2025年10月、EC・オフィス用品大手のアスクル株式会社が大規模なランサムウェア攻撃を受け、基幹システムが麻痺する事態が発生しました。この攻撃により、同社の代名詞ともいえるECサイトは全面停止に追い込まれ、無印良品(良品計画)やロフトといった他社が展開する通販サイトの物流・注文処理にも深刻な影響が波及しました。
一時はサプライチェーンの完全崩壊さえ危ぶまれる危機的状況に陥ったものの、同社は全国の物流センターを段階的に再稼働させることで、最悪のシナリオを回避することに成功しました。さらに、復旧活動と並行してASKUL関東DC(ディストリビューションセンター)では、パレット搬送AMR(自律走行搬送ロボット)と既存のエレベーター制御を自動連携させる「攻めの自動化」を実行に移すなど、災い転じて未来への投資を進める姿勢を見せています。
本記事では、このアスクル株式会社の事例をタイムラインとともに詳細に検証し、現代の物流現場が必ず備えておくべき「セキュリティ対策」と「物流BCP(事業継続計画)」、そして非常時でも歩みを止めない「倉庫自動化」のあり方について、物流関係者の視点から徹底解説します。
事件の背景とタイムライン:わずか1つの「認証情報漏洩」が引き金に
今回のセキュリティインシデントにおいて、最も注目すべきは「初期侵入からランサムウェアの発動までに4カ月以上のタイムラグがあったこと」、そして「侵入口となったのは自社ではなく、業務委託先の管理アカウントであったこと」です。
以下に、事件の発生から全物流拠点の復旧、そして経営体制の刷新に至るまでのタイムラインを整理しました。
ランサムウェア攻撃と復旧のタイムライン
| 日付 | 出来事 | 詳細と影響 |
|---|---|---|
| 2025年6月5日 | 初期侵入の発生 | 外部の業務委託先が保有する管理者アカウントの認証情報が漏洩。多要素認証(MFA)が設定されていなかったため、攻撃者の侵入を許す。 |
| 2025年10月19日 | ランサムウェアの発動 | 侵入から長期間潜伏していた攻撃者がランサムウェアを発動。基幹システムが暗号化され、アスクルのECサイトが全面停止する。 |
| 2025年11月 | 売上高の激減 | ECサイトの停止と物流麻痺により、2025年11月度の売上高は前年同月比で約95%減という壊滅的な打撃を受ける。 |
| 2025年12月17日 | 東日本中核拠点の出荷再開 | 段階的復旧の第一歩として、ASKUL東京DCおよびASKUL関東DCにおいて新システムでの出荷を再開。 |
| 2025年12月25日 | 地方主要拠点の再開 | 仙台DCおよび福岡DCでの新システム出荷再開を完了し、東北・九州エリアの物流網を復旧。 |
| 2026年1月 | 関西・中部エリアの再開 | 関西DC、大阪DC、名古屋DCにおいて新システムの稼働と出荷再開を完了。 |
| 2026年2月4日 | 全物流センターの復旧完了 | 横浜DCでの出荷再開をもって、全国すべての物流センターにおける新システムへの移行と通常出荷の再開が完了。 |
| 2026年8月6日 | 新経営体制への移行(予定) | 一連の復旧プロセスを牽引した成松岳志氏が代表取締役社長CEOに就任。吉岡晃社長は退任する予定。 |
深刻な個人情報流出の被害規模
ランサムウェアによる暗号化の過程で、アスクル株式会社が保有していた顧客および取引先の個人情報、約74万件が外部へ流出しました。その具体的な内訳は以下の通りです。
| 流出対象の区分 | 該当件数(約) | 影響と特徴 |
|---|---|---|
| 事業所向け(法人)顧客情報 | 590,000件 | アスクルの主力事業であるBtoBサービスを利用する企業担当者の情報。 |
| 個人向け『LOHACO』顧客情報 | 132,000件 | 日用品EC「LOHACO」を利用する一般消費者向けの登録情報。 |
| 取引先関連情報 | 15,000件 | 物流パートナーや仕入れ先を含む、アスクルを支えるサプライチェーン企業の担当者情報。 |
| 役員・従業員などの情報 | 2,700件 | 自社の役員、社員、および契約スタッフ等の個人情報。 |
