大手ECサイト「LOHACO(ロハコ)」を運営するアスクル株式会社で発生した個人情報流出問題は、多くの利用者にとって大きな不安要素となっています。特に、この事件に便乗し、ユーザーの不安を煽って情報を盗み取ろうとする不正メールやフィッシング詐欺が増加しているのが現状です。
本記事では、「LOHACO 個人情報流出」問題の概要を公式発表に基づいて確認しつつ、お客様が今すぐ取るべき具体的な自衛策、特に巧妙化する不正メールの手口と確実な対策方法について詳しく解説します。
2025年10月、LOHACOのシステムを運営するアスクル株式会社が、ランサムウェア攻撃によるシステム障害と情報流出の可能性を公表しました。この事態は、単なるECサイトの停止に留まらず、多くの顧客情報が外部に流出した可能性があるという重大なセキュリティインシデントです。
ランサムウェア攻撃は、企業システムを暗号化して使用不能にし、身代金を要求するサイバー攻撃の一種です。アスクルは2025年10月19日にこの攻撃によるシステム障害を確認し、関連するサービスの停止を余儀なくされました。このシステム停止は、物流や受注、出荷システムにも影響を及ぼし、利用者にご注文の遅延やキャンセルといった形で多大な影響を与えました。
この攻撃の過程で、顧客情報の一部が外部に流出した可能性が確認され、サービス復旧と並行して影響範囲の特定が進められています。システム障害から情報流出に至るまでの詳細な経路については、現在も外部の専門機関と連携し、徹底的な調査が行われています。
LOHACOを始めとするサービスで、流出が確認された情報や流出の可能性がある情報には、主に顧客からの問い合わせ情報の一部が含まれています。
流出が確認された情報: 氏名、メールアドレス、電話番号、住所、お問い合わせ内容、過去の注文に関する情報など、顧客が問い合わせフォームやメールなどを通じて提供した情報の一部。特に、問い合わせ内容は具体的な商品やサービス利用状況に関する情報を含むため、悪用されるとより巧妙な手口の詐欺に繋がる可能性があります。
クレジットカード情報について: LOHACOの決済システムは、セキュリティを重視し、お客様のクレジットカード情報をLOHACOのサーバーを経由せずに直接カード会社や決済代行サービスへ送信する仕組み(非保持化)を採用しています。そのため、顧客のクレジットカード情報は流出対象には含まれていません。(これは公式発表に基づいています)この点は、LOHACO利用者の間で最も懸念される事項の一つであったため、公式発表で明確にされています。
件数は調査の進展に伴い変動していますが、数万件以上の規模に及ぶ可能性が指摘されており、影響を受けた顧客への個別の連絡や公表が随時行われています。企業は、対象となる顧客を特定し次第、速やかにお詫びと注意喚起の連絡を実施しています。
流出情報の大半は、過去にLOHACOや関連サイトのカスタマーサポート等を利用した際の問い合わせ情報です。この情報には、氏名やメールアドレス、電話番号といった個人を特定できる情報が含まれているため、これらが詐欺やなりすましに悪用されるリスクがあります。
影響を受けた顧客は、過去にサービスを利用し、特にカスタマーサポートとのやり取りを行った方々が中心となります。しかし、流出の可能性が指摘されている以上、念のためすべてのLOHACO利用者が自身のメールボックスや不審な連絡に対して警戒を強める必要があります。流出の範囲が広範囲に及ぶ可能性があることから、自分が対象者でなくても、十分な対策を講じることが賢明です。
今回のインシデントは、ランサムウェアを用いた外部からのサイバー攻撃が原因とされています。近年、ランサムウェア攻撃は高度化しており、単に企業のシステムを麻痺させるだけでなく、攻撃対象の機密データを盗み出し、それを公開すると脅して金銭を要求する「二重脅迫(ダブルエクストーション)」の手口が主流です。
今回の情報流出も、この二重脅迫の過程で、窃取された情報の一部が外部の攻撃者によって持ち出された可能性が高いと見られています。攻撃者は、盗み出した情報(氏名、メールアドレスなど)を、次に解説するフィッシング詐欺の「種」として利用することが予想されます。
アスクル株式会社は、システム障害確認後、迅速に事態の把握と対応を進めており、最新情報は公式ウェブサイトやプレスリリースで確認できます。
公式発表は、主に以下の点で構成されています。これらの発表は段階的に行われ、事態の深刻度と対応の進捗に合わせて情報が更新されています。
システム障害発生の経緯と原因(ランサムウェア攻撃): 攻撃を確認した日時、それによるシステムの機能停止状況。
情報流出の事実確認と、流出した情報の種類: 調査の結果、情報が外部へ流出した可能性があること、そしてその具体的な内容(主に問い合わせ情報)。
クレジットカード情報が流出対象外であることの強調: 決済情報の安全性を巡る誤解や懸念を払拭するため、非保持化の仕組みを改めて説明。
