【74万件流出】アスクル事例が示す、サプライチェーン攻撃の3つの盲点　

【要約版】
2025年12月16日、アスクルは 東京・関東DCの出荷を12月17日から再開すると発表しました。
一見すると「復旧完了」に見えますが、 サイバーセキュリティの世界では 出荷再開＝再発防止が完了したとは限りません。
本当に重要なのは 「なぜ侵入されたのか」「あなたの会社は何を変えるべきか」 この2点です。
今回は、このニュースを踏まえて 企業が今すぐ考えるべき再発防止策を整理します。

【詳細版】
■ 出荷再開は"ゴール"ではない
アスクルはランサムウェア被害により、
東京・関東DCを中心に出荷停止というサプライチェーン全体に影響する事態となりました。
今回の出荷再開は、 ・業務継続 ・取引先への影響抑制 という点では非常に重要です。
ただし、セキュリティの観点ではここがスタートラインです。

【追加情報】重要な時系列
• 2025年6月5日：攻撃者が業務委託先のアカウントを使用して初期侵入（MFA未適用）
• 約4ヶ月間：システム内に潜伏、EDR無効化や権限昇格を実施
• 2025年10月19日：ランサムウェアが起動、システム暗号化
• 2025年12月12日：約74万件の個人情報流出を公表
• 2025年12月17日：東京・関東DCで物流システムを使用した出荷再開

■ 多くの企業が見落としがちな3つの再発リスク

① 侵入経路が完全に把握されていない → 同じ経路から再侵入される可能性
【アスクルの事例】 業務委託先の管理者アカウント（例外的にMFA未適用）から侵入され、
約4ヶ月間気づかれませんでした。

② 取引先・委託先の対策は変わっていない → サプライチェーン経由の再被害
【実際の影響】 無印良品（良品計画）など、
アスクルの3PL事業を利用する企業も出荷停止を余儀なくされました。

③ 現場・管理職の初動対応が属人化したまま → 次の有事でも判断が遅れる
特に②は、 「自社は対策しているから大丈夫」 では防げません。

■ 今、企業が取るべき再発防止策（最低限）
【アスクルの再発防止策から学ぶ】

 ✅短期フェーズ（即時対応）
• 不正アクセス経路の遮断
• EDRの強化と残存脅威の調査
• 全管理者アカウントへのMFA（多要素認証）の徹底適用

 ✅中期フェーズ（体制強化）
• 24時間365日の監視体制へ高度化
• 権限管理の再検討
• 従業員へのセキュリティ教育強化

 ✅長期フェーズ（継続的改善）
• NISTフレームワーク（国際的なセキュリティ基準）に基づく継続的な対策更新
• ランサムウェア対応を組み込んだBCP（事業継続計画）の見直し Impress Watch

■ 最後に
今回のアスクルの件は、
「狙われた企業だけが止まるわけではない」
という現実を、あらためて突きつけました。

重要な教訓：
• 侵入から攻撃まで4ヶ月間、検知できませんでした
• 委託先のセキュリティが自社の弱点になりました
• サプライチェーン全体に影響が波及しました
• 約74万件の個人情報が流出しました

サイバー攻撃は いつ起きるかではなく起きた時にどう耐えるかが問われています。
もし ・自社のリスクを一度整理したい ・取引先を含めた影響範囲を知りたい
・机上の対策ではなく、実務目線で確認したい
という場合は、 個別にご相談ください。
「再発しない会社」にするための整理を、 一緒に行うことができます。

※2025年12月17日時点の情報です。
最新情報は公式サイトで確認してください。
※今号はAIで執筆した文章を筆者が監修しています。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として
多数の実績を誇る株式会社アイロバと
密接なパートナー関係にあります。

同社は国産独自開発のソリューションも多数保有しています。
******************************
サイバーレジリエンス株式会社　
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: info@japan-resilience.co.jp
https://japan-resilience.co.jp/cyber
******************************

投稿者プロフィール

サイバーレジリエンス

最新の投稿

• 情報2025年12月18日【74万件流出】アスクル事例が示す、サプライチェーン攻撃の3つの盲点　
• ビジネスコラム2025年12月5日アスクル・アサヒビールで相次ぐ大規模サイバー攻撃｜原因・影響・企業が取るべき対策まとめ
• 情報2025年12月4日生成AI（ChatGPT）の情報セキュリティリスク：正確な情報と対策ガイド　
• 情報2025年11月27日AI詐欺（ディープフェイク詐欺）の最新動向と企業が取るべき対策