今回の事案において、侵入経路となったのは「業務委託先の管理者アカウント」でした。攻撃者は、セキュリティ対策が不十分だった委託先の認証情報を何らかの方法で窃取し、アスクルの社内ネットワークへと侵入しました。このアカウントに多要素認証(MFA)が適用されていなかったことが、被害を最小限に食い止められなかった最大の要因とされています。
参考記事: 100兆の脅威分析!Microsoft提唱のランサムウェアから物流を守る 3ステップ
業界への具体的な影響:他社通販への波及と経営体制の刷新
アスクルを襲ったシステム障害は、一企業の枠を超えて日本のEC市場全体に計り知れない打撃を与えました。その影響は、提携企業の売上低迷から経営トップの交代にまで及んでいます。
1. 無印良品やロフトなど他社EC・通販事業の停止
アスクルは自社のECを運営するだけでなく、他社のECインフラや物流代行(フルフィルメントサービス)も受託しています。そのため、アスクルの基幹システムが全面停止したことで、共同でサービスを展開していた「無印良品(良品計画)」や「ロフト」などの通販サイトも注文受付や発送業務が完全に停止する事態に追い込まれました。
サプライチェーンが高度に連結している現代において、1社の物流システムが麻痺することは、連鎖的に数多くの荷主や流通パートナーの事業をストップさせることを意味します。アスクルの2025年11月度の売上高が前年同月比「約95%減」となった事実は、その金銭的なインパクトの大きさを如実に物語っています。
2. 物流部門出身の「成松岳志氏」が代表取締役社長CEOに就任へ
アスクルはこの未曾有の危機に対し、物流の強靭化とシステム復旧を指揮した人物を次期リーダーに指名しました。
2023年3月に執行役員ロジスティクス本部長に就任し、2025年5月からは執行役員事業戦略本部長を歴任していた成松岳志氏が、2026年8月6日付で同社の代表取締役社長CEOに就任することが決定しました(現職の吉岡晃社長は退任予定)。
この人事は、ランサムウェア攻撃という経営危機からの復旧過程において、成松氏が果たした現場主導の復旧手腕とリーダーシップが高く評価された結果です。物流の混乱が企業の命運を左右する現代において、「物流・ロジスティクスを熟知したプロフェッショナルがトップに立つこと」が、今後の最強のBCP対策になるという強いメッセージを業界に示しました。
3. 日本全体に広がるサプライチェーン攻撃の脅威
アスクルが攻撃を受ける直前の2025年9月には、アサヒグループも同様にサイバー攻撃を受け、一時的に物流や生産が停止する事態が発生しています。これらは決して局所的なアクシデントではなく、日本の基幹インフラである物流・製造業を狙った組織的なサイバー犯罪の急増を示しています。
特に物流業界では、中小の運送会社、倉庫事業者、システム委託先など、多数のプレイヤーがシステム連携を行っています。自社のセキュリティが堅牢であっても、最も対策が手薄な「委託先」や「パートナー企業の端末」を踏み台にされる「サプライチェーン攻撃」の脅威が、今や現実のものとなっているのです。
参考記事: アサヒグループの2日間の生産停止に直結したサイバー攻撃とBCPの必須対応
LogiShiftの視点:物流現場がアスクルから学ぶべき2つの「復旧・成長戦略」
アスクルの事例は、甚大な被害をもたらした一方で、これからの物流企業が目指すべき「BCP(事業継続計画)の策定」と「自動化技術の導入」において、極めて示唆に富むアプローチを提示しています。
視点1:完全復旧を待たない「段階的な物流再稼働」がサプライチェーンを救う
アスクルが今回の危機において、サプライチェーンの「完全な崩壊」を防げた最大の要因は、全国に分散する物流センター(DC)を一斉に復旧させようとせず、拠点ごとに新システムを立ち上げて段階的に出荷を再開させた点にあります。
- 2025年12月17日: ASKUL東京DC・関東DC(東日本の最大需要地を最優先でカバー)
- 2025年12月25日: 仙台DC・福岡DC(地方拠点をカバーし、広域物流網のネットワークを再構築)
- 2026年1月: 関西DC・大阪DC・名古屋DC(中京・近畿の産業拠点を復旧)
- 2026年2月4日: 横浜DC(最終拠点として新システムへの完全移行を完了)
もし、同社が「全国一斉の完全復旧」にこだわっていれば、2026年2月まで全ての出荷がストップしていた可能性があります。