関係当局(個人情報保護委員会など)への報告完了: 個人情報保護法に基づき、行政機関への報告義務を果たしていること。
お客様への謝罪と今後の対応方針: 顧客への謝罪の表明、および再発防止に向けたセキュリティ強化策の実施。
システム障害発生後、LOHACOは一部のサービスを停止していましたが、外部専門家の協力のもと、システムへのマルウェア駆除、脆弱性診断、再発防止のためのセキュリティ対策強化を徹底的に実施しました。安全性が確認されたシステムから順次、商品の出荷やサービス再開に向けたトライアル運用を開始し、段階的なサービス復旧を目指しています。最新のサービス状況や全面再開の見通しについては、必ずLOHACOの公式ウェブサイトの「重要なお知らせ」ページで確認してください。
流出の影響を受けた可能性のある顧客に対しては、企業から個別の連絡(メールまたは郵送)が実施されています。
個別連絡の内容: お客様が流出対象に含まれているか否か、流出した可能性のある情報の内容、企業側の対応、そしてお客様が取るべき行動(例:パスワード変更推奨など)が明確に記載されています。
ご注文キャンセル: システム障害により、注文情報が失われたり、物流が停止したりした影響で、一部の注文が処理できずキャンセルとなる事態も発生しました。これに関する案内も、別途、個別に通知されています。
【重要】公式の連絡は特定のドメインや専用の窓口から行われます。アスクルやLOHACOを名乗る不審な連絡には、絶対に情報を入力したり、返信したりしないよう、十分注意してください。
LOHACOの個人情報流出というニュースは、サイバー犯罪者にとって格好の餌食となります。顧客の不安につけ込み、LOHACOやアスクルを装った不正メール(フィッシングメール)が確実に増加します。流出した個人情報の一部(氏名、メールアドレス)が利用されることで、その手口はさらに巧妙化しています。
不正メールは、流出した個人情報の一部(氏名やメールアドレス)を使ってより本物らしく見せかけ、受信者をだまそうとします。
件名で不安を煽る: 「重要なお知らせ:【緊急】パスワード変更のお願い」「ご注文のキャンセルが確認されました」「情報流出に関する緊急連絡」「補償手続きに関するご案内」など、緊急性や金銭的な不安を煽る表現が多用されます。これにより、受信者は冷静な判断を失いやすくなります。
偽のウェブサイトへ誘導: 「セキュリティ強化のため」「情報確認のため」「補償を受けるため」と称して、正規のLOHACOサイトとそっくりな偽のログインページや個人情報入力フォームのURLをクリックさせようとします。この偽サイトで入力したIDやパスワード、クレジットカード情報などが、犯罪者にリアルタイムで盗み取られます。
本文の巧妙な作り込み: 流出した氏名や過去の取引に関する断片的な情報を本文に挿入し、「あなた宛ての正規のメールである」と信じ込ませる「スピアフィッシング」の手口が用いられる可能性があります。わずかに日本語がおかしい、ロゴが粗い、送信元のメールアドレスが公式と違うなど、細かな違和感がないか、冷静にチェックすることが極めて重要です
便乗した不正メールやフィッシング詐欺から身を守るには、以下の基本的な対策を、この機会に徹底することが重要です。
| 対策内容 | なぜ必要か | 実施する際のポイント |
|---|---|---|
| メール内のリンクは絶対にクリックしない | 偽サイトへ誘導する最も一般的な手口です。メール内のリンクは常に疑い、クリックする前にURLをよく確認してください。 | スマートフォンでは、リンクを長押ししてURLを表示させ、LOHACOの正規ドメイン( |
| 公式サイトをブックマークし、そこからアクセスする | LOHACOに関する重要な確認やログインは、必ず自分でブックマークした公式URLや、検索エンジンで公式だと確認したURLから行ってください。 | 検索結果の上位に表示される広告リンクも、フィッシングサイトの場合があるため注意が必要です。 |
| パスワードの使い回しをやめる | 流出した情報にパスワードが含まれていなくても、他のサービスで同じパスワードを使っていると芋づる式に被害が拡大します(パスワードリスト攻撃)。 | LOHACOで使っていたパスワードは、他のどのサービスとも異なるものに設定し直しましょう。 |
| 二段階認証・二要素認証を利用する | LOHACOやその他の主要サービスで利用できる場合は必ず設定しましょう。ID・パスワードが盗まれても、スマートフォンなど別手段による認証が求められるため、第三者のログインを防げます。 | SMS認証だけでなく、可能であれば認証アプリ(Google Authenticatorなど)を利用することがより安全です。 |
