アスクルは11月14日、10月19日に発生したランサムウェア被害により同社グループ企業「ASKUL LOGIST」から顧客情報を流出したと発表した。ASKUL LOGISTが運営する物流業務(サード・パーティー・ロジスティクス)の顧客およびエンドユーザー情報を外部に流出した可能性があるという。
- 公式発表:(PDF) 3PL事業に関する情報流出の可能性について(ランサムウェア攻撃によるシステム障害関連・第9報)
関連情報:アスクル社のランサムウェア感染による当社顧客情報流出の可能性について | ニュースリリース | 株式会社良品計画
関連記事:
「アスクルがWebサイト一部を再開、200万アイテムの受注と直送に対応 | TECH+(テックプラス)」
「アスクルがデータ流出の拡大を発表、調査は継続中 | TECH+(テックプラス)」」
「アスクル、本格復旧は12月上旬以降 - 復旧計画を公開 | TECH+(テックプラス)」
「アスクル、ランサムウェア攻撃によるデータ漏洩発表 - 問い合わせ情報など | TECH+(テックプラス)」
「アスクルが問い合わせフォームを再開、犯行声明の把握を表明 | TECH+ (テックプラス)」
「アスクルがシステム障害について第3報を発表、手作業で一部出荷を開始 | TECH+ (テックプラス)」
「アスクルがランサムウェア被害に関するFAQ公開、フィッシングメールに注意 | TECH+(テックプラス)」
「アスクル、ランサムウェア感染によるシステム障害について続報 - 復旧に至らず | TECH+(テックプラス)」
「アスクルがランサムウェア被害、一部業務停止 - 無印良品やロフトにも影響 | TECH+(テックプラス)」
-
3PL事業に関する情報流出の可能性について(ランサムウェア攻撃によるシステム障害関連・第9報)
流出情報の概要と、今後の対応
流出した情報はASKUL LOGISTが受託した物流業務に関する出荷、配送データの一部とされる。データに含まれる情報は次のとおり。
- 配送先住所
- 氏名
- 電話番号
- 注文商品情報
メールアドレスおよびクレジットカード情報は受託しておらず、これら流出は確認されていない。影響範囲は物流業務を委託した企業にとどまらず、これら企業に委託したエンドユーザー(企業および個人)にも影響があるとみられる。
アスクルは「各お取引先企業様のお客様からのお問い合わせについては、各お取引先企業様にご確認ください」と述べ、影響を受けた可能性のあるエンドユーザーに対し、業務を委託した企業(商品を購入した企業)に問い合わせるよう求めている。
発表時点において、上記の流出データを悪用した被害は確認されていないという。同社は関係する取引企業に通知するとともに、引き続き情報流出に関する詳細調査を進めると報告した。今後も新たな漏洩事実が明らかになる可能性がある。
説得力のあるフィッシング詐欺に注意喚起
今回流出した情報には配送情報に加え、注文した商品情報も含まれている。攻撃者はこれら情報を悪用することで説得力のあるフィッシング詐欺などのサイバー攻撃を行う可能性がある。身に覚えのある内容であってもフィッシングメールやSMSメッセージの可能性を疑い、本文に含まれるリンクやボタンには触れないことが推奨される。
発表に合わせ「FAQ」の情報も更新された。新たに個人情報の流出を伝えており、影響を受けた企業および顧客に個別の連絡を実施するとアナウンスしている。
FAQの個人情報流出は10月31日発表分と今回の件の両方を含むとみられる。アスクルは専用の「アスクル情報流出専用お問い合わせ窓口」を開設し、問い合わせを受け付けている。同社は顧客および関係者に謝罪の意を示し、今後も真摯に取り組む姿勢を示している。
ガートナー矢野氏に聞く、セキュリティ業界総括と予測 - 2025年のランサムウェア被害から学ぶべきこととは
