アスクル株式会社は、2025年10月19日、ランサムウェア攻撃によるデータの暗号化とシステム障害により、大規模なサービス停止と保有情報の流出が確認される事態となり、多くのステークホルダーの皆様に多大なるご心配とご迷惑をおかけしております。

当社は外部専門機関の協力のもと、システム障害範囲の特定とランサムウェア攻撃の影響の詳細調査を進めてまいりました。

本日時点までに判明した調査結果等について、以下の通りご報告いたします。

今般のランサムウェア攻撃により、お客様情報に加え一部のお取引先様の情報が外部へ流出しており、多大なご迷惑をおかけしております。また、当社物流システムに障害が発生してサービスが一時的に停止したことにより、お客様、お取引先様、物流受託サービスをご利用の企業様とそのお客様、株主の皆様をはじめ、多くのステークホルダーの皆様に多大なご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

当社は本件の重大性を厳粛に受け止め、影響の抑制とサービス復旧に全社を挙げて取り組んでまいりました。今後、ランサムウェア攻撃を踏まえたBCPの見直し・強化にも取り組んでまいります。

このたび、サービスの本格復旧フェーズへ移行するにあたり、サービスの安全性をご確認いただくとともに、現時点でお伝えできる調査結果、当社の対応、および安全性強化策について、二次被害防止のために開示が困難な内容を除き、可能な限り詳細にご報告いたします。

本報告が、当社の説明責任を果たすのみならず、本件に高いご関心をお寄せいただいている企業・組織におけるサイバー攻撃対策の一助となりましたら幸いでございます。

本件発覚以降の時系列は以下のとおりです。

「（指紋、顔などの）生体情報」のうち、2つ以上の異なる要素を組み合わせて認証を行う方法。多要素認証。

痕跡を検知し、迅速に対応するためのセキュリティ対策。

・流出が確認された個人情報の概要（2025年12月12日時点）は以下のとおりです。

・本日、同内容について個人情報保護委員会へ確報を提出いたしました。

・該当するお客様・お取引先様等には、個別に通知を行っております。

影響範囲や内容に応じて公表の要否を適切に判断いたします。

・なお、LOHACO決済ではお客様のクレジットカード情報を当社が受け取らない仕組みとしており、当

社は個人のお客様のクレジットカード情報を保有しておりません。

・二次被害防止の観点から、以下の情報の詳細については公表を差し控えさせていただきます。

・外部専門機関によるフォレンジック調査の結果、以下の事実を確認しております。

情報の範囲を完全に特定することは困難であると判断しております。

・物流システム・社内システムでランサムウェアの感染が確認され、一部データ（バックアップデータ

ファイルも暗号化されたため、復旧に時間を要しました。

・当社物流センターは、自動倉庫設備やピッキングシステム等、高度に自動化された構造となってお

・上記3-1の侵害の結果、何らかの形で外部クラウドサービス上のお問い合わせ管理システムのアカウ

ントが窃取され、当該アカウントの侵害が確認されました。

・当該お問い合わせ管理システムの情報の一部が窃取され、攻撃者によって公開（流出）されました。

定しています。初期侵入に成功した後、攻撃者はネットワークに偵察を開始し、複数のサーバにアク

セスするための認証情報の収集を試みました。

権限を取得してネットワーク全体へのアクセス能力を取得していきました。

・なお、本件では複数種のランサムウェアが使用されました。この中には、当時のEDRシグネチャで

は、検知が難しいランサムウェアも含まれていました。

4-2 ランサムウェア展開とバックアップファイルの削除

行いました。その際、バックアップファイルの削除も同時に行われたことが確認されています。これ

により、一部システムの復旧に時間を要することとなりました。

路を遮断する措置を実施しました。データセンターや物流センター間の通信も遮断し、感染の拡大防

止に努めました。感染端末の隔離・ランサムウェア検体の抽出とEDRシグネチャの更新を実施しまし

・全管理者アカウントを含む主要なアカウントのパスワードをリセットし、併せて主要なシステムにM

FA（多要素認証）を適用することにより、不正アクセスの継続を防ぎました。

・当社は、攻撃者が侵害した可能性のある端末やサーバについて、EDRやフォレンジックツールを用い

実施しました。この作業により、脅威が残存している兆候は確認されておりません。

く、安全が確認された新しい環境をゼロから構築する方式を採用しました。

・外部専門機関と協働し、基幹業務システム・フロントシステム等についても徹底調査し、侵害有無を

期の封じ込めと安全性確保を最優先としました。

・中期フェーズでは、監視体制の24/365管理高度化、権限管理フレームワークの見直し、従事者に対

する教育体系の強化など、運用基盤の強化を重点的に進めています。

定期的なアセスメント実施等、長期的なセキュリティ基盤の成熟度向上を進めてまいります。

バーセキュリティ基準（※）に基づき、現在のセキュリティレベルを多角的に評価し、必要な強化ポ

イントを体系的に洗い出しました。これにより、管理策の妥当性や必要な改善点を明確化しました。

・セッション記録・アクセスログの分析強化

※NIST CSF：NISTが策定した、組織がサイバーセキュリティリスクを管理・軽減するためのフレームワーク（Cybersecurity

NIST SP800シリーズ：NISTが発行するサイバーセキュリティおよび情報システムに関するガイドラインや標準コレクショ

10．セキュリティガバナンス体制の再構築

本件を通じて再認識した高度化するサイバー攻撃の脅威を踏まえ、リスク管理体制、全社的な統制・役割分担の明確化など、改善・強化すべき点を中心に、今期（2026年5月期）中にセキュリティガバナンス体制の再構築を進めてまいります。

の支払いはもとより、いかなる交渉も行っておりません。

な情報を開示してまいります。ただし、攻撃手口の模倣や追加攻撃を含む二次被害防止の観点から詳

細の開示を控えさせていただく場合がございます。

・警察や個人情報保護委員会など関係監督官庁に対し、早期報告を行っております。また、本件を通じ

・インシデント共有コミュニティ（例：JPCERT/CC※）への情報提供

：他社・他組織の防御力向上に寄与し、国内のサイバーセキュリティ水準の向上に貢献してまいりま

：サプライチェーン全体の安全性向上を目的として、必要な情報を適切に共有してまいります。

撃による被害抑止に資する活動を継続してまいります。

すでにお知らせのとおり、本件により財務数値の精査に十分な時間を確保する必要が生じましたため、第2四半期決算発表を延期する判断をいたしました。関係者の皆様にはご迷惑をおかけし、深くお詫び申し上げます。発表時期は改めてお知らせいたします。

2025年10月29日：一部商品の出荷トライアル運用開始（第3報）を発表