委託先アカウントにMFAを設定していないと、あなたの会社も74万件の情報流出リスクを抱えます。
2025年10月19日、アスクル株式会社はランサムウェアによるサイバー攻撃を受け、全システムが機能停止に追い込まれました。攻撃者の侵入経路は、業務委託先に付与していた管理者アカウントでした。このアカウントには例外的に多要素認証(MFA)が適用されておらず、認証情報が窃取されたことで不正アクセスを許してしまったのです。
参考)アスクルのサイバー攻撃詳細 委託先アカウントで侵入、クラウド…
攻撃は2025年6月5日に始まっています。委託先アカウントを使った不正ログインに成功した攻撃者は、10月9日まで管理者権限の取得を試みましたが、すべて失敗しました。しかし並行して、EDR(エンドポイント検出応答)などのセキュリティソリューションを無効化し、複数のサーバー間を横移動しながら必要な権限を取得していったのです。
参考)アスクルのランサムウェア被害、初期の侵害経路は業務委託先用ア…
データセンターのサーバーにはEDRが導入されておらず、24時間365日の監視体制も敷かれていませんでした。つまり防げなかったというより「気づけなかった」状態だったということですね。
参考)アスクルのランサムウェア事故から読み解く、現代サイバー攻撃の…
攻撃者は10月19日に一斉にランサムウェアを起動させ、サーバー内のファイルを暗号化すると同時にバックアップファイルも削除しました。オンラインバックアップは実施していましたが、ランサムウェアによる破損は想定していなかったため、復旧の長期化につながりました。
アスクルが公表した調査報告書では、攻撃者から10月21日、27日、30日の3回にわたり身代金要求メールが送信されましたが、同社は身代金の支払いも交渉も一切行っていません。一部の通信ログやアクセスログが失われたため、攻撃者が窃取した可能性のある情報を完全に特定することは難しいとされています。
日経クロステックのアスクルサイバー攻撃詳細レポート - 攻撃の時系列と技術的な侵入手法が詳しく解説されています
アスクルへの攻撃は単なる一企業のシステム障害では終わりませんでした。同社は物流ハブとして約15社の荷主から業務委託を受けており、この「中心拠点」としての役割が被害を拡大させる要因となったのです。
参考)「アスクル」サイバー攻撃の影響拡大 無印良品、LOFT、LI…
具体的には、法人向け通販「ASKUL」「ソロエルアリーナ」、個人向け通販「LOHACO」の全サービスが機能不全に陥りました。受注・出荷業務が全面停止したため、既に注文を完了していた顧客はすべてキャンセル処理となり、商品を受け取ることができなくなりました。これは東京ドーム5つ分の面積を持つ物流センターが完全に止まったようなものです。
参考)アスクルが受けたランサムウェア攻撃 —物流を止めたサイバー攻…
影響は委託先企業にも連鎖しました。良品計画が運営する無印良品の国内オンラインストアが全面停止し、商品注文や配送が不可能になりました。雑貨店のロフトもオンラインストアでの注文ができない状態となり、デパートチェーン「そごう・西武」では一部商品の販売が中断され、配送遅延が発生しています。
医療現場での必需品不足も懸念されました。法人顧客にとっては、業務に必要な事務用品やオフィス用品の調達計画が狂い、代替手段を緊急に探す必要が生じました。発生から1ヶ月となった時点でも、商品を一部に絞り、手作業で出荷する状態が続いていました。
参考)アスクル、物流施設を公開=サイバー攻撃から1カ月、手作業続く…
通関業務従事者の視点では、このような物流停止は輸出入書類の遅延や在庫管理システムの停止を引き起こし、税関手続きに支障をきたす可能性があります。サプライチェーンの脆弱性が露呈した形です。
アスクルの事例が示したのは、「委託先管理アカウントへのMFA未適用」という盲点でした。自社のセキュリティ対策は万全でも、委託先経由で侵入されれば意味がありません。
参考)アスクル ランサムウェア事件に関する包括的調査報告書:サプラ…
調査報告書が明らかにした主な問題点は4つあります。第一に、業務委託先に付与していた管理者アカウントに例外的にMFAを適用していなかったこと。第二に、データセンターのサーバにEDRを導入しておらず、不十分な監視体制により即応性を欠いていたこと。第三に、オンラインバックアップを実施していたがランサムウェアによる破損は想定していなかったこと。第四に、管理対象PCおよびサーバのセキュリティ対策が不十分だったことです。
