が注目される。

検知から遮断までの時間
アスクル同日午前検知→即日遮断
アサヒ午前7時検知→午前11時遮断(約4時間)
ネットワーク遮断範囲
アスクルデータセンター・物流センター間の通信遮断
アサヒ約300拠点のVPN・拠点間NW・クラウド接続をすべて遮断
外部機関への要請
アスクル翌日(10/20)にフォレンジック調査開始
アサヒ即時に複数の外部専門機関と連携
個人情報保護委員会への報告
アスクル翌日(10/20)に速報
アサヒ翌日(9/30)に速報

アサヒの「4時間」という遮断の遅れは、侵害規模を拡大させた可能性がある。一方でアスクルは検知後の対応が素早かった。

2)封じ込め・調査対応

アスクルは感染端末の隔離・ランサムウェア検体の抽出・EDRシグネチャ更新を迅速に実施した。公式サイトで公開された対応策は以下の通り。

アスクルが速やかに実施した封じ込め対策

  • 感染の疑いのあるシステム・ネットワークの分離
  • 感染端末と感染サーバーの隔離
  • セキュリティ監視運用の強化
  • 意図しないデータ変更・プログラムリリースのチェック
  • プログラムのタイムスタンプ異常の点検
  • 認証情報のリセットとアカウントのパスワード変更
  • 管理アカウントへのMFA適用
  • ランサムウェア検体抽出およびEDRシグネチャ更新

ただし外部クラウドサービスへの不正アクセスが10/22にも発生しており、初期の封じ込めに穴が残っていたことが後から判明している。

アサヒはインターネット回線自体を遮断してデータセンターを完全隔離するという徹底した封じ込め策を採った。業務への影響は甚大になったが、攻撃の横展開を確実に止めた。

3)復旧戦略の違い

復旧方針の選択
アスクル:ゼロから新環境構築既存環境を一切使わずゼロから新環境を構築。安全性は最大化できるが、物流システム全面復旧まで約4ヶ月を要した。バックアップ自体が暗号化・削除されていたため。
アサヒ:健全バックアップ復旧健全なバックアップからの復旧+全サーバー再構築後に健全性確認という手順。受注システムは約2ヶ月で再開。バックアップの健全性が保たれていた。

4)情報開示対応

両社の姿勢は対照的だ。アスクルは第第18報まで詳細な技術情報を含む開示を継続し、JPCERT/CCへの情報提供や「他社の防御力向上への貢献」を明示した。攻撃手口の詳細開示は業界全体のセキュリティ向上に資するものとして評価できる。

アサヒは流出情報のインターネット公開の有無を丁寧に分けて説明する一方、技術的詳細はアスクルほど踏み込んでいない。ただし191万件という規模に対して、個人情報保護委員会への複数回の報告(速報・続報・確報・追加報告)は適切な対応ともいえる。

