2025年12月12日、アスクル株式会社はランサムウェア攻撃に関する第13報を公表し、本件における侵入経路、被害範囲、復旧が長期化した要因などについて、これまでで最も詳細な説明を行いました。
これにより、本件が単なる「不運なサイバー事故」ではなく、現代のランサムウェア攻撃が持つ構造的な特徴を色濃く反映した事案であることが、改めて明らかになったと言えます。
攻撃者は「最も弱いところ」を必ず狙う
近年発生したアサヒグループやKADOKAWAの事例でも共通して見られるように、攻撃者は決して防御が最も強固な部分から侵入を試みるわけではありません。
彼らが狙うのは、企業全体の中で相対的に管理が緩く、例外運用が存在する領域です。
アスクルのケースでは、業務委託先に付与されていた管理者アカウントがその起点となりました。
当該アカウントは例外的に多要素認証(MFA)が適用されておらず、結果として認証情報の窃取・不正使用による侵入を許したと推定されています。
多くの企業において、委託先や協力会社は「内部と外部の中間」に位置づけられがちですが、本件はIDと権限の観点では“完全に内部と同等”であることを、強く示しています。
侵入からランサム発火までの「長い沈黙」
本件でもう一つ注目すべき点は、侵入からランサムウェアの実行に至るまでの潜伏期間が長かったことです。
攻撃者は侵入後すぐに暗号化を行ったわけではなく、内部ネットワークの偵察、複数サーバへの横展開、権限昇格、さらにはEDRの無効化といった準備行為を段階的に進めていました。
これは近年のランサムウェア攻撃に共通する特徴です。
攻撃者は「すぐに騒ぎを起こす」ことを避け、検知されない状態で最大限の被害を与える準備を整えてから発火する戦術を取ります。アサヒやKADOKAWAの事例でも、同様に侵入から被害顕在化までに一定の時間が経過していたことが報告されています。
「防げなかった」のではなく「気づけなかった」
アスクルの調査報告では、侵害が発生したデータセンターのサーバにはEDRが未導入であり、24時間365日の監視体制も敷かれていなかったことが明らかにされています。このため、不正アクセスや内部での不審な挙動を早期に検知することができませんでした。
これは高度な攻撃によって防御が突破されたというより、検知の空白地帯が存在していたという問題です。現代のセキュリティ対策においては、「侵入を完全に防ぐ」こと以上に、「侵入後にいかに早く気づけるか」が被害規模を左右します。
バックアップが守れなければ復旧は長期化する
さらに、本件ではオンラインバックアップが存在していたにもかかわらず、ランサムウェア攻撃を想定した構成ではなかったため、バックアップデータ自体も暗号化されました。これが物流システムの停止を長期化させ、事業への影響を拡大させる要因となりました。
攻撃者がバックアップを最初から標的にしている現在、「バックアップがある」という事実だけでは、事業継続性は担保されません。
本件を他人事にしないために
アスクルのランサムウェア事故は、特定企業の失敗談ではありません。
委託先を含むID管理、例外運用、検知体制の設計、そして侵入後を前提とした復旧戦略――これらはいずれも、多くの日本企業が共通して抱える課題です。
攻撃者は常に、企業の「一番弱いところ」を探しています。そして、その弱点は必ずしも最新技術の不足ではなく、運用やガバナンスの隙間に存在します。本件を契機に、各企業が自社の足元を改めて見直すことが、同様の被害を防ぐ第一歩となるでしょう。
この記事を読んで、「自社の場合はどうだろう」と感じた点があれば、それが見直しのタイミングかもしれません。
小さな確認からでも構いません。
第三者の視点で現状を整理するご相談もお受けしています。