特筆すべきは、委託先に付与していた管理者アカウントにMFAが適用されていなかったことが不正アクセスの一因とされている点です。これは、サプライチェーン全体のセキュリティを考えるうえで、「委託先や取引先を含めたMFAの徹底」が不可欠であることを示しています。
参考)セキュリティ対策評価制度に備える!ランサムウェア対策と多要素…
通関業務従事者も同様のリスクを抱えています。船会社、倉庫業者、通関業者など複数の委託先とシステム連携する中で、一箇所でもセキュリティに穴があれば、そこが突破口になるということですね。
委託先との契約に「MFA適用義務」を追加し、違反時のアクセス制限やペナルティを明記することが重要です。委託先に対して導入ガイドラインを提供し、設定確認を定期的に実施することで、リスクを最小化できます。
OPTiMのセキュリティ対策評価制度解説 - 委託先を含めたMFA導入の具体的な手順と契約書への盛り込み方が詳しく説明されています
アスクルは2025年12月12日、個人情報について顧客情報を中心に約74万件の流出を確認したと発表しました。内訳は、事業所向けサービスに関する顧客情報が約59万件、その他の個人向けサービスが含まれます。
参考)アスクル、ランサムウェア被害の調査結果を公表─原因は委託先ア…
攻撃者はデータセンター侵入時に窃取した外部クラウド上で使用していたシステムのアカウントを用いて、クラウド内の情報も盗んだと考えられています。つまり、オンプレミス環境だけでなくクラウドサービスも侵害されたのです。
参考)アスクルへのランサム攻撃、報告書が明らかにした3つのポイント…
身代金要求メールは10月21日、27日、30日の3回にわたり送信されましたが、アスクルは一切応じませんでした。しかし10月30日夜、11月10日夜、12月2日夜に、攻撃者により同社の情報が公開されたことを確認しています。これは「二重恐喝」と呼ばれる手法です。
参考)アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃…
一部の通信ログやアクセスログが失われたため、攻撃者が窃取した可能性のある情報を完全に特定することは難しい状況です。これは原則として最悪のシナリオを想定する必要があるということですね。
通関業務で取り扱う情報には、輸出入者の名前、住所、品目、価格などの機密情報が含まれます。もしこれらが流出すれば、取引先の信用を失うだけでなく、競合他社に商流が把握されるリスクもあります。
情報流出リスクに備えるには、クラウドサービスのアカウントにも多要素認証を適用し、クラウド設定の診断(CSPM)と権限の最小化設計を行うことが必要です。管理者アカウントの厳格な保護として、分離端末や専用アカウントの使用も検討すべきです。
参考)アサヒビールとアスクルのランサムウェア攻撃から見る原因と、こ…
アスクルの事例から通関業務従事者が学ぶべき教訓は明確です。サプライチェーン全体でのセキュリティ強化が不可欠だということです。
参考)企業の命綱を守る!ランサムウェアとサプライチェーン攻撃の対策…
従来のサイバー攻撃とは異なり、ランサムウェア攻撃は最終メーカーではなくその部品を供給する取引先のシステムを狙います。取引先の受発注システムや在庫管理システム(SCM)が機能停止に追い込まれると、メーカー側へ部品の納品指示や出荷情報が届かなくなります。
通関業務でも同様のリスクがあります。船会社のシステムが停止すれば船積み情報が入手できず、倉庫業者のシステムが停止すれば貨物の引き取りができません。税関システムとの連携が途絶えれば、輸出入申告そのものができなくなります。
対策としては、ゼロトラストモデルの導入、取引先を含めたセキュリティ評価、暗号化や多要素認証の徹底、そしてBCP策定による迅速な復旧体制の構築が不可欠です。
具体的には以下の取り組みが必要です:
アスクルは短期・中期・長期の3フェーズでセキュリティ対策を進めています。短期では不正経路の遮断、感染端末の隔離、全アカウントのパスワード変更、MFA徹底など初動対応を完了しました。中長期では24時間監視体制の構築や事業継続計画(BCP)の見直しが予定されています。
参考)アスクル経営陣が語ったランサムウェア攻撃の被害を受けた理由+…
通関業務従事者も同様のロードマップを策定し、自社だけでなく取引先全体のセキュリティレベルを底上げする必要があります。一社でも脆弱な箇所があれば、そこが攻撃の起点になるからです。
高千穂交易のランサムウェア対策ソリューション解説 - サプライチェーン攻撃に対する多層防御の具体的な実装方法が紹介されています