はじめに
2025年10月19日、アスクル株式会社(以下「アスクル」)のECシステムがランサムウェア攻撃を受け、同社が運営する法人向けサービス「ASKUL」および個人向け「LOHACO」を含む複数のオンラインサービスが停止しました。この障害は同社の物流システムを通じて株式会社良品計画(以下「無印良品」)や株式会社ロフト(以下「ロフト」)など取引先企業にも波及し、各社のECサイトやアプリにおいても受注停止や機能制限が発生しています。
本件は単一企業の被害にとどまらず、物流委託を介して複数のブランドに影響が拡大した点で、典型的な「サプライチェーン攻撃」の構造を示しています。特定のシステムやサーバーだけでなく、委託・連携によって結ばれた業務フロー全体が攻撃対象となり得ることを、あらためて浮き彫りにしました。
この記事では、今回の障害の概要と各社の対応、攻撃の背景、そしてサプライチェーンリスクの観点から見た課題と教訓について整理します。企業システムの安全性が社会インフラの一部となった現代において、こうした事案の分析は単なる被害報道にとどまらず、今後の再発防止とリスク管理に向けた重要な示唆を与えるものです。
発生の概要
2025年10月19日、アスクルは自社のECサイトにおいてシステム障害が発生し、注文や出荷業務を全面的に停止したことを公表しました。原因は、外部からのサイバー攻撃によるランサムウェア感染であり、同社が運営する法人向けサイト「ASKUL」および個人向け通販サイト「LOHACO」で広範なサービス停止が生じました。障害発生後、アスクルは速やかに一部のシステムを遮断し、被害の拡大防止と原因究明のための調査を進めていると説明しています。
この影響はアスクル単体にとどまらず、同社が物流業務を請け負う取引先にも波及しました。特に、無印良品を展開する良品計画およびロフトのECサイトで、受注処理や配送に関わる機能が停止し、利用者に対してサービス一時停止や遅延の案内が出されました。両社の発表によれば、システムそのものが直接攻撃を受けたわけではなく、アスクル傘下の物流子会社である「ASKUL LOGIST」経由の障害が原因とされています。
本件により、複数の企業が同一サプライチェーン上で連携している構造的リスクが明確になりました。単一の攻撃が委託先・取引先を介して連鎖的に影響を及ぼす可能性があり、EC事業や物流を支えるインフラ全体の脆弱性が浮き彫りになったといえます。現在、アスクルおよび関係各社は外部専門機関と連携し、被害範囲の特定とシステム復旧に向けた対応を進めている状況です。
アスクルにおけるシステム障害の詳細
アスクルは、2025年10月19日に発生したシステム障害について「身代金要求型ウイルス(ランサムウェア)」によるサイバー攻撃が原因であると公表しました。今回の攻撃により、同社の受注・出荷関連システムが暗号化され、通常の業務処理が不能な状態に陥りました。これに伴い、法人向けの「ASKUL」および個人向けの「LOHACO」など、主要なオンラインサービスが停止しています。
同社の発表によれば、攻撃を検知した時点で対象サーバー群を即時にネットワークから切り離し、被害の拡大防止措置を講じました。現在は、外部のセキュリティ専門機関と連携し、感染経路や暗号化範囲の特定、バックアップデータの検証を進めている段階です。復旧作業には慎重な手順が必要であり、現時点でサービス再開の明確な見通しは示されていません。
アスクルは、顧客情報および取引データの流出の有無についても調査を継続しており、「現時点では流出の確認には至っていない」としています。ただし、調査結果が確定していない段階であるため、潜在的なリスクについては引き続き注視が必要です。
本障害では、Webサイト上での注文や見積、マイページ機能の利用がすべて停止し、FAXや電話による注文も受付不可となりました。また、既に受注済みであった一部の出荷もキャンセル対象とされ、取引先や利用企業に対して順次連絡が行われています。これにより、法人・個人を問わず多数の顧客が影響を受け、企業間取引(B2B)における物流の停滞も発生しています。
アスクルは、再発防止策としてシステムの再設計およびセキュリティ体制の強化を進める方針を示しています。今回の事案は、単なる障害対応にとどまらず、EC事業と物流システムのサイバー・レジリエンス(復元力)を再評価する契機となる可能性があります。
他社への波及 ― 無印良品とロフトの対応
今回のアスクルにおけるシステム障害は、同社の物流ネットワークを通じて複数の取引先企業に波及しました。特に影響を受けたのが、無印良品を展開する良品計画と、生活雑貨チェーンのロフトです。両社はいずれもアスクルグループの物流子会社である「ASKUL LOGIST」を主要な出荷委託先としており、そのシステム障害により自社ECサイトの運用に支障が生じました。以下では、各社の対応を整理します。
無印良品の対応