需要の多い主要拠点から順次稼働を戻し、物流網の代替ルートを即座に確保していく手法は、大規模災害時における「物流BCP」の教科書とも言える意思決定です。
参考記事: アスクル、仙台・福岡も出荷再開|サイバー攻撃からの復旧に学ぶ物流BCP
参考記事: BCP(事業継続計画)とは?物流現場で使える実践的策定ステップと最新動向
視点2:「守り(セキュリティ)」を固めつつ「攻め(自動化)」を止めないレジリエンス
システム復旧という極限の混乱期にありながら、アスクルは物流現場の省人化・自動化への投資を止めることはありませんでした。その象徴が、ASKUL関東DCにおいて実行された、プラスオートメーション株式会社と共同での「パレット搬送AMR(自律走行搬送ロボット)と既存エレベーターの自動連携」プロジェクトです。
多層階で構成される日本の倉庫において、最大のボトルネックとなるのが「エレベーターを介したフロア間の垂直搬送」です。従来、ロボットやAGVをエレベーターに乗せるには、エレベーター本体の電気系統や扉の開閉システムに数千万円規模の大規模な改修を加えるか、人間が手動でロボットをエレベーターに載せ替える作業が必要でした。
しかし、プラスオートメーションとの取り組みでは、以下のブレイクスルーを実現しました。
- 大規模改修を一切行わない: 既存のエレベーター制御盤に外付けの通信インターフェースを設けることで、AMRとエレベーターの相互通信を可能に。
- 完全無人化の実現: AMRが自律的にエレベーターを呼び出し、目的のフロアへ移動してパレットを降ろす一連の垂直搬送プロセスを完全に無人化。
危機対応(BCP)の最中に、このような現場の生産性を飛躍的に高める「攻めの自動化」を並行して推進したことは、アスクルが持つ物流会社としての底力を示しています。省人化投資を継続することで、セキュリティ被害による人的・資金的ロスを、将来のオペレーション効率向上によって早期に回収する仕組みを構築したのです。
参考記事: プラスオートメーションがアスクルにAMR1台導入し立体自動化が加速
参考記事: 垂直搬送機とは?物流倉庫の自動化を支える基礎知識と導入メリット
まとめ:明日から物流現場が意識すべき3つの実践アクション
アスクルの事例を対岸の火事とせず、自社の経営と物流現場を強靭化するためには、明日からどのようなアクションを起こすべきでしょうか。物流事業者が即座に実践すべき3つのポイントを提案します。
1. 委託先を含めた「多要素認証(MFA)」の即時徹底
今回の最大の教訓は、自社の強固なセキュリティ壁も、たった1つの委託先アカウントの「多要素認証(MFA)なし」によって突破された点にあります。
– 外部から社内ネットワークやWMS(倉庫管理システム)にアクセスする全ての接続において、多要素認証(MFA)を必須化する。
– 業務委託先、システム運用保守ベンダー、パート従業員のアカウントに至るまで、アクセス権限を「必要最小限」に制限する。
2. 「システム全停止」を想定した手動・アナログ代替マニュアルの策定
基幹システムやWMS、各種API連携が停止した際でも、出荷をゼロにしないための準備が必要です。
– 伝票の手書き発行や、エクセル等のローカル環境を用いた最低限のピッキングリスト作成手順をマニュアル化しておく。
– どの拠点から優先して稼働を再開するか、アスクル型の「段階的復旧ルール」を平時から合意しておく。
3. 「段階的な自動化」による非常時でも回る現場づくり
人手不足や予期せぬトラブルに対抗するため、省人化ロボット(AMR)の導入を段階的に進めることが有効です。
– アスクルの事例のように、既存の設備(エレベーターやコンベア)を活かしつつ、外付けのIoT技術でAMRと連携させるような「コストパフォーマンス重視の自動化」を検討する。
– 現場の一部だけでも無人化・自動化を進めることで、有事の際でも最小限のスタッフで出荷ラインを維持できる体制を作る。
物流とITが一体化している現代において、情報セキュリティは「防壁」であると同時に、物流を止めないための「最大のBCP対策」です。守りを強固に固めつつ、AMRなどの先進的な技術を柔軟に取り入れるアスクルの「攻守のハイブリッド姿勢」に、これからの物流が目指すべき最適解が示されています。