5.再発防止策とガバナンス

観点 アサヒグループHD アスクル
基本スタンス 攻撃経路を特定し、その経路そのものを廃止・再設計(VPN廃止、ネットワーク再構成、ゼロトラスト型端末など)。 「情報開示・安全対策・今後のセキュリティ強化」の3本柱で、インシデント情報の透明化と技術・運用基盤の継続的高度化。
攻撃経路対策 ・リモートアクセスVPN装置の全面廃止。 ・古い通信経路の再構築。 ・侵入リスクのあるデバイスの全面廃止。 ・端末データはクラウド保管へ一本化し、キャッシュ非残存化。 ・感染システム・ネットワークの分離。 ・感染端末・サーバ隔離。 ・認証情報リセット、パスワード変更、管理アカウントMFA適用。 ・今後は全リモートアクセスのMFA必須化などアクセス制御強化。
端末・ネットワーク・システム構成 ・ゼロトラスト対応専用PCへの完全移行。 ・安全なネットワークエリア新設。 ・全システムのネットワーク分離・接続制限。 ・全PCのEDR設定強化。 ・クラウド環境でのEDR監視強化。 ・継続的なペンテスト・スレットハンティング。 ・安全なネットワークのみで「新しい構成」としてサーバ・機器を再構築。 ・SaaSログ監視、EDR・メールセキュリティ・ネットワーク防御の継続的強化。 ・IT/OT統合のリスク管理の高度化。
監視・検知・初動 ・セキュリティルールと運用体制の見直しで初動を迅速化。 ・ログ分析や監視・遮断の自動化による検知・対処の高速化。 ・セキュリティ監視運用の強化、意図しないデータ変更・不正リリース・タイムスタンプ異常の点検。 ・SOC 24/365監視高度化、検知能力・資産整合性監視の強化。
権限・アカウント管理 ・全システムでパスワード変更、認証・権限管理の強化。 ・アカウント作成・変更・削除の自動化で人的ミス・残置アカウントを抑制。 ・認証情報の一斉リセットとパスワード変更。 ・管理アカウントへのMFA適用。 ・全リモートアクセスへのMFA必須化、アクセスログ分析強化。
インフラ・クラウドセキュリティ ・ネットワーク接続制限の一層強化。 ・インフラ構成を攻撃拡大防止寄りに改善。 ・クラウドのセキュリティ状況の継続チェック・自動是正。 ・クラウド(SaaS)ログ監視の強化。 ・ネットワーク防御の継続的アップデート。 ・外部専門機関による定期的アセスメントでセキュリティ基盤の成熟度を評価・改善。
バックアップ・復旧・BCP ・バックアップ仕組みの更なる強化。 ・復旧手順の定期見直しと訓練。 ・システム・データの整理統合による構成スリム化で復旧性・耐障害性を向上。 ・ランサムウェア事案を踏まえたBCPの見直し・強化。 ・暗号化されないバックアップ環境構築と復旧プロセス実効性向上。 ・「安全な新環境」を構築してそこへ全面移行。
人的対策 ・従業員向けセキュリティ教育の強化・継続。 ・最新攻撃手法を踏まえた実践的訓練を継続実施。 ・ロール別のセキュリティ研修プログラムの高度化。 ・継続的なセキュリティ教育と運用ルールのアップデートを通じた成熟度向上。
情報開示・コミュニケーション ・主として経緯・原因・再発防止策・ガバナンス強化をニュースリリース・資料で説明。 ・「情報開示」を独立の柱として掲げ、第13報・第18報等で技術的詳細・進捗を継続開示。 ・NIST CSFに沿った詳細レポートを公開し、JPCERT/CCなどへの情報提供も明示。
ガバナンス・組織体制 ・情報セキュリティを管轄する独立組織と専任役員を設置。 ・情報セキュリティ委員会を設け、リスクの可視化とモニタリング。 ・情報管理・セキュリティ規程の改定と監視・監査強化。 ・取締役会スキルマトリックス見直しと、取締役会・委員会・内部監査・外部専門家の連携で監督機能を強化。 ・「今後のセキュリティ強化」として基盤成熟度向上・BCP見直し・外部アセスメントを掲げるが、専任役員や委員会など組織改編の具体像は未公表。 ・NIST CSFに基づき管理策の妥当性評価を行い、その改善点を整理したと説明。

 

6.ガバナンス視点での総評

1)両社に共通する優れた対応

両社ともに①身代金の不払い・攻撃者との非交渉、②透明性ある情報開示、③監督当局への早期報告という対応は共通している

2)「境界防御の終焉」という共通の教訓

アサヒはVPNから、アスクルは委託先から侵入された。もはや境界防御だけでは不十分で、「入られた後にどう被害を最小化するか(EDR・多要素認証・ネットワーク分離)」がすべて

3)情報開示の社会的意義

アスクルが採った第13報・第18報という詳細な技術開示は、JPCERT等との情報共有を含め、業界全体のセキュリティ向上に貢献する社会還元の姿勢として際立っている。

著者情報

赤坂国際法律会計事務所
弁護士 角田進二(Shinji SUMIDA)

ご相談はこちらから