良品計画は、アスクルのシステム障害発生直後に公式サイトおよびアプリを通じて影響状況を公表しました。自社のシステムが直接攻撃を受けたわけではなく、物流委託先の停止により商品出荷が困難になったことが原因と説明しています。そのため、無印良品のネットストアでは新規注文の受付を停止し、アプリの「マイページ」機能や定額サービスの申し込みなど一部機能を制限しました。
さらに、同社が予定していた会員優待キャンペーン「無印良品週間」についても、オンラインでの実施を見送り、店舗限定で開催すると発表しました。これにより、デジタルチャネルの販促施策にも影響が及んでいます。良品計画は現在、物流経路の再構築および一部代替ルートの確保を進めつつ、システム復旧の進捗に応じて段階的なサービス再開を検討しているとしています。
ロフトの対応
ロフトも同様に、自社の物流処理の一部をアスクル関連会社に委託しており、その停止に伴って「ロフトネットストア」のサービスを全面的に休止しました。公式サイトでは、商品の注文・配送が行えない状態であることを告知し、再開時期は未定としています。ロフトも自社サーバーや基幹システムに直接的な不正アクセスは確認されていないとしていますが、物流の一元化により依存度が高まっていたことが、今回の波及を拡大させた要因と考えられます。
両社のケースは、EC事業の運営における「委託先リスク」が顕在化した代表例といえます。顧客接点としてのECサイトが稼働していても、背後にある物流・受注システムの一部が停止すれば、結果的に販売全体が停止する構造的課題が浮き彫りになりました。今回の障害は、企業間のシステム連携が進む中で、委託先のセキュリティ対策を含めた全体的なリスク管理の重要性を再認識させる事例といえます。
攻撃の背景と特定状況
アスクルに対する今回のシステム障害は、身代金要求型ウイルス(ランサムウェア)を原因とするものであると報じられています。具体的には、オンライン注文や出荷管理のためのサーバー群が暗号化されたことにより、同社のECおよび物流関連の業務プロセスが停止しました。
攻撃の「背景」には以下のような要素があります:
- 日本国内におけるランサムウェア攻撃の急増傾向。2025年上半期では前年同期と比べておよそ1.4倍の発生件数が報告されています。
- 物流・出荷などのサプライチェーンを担う企業への攻撃が、エンドユーザー向けのブランドサイトやサービス停止を引き起こす“波及型リスク”として認識されている環境下。例えば、アスクルが被害を受けたことで、委託先・取引先である他社のECサービスが停止しています。
- 攻撃を受けたとされるアスクルが、自社発表で「受注・出荷業務を全面停止」「現在、影響範囲および個人情報流出の有無を調査中」としており、侵害からの復旧手順を外部セキュリティ企業と連携して進めている状況です。
「特定状況」に関しては、以下が確認できています:
- 攻撃者集団またはランサムウェアの種類について、アスクル側から公式に明確な名称の公表はされていません。現時点では、どの集団が本件を主導したかを確定できる公開情報は存在しません。
- アスクルおよび関連する報道では、システム切断・影響範囲調査・顧客データ流出可能性の確認といった初期対応が行われていることが明らかになっていますが、復旧完了時期や影響を受けた具体的なシステム・データ項目までは公表されていない状況です。例えば「新規注文停止」「既存出荷キャンセル」などがアナウンスされています。
- 本件が国内サプライチェーンを通じて複数ブランドに影響を及ぼしている点が特徴であり、物流に深く関わる企業が間接的に影響を受ける典型的な構造を持っています。
以上のとおり、攻撃の背景としては日本国内のランサムウェア脅威の高まりおよびサプライチェーンを狙った攻撃の潮流があり、特定状況としては攻撃者の明確な特定には至っておらず、影響範囲の調査・復旧作業が進行中という段階にあります。
サプライチェーンリスクとしての位置づけ
今回のアスクルを発端とするECサイト停止は、単一企業のサイバー攻撃を超え、サプライチェーン全体の脆弱性が表面化した典型的な事例として位置づけられます。アスクルは物流・出荷インフラを複数企業へ提供しており、そのシステム障害が無印良品やロフトといった異業種の小売ブランドにまで波及しました。この構造的連鎖こそが、現代のデジタルビジネスにおけるサプライチェーンリスクの本質です。
まず注目すべきは、企業間のシステム依存度の高さです。ECや物流の分野では、在庫管理・受注処理・配送指示といった基幹プロセスが委託先のシステム上で完結しているケースが多く、委託先の停止が即時に業務停止へ直結します。今回のケースでは、委託先のインフラが暗号化されたことで、取引先企業は自社サービスを維持できなくなりました。
また、リスク分散の欠如も問題として浮き彫りになりました。多くの企業が効率性を優先し、単一の物流ベンダーやクラウド基盤に依存する傾向がありますが、サイバー攻撃の時代においては、効率と安全性が必ずしも両立しません。万一の停止時に備えた代替経路やバックアップシステムを確保することが、事業継続計画(BCP)の観点から不可欠です。
