【緊急解説】「明日来る」が来なくなった日。アスクル・無印良品を襲ったサイバー攻撃から、私たち資材調達が本気で学ぶべき教訓

2025年10月に、ほんとに大変なことが起きました。

あのオフィス用品通販の巨人、アスクルがランサムウェア攻撃でシステムダウン。
まさか、でした。「明日来る」が、明日来ない。ASKULもLOHACOも、全部止まっちゃったんです。

この事件って、単なる一つの会社のトラブルじゃない。
私たち資材調達・購買担当者にとって、無視できない重要な教訓がめっちゃ詰まってるんです。
今回はその辺りを、私なりに「どうすりゃええねん？」という視点で、じっくり解説してみたいと思います。

▼こんな方におすすめの記事です
・突然のサプライヤー停止に肝を冷やした、現役の資材調達・購買担当者
・自社のBCP（事業継続計画）に、サイバーリスクを本気で盛り込みたいと考えている危機管理担当者
・サプライチェーン全体の脆弱性に気づき始め、「何か手を打たねば」と感じている経営層の方々

なんでこんな大ごとに？事件のからくりを解説します

この一件って、今の時代の「サイバーサプライチェーンリスク」っていうもののヤバさを、まざまざと見せつけてくれた気がします。

データを人質に取る、たちの悪い犯行

そもそもアスクルで何が起きたかというと、「ランサムウェア」っていうタイプのサイバー攻撃でした。
これは、会社のデータを勝手に暗号化して、「元に戻してほしければ金払え」と脅迫してくる、データを人質に取る乗っ取り犯みたいなもんですね。

2025年10月19日にシステム障害が発覚して、受注も出荷も全部ストップ。
すでに入った注文も、悲しいかな、全部キャンセル扱いになってしまいました。

ランサムウェア攻撃の特徴

・データを暗号化して身代金を要求
・最近は「二重恐喝」が主流（データを盗み、暴露すると脅迫）
・アスクル事件では約1,579万件のアカウントに影響の可能性

最近のランサムウェアはさらに悪質で、データを盗んだ上で「言うこと聞かないと、この情報ばらまくぞ」と脅す「二重恐喝」が当たり前。
アスクルの場合、影響を受ける可能性のあるアカウントが、なんと約1,579万件！？もう、想像するだけでゾッとしません？

つながってるからこそ、もろい。サプライチェーンの弱点

この事件で一番考えさせられたのは、アスクルだけの問題じゃなかったってことです。
全然関係ないはずの無印良品やロフトみたいな大手まで巻き込まれて、事業がストップした。
これがほんとに怖い。

1. 一点集中しすぎた物流:
   実は無印良品、ネット通販の物流の大部分を、アスクルの子会社であるASKUL LOGISTに任せっきりだったみたいです。
   
2. ドミノ倒しの発生:
   その結果、親会社のアスクルがダウンした影響で、配送拠点であるASKUL LOGISTも機能停止。
   一つの拠点が止まったせいで、無印良品のネットストアも完全に止まるっていう、最悪のパターンでした。
   
3. 信じてた「約束」の崩壊:
   「注文すれば、明日にはちゃんと届く」っていう、みんなが信じてたアスクルの約束が、あっけなく崩れ去った瞬間です。
   法人客の仕事は止まるし、個人のお客さんは不安になるしで、大混乱でした。

これぞまさに、セキュリティの甘いところを経由して、最終的な目標に大ダメージを与えるサプライチェーン攻撃の典型例。ほんと、他人事じゃないですよ。

復旧は、思ったよりずっと長い道のり

過去のKADOKAWAや小島プレスの例なんかの例を見ても、こういうのって、システムの安全を全部確認して、また攻撃されないように対策して…ってやってると、復旧までに数週間から数ヶ月かかるのがザラなんです。

データを元に戻せばOK！なんて単純な話じゃ、まったくない。
焦って再開したら、また同じことの繰り返しになるリスクだってありますからね。正直困った話です

じゃあ、私たち調達担当は、あの時どう動くべきだったのか？

こんな大事件が起きたとき、私たち資材調達・購買部門のミッションは、ただ一つ。
「何があっても、自社の事業を止めないこと」。これに尽きると思うんです。

(1) まずは、落ち着いて情報収集と代替手配！

パニックになっても仕方ない。まずやるべきは、状況把握と次の手を打つことでしょう。

ステップ1: 現状を正しく知る、そして伝える

まずはどの部品が注文中で、いつまでに必要なのか。
自社への影響を正確に把握する。これが第一歩。

そして、そのヤバい状況をすぐに社内の関係部署（生産とか営業とか、もちろん上司にも）に伝える。
明日にもほしい商品かもしれません。スピードが命です。

ステップ2: 「次善の策」を即実行（マルチソース）

アスクルがダメなら、もう「MonotaRO」「たのめーる」や「Amazonビジネス」もしくは、付き合いのある商社で買うしかない！ってなりますよね？
この強制的な「お試し期間」に備えて、普段から複数の仕入先を持っておく（マルチソース化）っていう準備が、ここで活きてくるわけです。

アスクルは基本的に汎用品ですが、特に、「これがないと本当に生産が止まる！」っていう特別な部品（ボトルネック品目）なんかがあれば、最優先で代わりの調達先を探さないといけません。

ステップ3: 「うちの在庫、あと何日もつ？」を計算

万が一のために持っていた在庫（安全在庫）で、どれくらいの期間しのげるのか？
復旧まで在庫がもつのか？を冷静に計算。
ダメそうなら、代替品での生産に切り替える判断も必要になります。

