アスクルのランサムウェア被害、初期の侵害経路は業務委託先用アカウント

アスクルは12月12日、ランサムウェア被害に関する調査結果および安全強化の取り組みについて最新情報を公開した。これまでの調査にて判明した被害および対策の時系列の概要、流出した情報、被害範囲と攻撃手法の詳細、原因分析と再発防止策などを明らかにした。

• 公式発表：(PDF) ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告 (ランサムウェア攻撃によるシステム障害関連・第13報)

• 関連記事：
  「アスクル、同社ロゴを悪用する偽サイトとフィッシングメールに注意喚起 | TECH+（テックプラス）」
  「ASKUL Webサイトが復旧、一部商品から受注を再開 - 無印良品ネットストアも | TECH+（テックプラス）」
  「アスクルが本格復旧に向けた最新情報を公開、まもなくASKUL Webサイト再開か | TECH+（テックプラス）」
  「アスクルが在庫商品(約6000アイテム)の受注・出荷開始 - ランサムウェア被害続報 | TECH+（テックプラス）」
  「ASKUL LOGISTから顧客情報を流出、エンドユーザーの注文情報も | TECH+（テックプラス）」
  「アスクルがWebサイト一部を再開、200万アイテムの受注と直送に対応 | TECH+（テックプラス）」
  「アスクルがデータ流出の拡大を発表、調査は継続中 | TECH+（テックプラス）」
  「アスクル、本格復旧は12月上旬以降 - 復旧計画を公開 | TECH+（テックプラス）」
  「アスクル、ランサムウェア攻撃によるデータ漏洩発表 - 問い合わせ情報など | TECH+（テックプラス）」
  「アスクルが問い合わせフォームを再開、犯行声明の把握を表明 | TECH+ (テックプラス)」
  「アスクルがシステム障害について第3報を発表、手作業で一部出荷を開始 | TECH+ (テックプラス)」
  「アスクルがランサムウェア被害に関するFAQ公開、フィッシングメールに注意 | TECH+(テックプラス)」
  「アスクル、ランサムウェア感染によるシステム障害について続報 - 復旧に至らず | TECH+(テックプラス)」
  「アスクルがランサムウェア被害、一部業務停止 - 無印良品やロフトにも影響 | TECH+(テックプラス)」
  

• 

  ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告 (ランサムウェア攻撃によるシステム障害関連・第13報)

ランサムウェア被害に関する調査報告

アスクルはランサムウェア被害発生時(10月19日)から12月9日までの被害状況および対策を時系列にまとめた一覧を発表した。基本的に従来の公開情報を踏襲する内容だが、新たに外部クラウドサービスへの被害と、認証情報対策の徹底を伝えている。

発表によると、同社はランサムウェア被害を10月19日に検知し、同日中に被害システムの切り離しおよびネットワークの遮断を実施した。しかしながら、10月22日に外部クラウドサービスへの不正アクセスが発生。23日のパスワード変更作業を完了するまで侵入を許したという。

10月19日時点の被害はデーターセンター内に設置していた物流システムおよび社内システムのみとされる。しかしながら、社内システム(基幹業務システムを除く)には顧客情報を含む一部の情報が保管されており、この情報が窃取されたことで外部クラウドサービスの管理システムアカウントが流出した可能性があるという。

このアカウント情報の悪用は特定されていないが、攻撃者は10月22日、同サービスに侵入して顧客情報を含む一部の情報を窃取し被害が拡大した。翌日のパスワード変更で侵入が止まったことから、被害発生直後にすべてのパスワードリセットを実施していれば、追加の被害は免れたとみられる。

• 

  侵害範囲と影響 - 引用：アスクル

初期の侵害経路は「業務委託先用のアカウント」とみられる。このアカウント情報の入手方法は特定できていない。攻撃者は2025年6月5日、このアカウントを悪用して不正アクセスに成功すると、10月9日まで特権昇格を試みるがすべて失敗。しかしながら、この作業と並行してエンドポイント検出応答(EDR: Endpoint Detection and Response)などのセキュリティソリューションを無効化。複数のサーバ間を横移動し、必要な権限を取得してネットワーク全体へアクセスを拡大したとされる。

必要な権限を取得した攻撃者はランサムウェアを設置。ランサムウェアは10月19日に起動するように設定されており、自動処理で暗号化が進行したとみられる。なお、このランサムウェアは暗号化の際、バックアップファイルも暗号化したという。これが復旧作業の遅れに影響したとみられる。

わずかな隙をついてネットワーク全体を攻撃

同社は原因分析および再発防止策を公開している。分析から判明した主な問題点は次のとおり。

• 業務委託先に付与していた管理者アカウントに、例外的に多要素認証(MFA: Multi-Factor Authentication)を適用していなかった
• データセンターのサーバにEDRを導入していなかった。また不十分な監視体制により即応性を欠いていた
• オンラインバックアップを実施していたが、ランサムウェアによる破損は想定していなかった
• 管理対象PCおよびサーバのセキュリティ対策(OSアップデートを含む)が不十分だった

攻撃者はこれらわずかな隙をすべて悪用して攻撃に成功した。攻撃期間は4カ月以上と長期にわたっており、多層防御の重要性を浮き彫りにしている。

復旧の概要と今後の方針

同社は復旧にあたり汚染の可能性を排除する目的で侵害されたシステムをゼロから再構築したという。この判断にはバックアップの喪失が影響したとみられる。

さまざまな困難に直面した同社だが12月3日、外部専門機関の調査を経てWebサイトの運用を再開。今後はさらなるセキュリティ強化策を短期、中期、長期の3段階にわけて実施する方針を示している。

短期計画では前述の問題点の中で優先度の高いものを対策。中長期計画では24時間監視体制の構築や事業継続計画(BCP: Business Continuity Plan)の見直しなどが予定されている。

サプライチェーン攻撃に端を発した今回の事件は、複数の企業に影響をもたらした。同社の最高経営責任者(CEO: Chief Executive Officer)を務める吉岡晃氏は顧客およびパートナー企業に謝罪の意を示すとともに、今回の調査報告の趣旨を説明。同社の責任を果たす目的に加え、企業および組織のセキュリティ対策への有効活用を望む声を伝えている。