アスクル株式会社は12月12日、10月19日に公表したランサムウェア感染によるシステム障害について、第13報を発表した。
同社では10月19日に、アスクルWebサイトにてランサムウェア感染によるシステム障害が発生し、受注・出荷業務を停止しており、翌10月20日には外部専門機関に支援を要請し、ログ解析、影響の詳細調査を開始していた。また、10月22日は外部クラウドサービスへの不正アクセスが発生していた。
同社では10月30日夜、11月10日夜、12月2日夜に、攻撃者により同社の情報が公開されたことを確認している。
2025年12月12日時点で、流出が確認された情報は下記の通り。
・事業所向けサービスに関する顧客情報の一部:約59万件
・個人向けサービスに関する顧客情報の一部:約13万2,000件
・取引先(業務委託先、エージェント、商品仕入先等)に関する情報の一部:約1万5,000件
・役員・社員等に関する情報の一部(グループ会社含む):約2,700件
同社では対象者に個別に通知を行っている。
同社では外部専門機関によるフォレンジック調査の結果、下記の事実を確認している。
1.物流・社内システムへの侵害
・物流システム・社内システムでランサムウェアの感染が確認され、一部データ(バックアップデータを含む)が暗号化されて使用不能になるとともに、当該データの一部が攻撃者により窃取され、公開(流出)されている。
・物流センターを管理運営する複数の物流システムが暗号化され、同データセンター内のバックアップファイルも暗号化されたため、復旧に時間を要した。
・アスクル物流センターは、自動倉庫設備やピッキングシステム等、高度に自動化された構造となっているため、その稼働をつかさどる物流システムが停止したことで、物流センターの出荷業務を全面停止する重大な影響を及ぼした。
2.外部クラウドサービスへの侵害
・物流・社内システムへの侵害の結果、外部クラウドサービス上のお問い合わせ管理システムのアカウントが窃取され、当該アカウントの侵害を確認。
・当該お問い合わせ管理システムの情報の一部が窃取され、攻撃者によって公開(流出)されている。
・基幹業務システム、フロントシステム(顧客向けECサイトやパートナー向けサービス)は、侵害の痕跡がなかったことを確認している。
同社では調査の結果、攻撃者は同社ネットワーク内に侵入するために認証情報を窃取し不正に使用したと推定しており、初期侵入に成功した後、攻撃者はネットワークへの偵察を開始し、複数のサーバにアクセスするための認証情報の収集を試み、その後、EDR等の脆弱性対策ソフトを無効化したうえで複数のサーバ間を移動し、必要な権限を取得してネットワーク全体へのアクセス能力を取得していることが判明している。また、本件では複数種のランサムウェアが使用され、この中には当時のEDRシグネチャでは検知が難しいランサムウェアも含まれていた。
攻撃者は必要な権限を奪取した後、ランサムウェアを複数サーバに展開し、ファイル暗号化を一斉に行い、その際にバックアップファイルの削除も同時に行ったことで、一部システムの復旧に時間を要することとなった。
同社では下記の再発防止策を実施するとのこと。
・不正アクセス
全てのリモートアクセスにMFAの徹底
管理者権限の厳格な運用
従事者の再教育
・侵入検知の遅れ
24時間365日の監視と即時対応の体制整備
EDR導入を含む、網羅的で多層的な検知体制の構築
・復旧の長期化
ランサムウェア攻撃を想定したバックアップ環境の構築
機器管理の詳細化
同社 代表取締役社長 CEOの吉岡晃氏は「このたび、サービスの本格復旧フェーズへ移行するにあたり、サービスの安全性をご確認いただくとともに、現時点でお伝えできる調査結果、当社の対応、および安全性強化策について、二次被害防止のために開示が困難な内容を除き、可能な限り詳細にご報告いたします。本報告が、当社の説明責任を果たすのみならず、本件に高いご関心をお寄せいただいている企業・組織におけるサイバー攻撃対策の一助となりましたら幸いでございます。」とコメントしている
