Askul data breach exposed over 700,000 records after ransomware attack
2025/12/17 SecurityAffairs — Askul が発表したのは、10月19日にランサムウェア攻撃を検知したこと、および、この攻撃を実行した脅威アクターが、同社のインフラにアクセスして機密データを窃取したという事実である。Askul は、企業/消費者向けにオフィス用品/文房具/IT 機器/日用品などを供給する日本の e コマースおよび物流企業であり、日本全国で大規模な受注/配送サービスを運営している。同社は、LOHACO を運営し、Yahoo! JAPAN エコシステムの一員でもある。
このサイバー攻撃により、Askul の注文/配送/自動物流システムに深刻な混乱が生じた。12月初旬にサービスは再開されたが、顧客とパートナーのデータに影響が生じた。
ランサムウェア集団 RansomHouse が主張したのは、11月および 12 月に漏洩を成功させ、1TB の機密データを盗み出したという事実である。その原因となったのは、交渉の失敗または Askul による支払い拒否にあると見られている。
現時点で、このランサムウェア集団が公開しているのは、窃取データを含む3つの証拠セットである。
Askul が認めたのは、データ漏洩により顧客および提携先データが影響を受け、約 59 万件のビジネス・サービス記録/約 13万2000 件の消費者記録/数千件の従業員および役員の記録を漏洩したことだ。
同社が公表したデータ漏洩通知には、「2025年10月19日に Askul 株式会社は、ランサムウェア攻撃を受けた。それにより、データの暗号化とシステム障害が発生し、大規模なサービス停止と企業情報の漏洩につながった」と記載されている。
確認された漏洩に関する情報 (2025年12月12日時点)
役員/従業員 (グループ会社を含む):約 2700 件。
個人情報保護委員会に報告書を提出済みである。
影響を受けた顧客および提携先には個別通知済みである。
長期的な監視を実施しており、必要に応じ追加対策を講じている。
LOHACO の決済システムは、顧客のクレジットカード情報を保管していない。
二次被害防止のため詳細は非公開とする。
漏洩した法人向けサービス顧客情報:約 59万件。
漏洩したコンシューマー向けサービス顧客情報:約 13万2000 件。
漏洩したパートナー情報 (ベンダー/代理店/サプライヤー):約 1万5000 件。
Askul が報告した内容は、窃取した認証情報を悪用する攻撃者が、同社のネットワークへのアクセスと偵察を行い、追加の認証情報を取得したことだ。その後に攻撃者が実施したのは、ネットワークの横断的な移動/セキュリティ・システムの無効化/バックアップの削除/ランサムウェアの実行である。
同社の CEO である Akira Yoshioka は、「ランサムウェア攻撃により顧客情報と一部パートナーデータが漏洩し、多大な影響を及ぼした。高度に自動化された物流システムが機能停止したことで、一時的にサービスが停止し、顧客/パートナー/物流クライアント/株主などのステークホルダーに影響が生じた。当社は、この事態を深刻に受け止め、全社を挙げて影響の抑制とサービスの復旧に取り組んでいる。今回の攻撃を踏まえ、今後は BCP (事業継続計画) の見直しと強化に取り組む方針である」と述べている。
同氏は、「サービスの全面復旧フェーズに入ったので、入手可能な調査結果/対応策/セキュリティ強化策について報告するが、二次被害につながる可能性がある詳細は除かれる。この報告書が、当社の説明責任を果たすと共に、他組織のサイバー・セキュリティへの取り組みの一助となることを期待する」と続けている。
今年は、別の日本企業もランサムウェア攻撃を受けている。9月には Asahi ビールが攻撃され、約 200 万人の顧客および従業員の個人情報が盗まれ、日本国内における同社事業に深刻な混乱をもたらした。
この攻撃では、盗み出された認証情報が悪用され、ネットワーク深部への侵入を許すことになりました。最初に攻撃者は、不正に取得したアカウント情報を利用して社内のインフラへ足がかりを築き、その後に、ネットワーク内を自由に移動しながら、高権限を持つ認証情報を次々と入手していったようです。こうした偵察活動を経て、セキュリティ・システムを無効化し、復旧手段であるバックアップ・データを削除した上で、ランサムウェアを起動させました。なお、文中で取り上げられている Asahi への攻撃については、別記事をご参照ください。
IoT OT Security News 
You must be logged in to post a comment.