~止まらぬランサムウェア被害、“サプライチェーン依存リスク”と企業の備えとは~
2025年10月、オフィス用品通販大手のアスクル株式会社において、 ランサムウェア攻撃によるシステム障害が発生しました。 同社によると、現在も原因や影響範囲の詳細については調査が続いており、復旧作業が進められています。 現時点では、どのランサムウェアグループも犯行声明を出しておらず、全容は明らかになっていません。
しかし、今回のインシデントはアスクル社内にとどまらず、サプライチェーン全体に波及しました。 特に影響を受けたのが、グローバルに1,000店舗以上を展開する良品計画(無印良品/MUJI)です。 アスクルの子会社が物流を担っていたことから、10月19日(日)夜以降、日本国内のオンラインストアおよびアプリが一時停止。 商品閲覧や新規購入ができない状態が続いています。 なお、店舗販売および海外事業には影響はないとされています。
■ 被害が広がる「委託先経由のリスク」
今回の事例では、攻撃の直接対象はアスクル側のシステムであると見られますが、 業務委託先の障害が取引先に影響を及ぼす「サプライチェーン連鎖リスク」が浮き彫りになりました。
アスクルのケースでは、ECと物流という社会インフラ的な要素が関係しており、 攻撃対象が単一企業にとどまらず、サービスを利用する他社・消費者まで影響する“範囲外リスクとして表面化しました。 現時点では感染経路や被害規模について確定的な情報はなく、 引き続き関係各社による調査と復旧対応が続いています。
■ 日本企業に広がるサプライチェーン型攻撃の課題
日本国内では近年、製造業や物流、EC事業者を狙うサプライチェーン型攻撃が増加しています。 攻撃者は直接標的となる企業だけでなく、その取引先や委託先を経由して侵入経路を広げる傾向が強まっています。 こうした攻撃は、特定の企業の防御力だけでは防ぎきれない構造的な課題を突いています。
今回のアスクルのケースも、被害が委託先やパートナー企業へ間接的に波及した点が特徴的であり、 企業間のシステム依存度が高まる中でのリスクマネジメントの難しさを浮き彫りにしました。
■ Acronis TRU ソリューションアーキテクト 杉山吉寿によるコメント
国際的に権威のあるセキュリティプロフェッショナル認証CISSP、CCSP、CISM、CISAの資格を持つアクロニス脅威リサーチユニット(TRU)ソリューション・アーキテクトの杉山吉寿は今回のインシデントについて次のように述べています。
「今回のアスクルおよびMUJIのケースは、“自社が攻撃を受けていなくても業務停止や縮退に追い込まれる”という現実を示しています。 これはランサムウェアが単なるITの脅威ではなく、事業継続そのものを揺るがす経営課題であることを改めて浮き彫りにしました。 特に物流・製造・ECといったサプライチェーンを支える業界では、一社の障害が全体に波及する構造的なリスクを常に抱えています。」
アクロニスは世界中でランサムウェア被害からの復旧を支援してきました。 その経験から明らかになっているのは、「バックアップの有無」だけでは被害を防ぎきれないという点です。
杉山は、被害を最小限に抑えるための備えとして、次の4点を挙げています。
1. AIを活用した多層的なサイバー防御の導入: AIと行動分析を組み合わせたリアルタイム検知により、既知・未知の脅威を早期に捕捉し、感染拡大を防ぐ。エンドポイント、サーバー、クラウドを横断的に守る仕組みが重要です。
2. 改ざん不可能なバックアップ(イミュータブルバックアップ)の確立: 攻撃者がシステムに侵入してもデータを暗号化・削除できないよう、改ざん防止機能を備えたストレージで保護する。バックアップデータを信頼できる「最後の砦」として維持することが、復旧の鍵になります。
3. 侵入テストと多要素認証(MFA)の徹底: 定期的な侵入テストにより防御の穴を早期に発見し、すべてのアクセス経路に多要素認証を導入することで、不正侵入を未然に防ぎ、万一の感染時も被害を局所化します。
4. サプライチェーン全体を含むセキュリティ監査と連携強化: 取引先・委託先を含めたセキュリティ監査を行い、共同のインシデント対応計画を策定。 さらに物流や基幹業務パートナーを分散化することで、依存構造を減らし、連鎖被害のリスクを最小化します。
「“守る”ことと同じくらい、“復旧できる体制を整える”ことが重要です。 被害の有無を分けるのは技術力ではなく、準備力なのです。」
■ 攻撃の連鎖を断ち切る「Cyber Protection」アプローチ
今回のような連鎖的な影響は、特定企業の問題ではなく、 業界全体が抱える新しいリスク構造の一端です。
クラウドサービスや外部委託が不可欠となった現代の企業環境では、 一社のセキュリティが他社の業務継続を左右するという現実を直視する必要があります。アクロニスは、データ保護とサイバー防御を統合した「Cyber Protection」アプローチを通じて、 バックアップ・脅威検知・防御・復旧・レジリエンスを一体的に支援。 企業が攻撃の連鎖から迅速に復旧し、業務を継続できる体制づくりを後押ししています。
■ まとめ:リスクを“共有”し、備えを“全体最適化”する
今回のアスクル、MUJIのケースでは 「攻撃の直接対象ではない企業も巻き込まれる」という構造的課題です。
今後は、企業単体での対策にとどまらず、 パートナー間でのリスク共有・監査・共同復旧計画の策定といった“全体最適”の視点が不可欠になります。アクロニスは、こうした新たなサプライチェーン型リスクに対し、 テクノロジーと実践知の両面から企業のサイバーレジリエンス強化を支援していきます。
Acronis について
Acronis は、2003 年にシンガポールで設立されたスイスの企業で、世界 15ヵ国にオフィスを構え、50ヵ国以上で従業員を雇用しています。Acronis Cyber Protect Cloud は、150の国の26の言語で提供されており、21,000を超えるサービスプロバイダーがこれを使って、750,000 以上の企業を保護しています。