さらに、セキュリティガバナンスの境界問題も無視できません。サプライチェーンにおける情報共有やアクセス権限は複雑化しており、自社の対策だけでは防げない攻撃経路が存在します。委託先を含めたリスク評価や監査体制、ゼロトラスト(Zero Trust)アプローチの導入など、包括的なセキュリティ戦略が求められます。
総じて、今回の事案は「直接攻撃を受けていない企業も被害者となり得る」という現実を示しました。今後は、取引契約や委託管理の段階で、サイバーリスクを含む全体的な耐障害性を評価することが、企業の社会的責任の一部として位置づけられるでしょう。
各社の今後の対応と再発防止策
アスクル株式会社および影響を受けた取引先企業は、今回のサイバー攻撃を受けて、システムの復旧と再発防止に向けた包括的な対策を進めています。現時点では完全な復旧には至っていませんが、各社の発表内容や取材報道をもとに、今後の対応方針は次の三点に整理できます。
第一に、システム復旧と安全性確認の徹底です。アスクルは感染したシステムをネットワークから隔離し、バックアップデータの復旧可能性を検証しています。外部のサイバーセキュリティ専門企業と協力しながら、暗号化されたデータの復元と感染経路の分析を進めており、安全性が確認された範囲から段階的にサービスを再開する計画です。また、同社は調査完了後に、顧客情報や取引データの流出有無を正式に公表するとしています。
第二に、委託先を含めたサプライチェーン全体でのセキュリティ体制強化です。今回の障害では、アスクルだけでなく物流委託先や取引先の業務も停止したことから、単独企業の対策では限界があることが明らかになりました。良品計画およびロフトは、委託契約の見直しやバックアップルートの確保を検討しており、物流・情報システムの冗長化を進める方針を示しています。これらの動きは、委託元・委託先を問わず、共同でリスクを管理する「セキュリティ・パートナーシップ」の強化につながると考えられます。
第三に、社内ガバナンスとインシデント対応力の向上です。アスクルは、今回の事案を踏まえて全社的なセキュリティ教育の再構築を行い、職員へのフィッシング対策訓練やアクセス制御ポリシーの厳格化を実施する見通しです。さらに、政府機関や業界団体への情報共有を通じ、サプライチェーン攻撃への対応事例や知見を共有していく意向を示しています。これにより、同業他社を含む広範な防御網の構築が期待されます。
今回の一連の障害は、ECと物流が密接に統合された現代の商流におけるリスクを浮き彫りにしました。単なるシステム障害ではなく、事業継続性を左右する経営課題としてのサイバーセキュリティ対策が求められています。今後、各社がどのように復旧と改善を進め、信頼回復を図るかが注目されるところです。
おわりに
今回のアスクルに端を発したECサイト障害は、単なる一企業の被害ではなく、デジタル化された商流全体のリスク構造を浮き彫りにしました。アスクル、無印良品、ロフトという異なる業態の企業が同時に影響を受けたことは、物流・情報システム・販売チャネルが高度に統合されている現代のサプライチェーンの脆弱性を象徴しています。
企業がクラウドや外部委託先に業務を依存する中で、もはや「自社のセキュリティ対策」だけでは事業継続を保証できません。委託先や関連企業を含めた統合的なリスク管理体制、定期的な監査、そして異常発生時に迅速に業務を切り替えられる設計が不可欠です。また、情報公開の迅速さや、顧客・取引先への誠実な説明責任も企業の信頼回復に直結します。
本件は、EC業界や物流業界のみならず、すべての企業に対して「サプライチェーン全体でのセキュリティ・レジリエンス(回復力)」を再考する契機を与えるものです。今後、各社がどのように再発防止策を具体化し、業界全体での共有知へと昇華させていくかが、日本のデジタル経済の信頼性を左右する重要な課題になるでしょう。
参考文献
- Japanese retailer Askul halts online orders, shipments after ransomware attack
https://therecord.media/askul-japan-retailer-cyberattack-disruption - Askul Suspends Online Sales Due to Ransomware Attack
https://www.nippon.com/en/news/yjj2025102000167/ - Japan Retailers Halt Online Sales on Supplier Cyber Attack
https://www.bloomberg.com/news/articles/2025-10-20/muji-retailer-halts-online-site-after-cyber-attack-of-supplier?srnd=homepage-europe - Ransomware Snarls Muji And Loft Online Orders In Japan
https://finimize.com/content/ransomware-snarls-muji-and-loft-online-orders-in-japan