(2) これからは、取引先のセキュリティ体制もちゃんと見る

今回の件は、モノを作るメーカーじゃなくて、物流っていう「サービス」の会社が狙われたケース。
これからは、取引先のリスク管理に「情報セキュリティ」っていう項目を、絶対に入れないとダメですね。

• 取引先の「そのまた取引先」まで知っておく
  自社のサプライチェーンって、どこまでつながってるのか？をちゃんと把握して、関係図を見える化しておく。
  ふと、そんな必要性を感じました。特に、事業への影響がデカい重要なサプライヤーについては、財務状況とかだけじゃなくて、情報セキュリティはちゃんとしてる？ リスク管理どうなってる？ っていう視点で評価すべきだと思うんです。
  
• 「もしも」の時の計画、持ってますか？と聞く勇気
  これからは取引先を選ぶとき、「サイバー攻撃みたいなヤバい事態になったとき、ちゃんと動ける計画（BCP）ありますか？」って聞くのが当たり前になるでしょうね。
  国（経済産業省）も「発注側が取引先にセキュリティ対策を求めるのは、全然問題ないですよ」って言ってるくらいですから、IPAのガイドラインなんかを参考に、堂々と確認していくべきです。

この苦い経験から、私たちが本気で学ぶべき3つのこと

今回の事件は、セキュリティがIT部門だけの問題じゃないってことを教えてくれました。
私たち調達部門の仕事の根幹である、事業継続（BCP）とサプライヤーマネジメントに直結する、経営レベルの話なんです。

教訓１：「うちは大丈夫」は、もう通用しない

ある会社のCEOが言っていたそうですが、高度なサイバー攻撃って「起きるか、起きないか」じゃなくて、「いつ起きるか」だけの問題らしいです。

アスクルみたいな大企業ですらやられるんですから。
ましてや、取引先の弱いところを狙われたら、防ぎきるのはめっちゃ難しい。「うちは大丈夫」なんて思ってたら、ほんまに足元をすくわれます。

サイバー攻撃は「IF（もし起きたら）」の問題ではなく、
「WHEN（いつ起きるか）」の問題として捉え、備えを怠らないことが重要です。

教訓２：セキュリティは「鎖」と一緒。一番弱いところで切れちゃう

サプライチェーンのセキュリティ強度って、結局、その中で一番弱い部分（最も弱いリンク）で決まっちゃう。鎖が一番弱い輪っかのところで切れるのと同じ理屈です。

自社だけガチガチに固めても、業務を委託している取引先の警備がザルだったら、そこから全部崩れちゃう。ASKUL LOGISTの例が、まさにそれでした。
これからは、取引先のセキュリティ強化を支援するくらいの気持ちが必要なのかもしれません。

教訓３：最強の防御は、殴られてもすぐ立ち直れる「打たれ強さ」

正直な話、攻撃を100%防ぐのは、もう無理な時代な気がします。
だとしたら、大事なのは「やられた後に、いかに早く気づいて、いかに早く立ち直れるか（レジリエンス）」。
要は、打たれ強さを鍛えておこうって話です。

レジリエンス（回復力）を高める3つの柱
1. 検知力：異常を早期に発見する仕組み（監視システム、XDR等）
2. 対応力：インシデント発生時の手順書と訓練の実施
3. 復旧力：バックアップ体制と代替調達ルートの確保

• 「インシデントレスポンス計画の整備
  攻撃を受けてから「さあ、どうしよう」では遅すぎます。
  誰が指揮を執り、どこに連絡し、どのシステムから復旧させるのか。
  その手順を平時から明確に定義し、実際に訓練しておくことが、パニックを防ぎ、被害を最小限に抑える唯一の方法です。
  
  
• 契約書で「もしも」の約束を交わしておく
  サプライヤーとの契約に、「トラブった時、どうする？」「責任の範囲は？」「お金の負担は？」みたいなことを、ちゃんと書いておくのが大事。
  こういう地味な作業が、後で自分たちを助けてくれます。
  
  
• 調達ルートを複数持っておく
  やっぱり、一つの会社に頼りすぎるのはリスクが高い。
  仕入先を複数に分けたり、違う地域の会社とも取引したりして、柔軟性を高めておくべきですね。
  重要な部品については、代わりの調達先候補のリストを毎年更新しておく、とか。
  そういう平時からの具体的な準備が、いざという時にものを言うんです。
  

まとめ：今日から始める、未来を守るための第一歩

このアスクルランサム事件は、セキュリティ対策が単なるITコストではなく、企業のブランド価値と事業継続を守るための、極めて重要な投資であることを私たちに教えてくれました。

ならば私たちはどう行動すべきでしょうか。
難しく考える必要はありません。今すぐできることは、ほんの少しの行動から始まります。

• ステップ1：最重要サプライヤーを3社書き出す
  まず、自社の事業にとって「この会社が止まったら、うちも止まる」という最重要サプライヤーを3社だけリストアップし、その影響を具体的に想像してみてください。
  
• ステップ2：契約書をめくってみる
  次に、その3社との契約書を引っ張り出し、「サイバー攻撃」や「情報セキュリティ」に関する項目があるか、ただ確認するだけで結構です。
  
• ステップ3：IT部門の担当者と30分だけ話す
  最後に、社内のIT部門やセキュリティ担当者に「うちの主要な取引先のセキュリティって、大丈夫そうですかね？」と、コーヒーでも飲みながら雑談ベースで聞いてみてください。

サプライチェーン全体でこの脅威に立ち向かう。
そんな強い組織を作っていくことが、今の私たちに一番求められていることなのかもしれません。