アスクルは12月12日、ランサムウェア攻撃に伴うシステム障害に関する第13報で攻撃の影響調査の結果を公開し、攻撃の手口や被害範囲の詳細を明らかにした。 ■ 被害の範囲と影響 外部専門機関によるフォレンジック調査の結果を踏まえ、被害範囲と影響を整理した。なお、一部の通信ログやアクセスログが消失していたため、攻撃者が閲覧した可能性のある情報範囲を完全に特定することは困難という。 物流システムおよび社内システムでランサムウェア感染を確認し、一部データ（バックアップデータを含む）が暗号化され使用不能に。そのほか、一部データが攻撃者によって窃取・公開された。物流センターを管理運営する複数の物流システムと、同一データセンター内のバックアップファイルが暗号化され、復旧に時間を要したという。 アスクルの物流センターは自動倉庫設備やピッキングシステムなどが高度に自動化されているため、これらを制御する物流システムの停止で、出荷業務を全面停止する重大な影響が生じた。

被害範囲の概要図

また、外部クラウドサービスへの侵害も確認。問い合わせ管理システムのアカウントが何らかの形で窃取され、同システム内の情報の一部が窃取・公開されたという。一方、基幹業務システムやフロントシステム（顧客向けECサイト、パートナー向けサービス）は、侵害の痕跡を確認していないとしている。

■ 攻撃の手口と原因分析 攻撃者は業務委託先向けアカウントの認証情報を窃取・不正使用し、ネットワーク内部への侵入に成功したと推定した。6月5日に初期侵入が実行され、10月9日までの間にネットワーク内の偵察、複数サーバーへのアクセスに必要な認証情報の収集が実行されたと見られる。 7月9日から10月19日にかけて、EDR（PCやサーバーなどの端末のセキュリティ対細を担う仕組みの1つ）などの脆弱（ぜいじゃく）性対策ソフトを無効化。複数のサーバー間を横断的に移動して必要な権限を取得、ネットワーク全体へのアクセス権限を窃取したと見られる。今回の攻撃では複数種類のランサムウェアが使用され、当時のEDRシグネチャでは検知が困難なものも含まれていたという。