| セキュリティソフトを最新の状態に保つ | ソフトウェアは、既知のフィッシングサイトへのアクセスを検知・ブロックしてくれる機能や、マルウェア感染を未然に防ぐ役割を果たします。 | OSやブラウザ、アプリのアップデートも、セキュリティの脆弱性を解消するために欠かせません。 |
不正メールを受け取った場合の正しい対処法を理解し、冷静に行動することが被害を防ぎます。
メールを無視し、すぐに削除する。:不安な気持ちに駆られても、記載内容を信じ込まず、まずは無視してください。
開封してしまった場合でも、メールに記載されたリンクは絶対に踏まない。:リンクをクリックすると、個人情報を抜き取られたり、ウイルスに感染したりする可能性があります。
万が一情報を入力してしまった場合は、すぐに公式サイトから正規の手順でパスワードを変更する。:クレジットカード情報を入力した場合は、すぐにカード会社に連絡し、カードの利用停止手続きを行いましょう。
LOHACO(アスクル)からの連絡を装った不審なメールは、公式に提供されている専用の窓口に通報しましょう。:これにより、他のユーザーへの被害拡大を防ぐことができます。
流出の対象者として通知を受け取った場合、また通知がなくてもLOHACOのヘビーユーザーである場合は、被害を最小限に抑えるための積極的な行動をとる必要があります。
LOHACOおよび関連サービスのパスワード変更:
流出情報にパスワードが含まれていない場合でも、万が一に備え、LOHACOで使用しているパスワードを即座に変更してください。特に、英数字と記号を組み合わせた、複雑で推測されにくいパスワードを設定することが推奨されます。
特に重要: そのパスワードを他のウェブサイトやサービスで使い回している場合は、すべてのサービスで異なるパスワードに変更してください。これが最も重要な自衛策の一つです。
不審な請求や取引のチェック:
クレジットカードや銀行口座の利用明細を細かく確認し、身に覚えのない請求がないか、不審な引き落としがないか日常的にチェックする習慣をつけましょう。情報流出から時間が経って悪用されるケースもあります。
身元確認の通知に注意:
自宅に「LOHACOやアスクル」を名乗る人物から電話がかかってきたり、不審な郵便物が届いたりした場合は、個人情報を教えたり、金銭を要求されても絶対に支払いに応じたりしないでください。企業が電話でパスワードや機密情報を尋ねることはありません。
情報流出の当事者になると、自分の個人情報が悪用されるのではないかという強い不安や、企業に対する怒り、あるいは自分自身のセキュリティ意識への無力感を感じることがあります。
過度に自分を責めないこと: セキュリティ侵害は企業が管理すべき責任であり、ユーザーが自己責任だと感じる必要はありません。
情報過多を避ける: ニュースやSNSでの情報に過度に触れ続けると不安が増大する場合があります。信頼できる公式情報のみを確認し、デジタルデトックスの時間を設けることも大切です。
相談窓口の利用: 企業が設けている専用の相談窓口や、自治体の消費者センター、警察のサイバー犯罪相談窓口などを利用して、不安な気持ちを話したり、具体的な被害の相談を行うことも大切です。
大規模な情報流出は、企業の信頼性に大きな影響を与えます。今後の株主優待やサービスの継続性、さらにはブランドイメージの回復には時間がかかることが予想されます。
サービスへの影響: システム復旧後も、LOHACOはセキュリティ監査と対策を継続するため、一時的にサービス内容や機能の一部が制限される可能性があります。
ユーザーとしての監視: ユーザーとしては、企業が公表するセキュリティ強化策、再発防止策、そして顧客への補償や対応方針について、公式発表を継続的にチェックしていくことが重要です。
アスクル株式会社は、今回の事態に対し、原因究明と再発防止策を徹底することで、顧客からの失われた信頼を回復させるという重い責任を負っています。特に、今回の流出が「問い合わせ情報」という、顧客が信頼して提供した情報であっただけに、その責任は重大です。
そのプロセスにおいて、透明性の高い情報公開と、被害顧客への真摯な対応、そして何よりも二度とこのような事態を起こさないための具体的な投資と実行が求められます。
企業側は、今回のランサムウェア攻撃を踏まえ、今後、以下のようなセキュリティ対策を抜本的に強化していく見込みです。
多層防御の導入: 侵入、検知、対応の各段階でセキュリティを強化し、単一の防御壁が破られても被害が拡大しない構造を構築します。これには、最新のEDR(Endpoint Detection and Response)や次世代ファイアウォールの導入が含まれます。
データの暗号化とアクセス制御: 顧客情報を扱うシステムにおけるデータの暗号化を徹底し、最小限の権限を持つ従業員のみがアクセスできるよう、厳格なアクセス制御ポリシーを適用します。
従業員の教育徹底: テクノロジーだけでなく、社員一人ひとりのセキュリティ意識が重要です。フィッシング詐欺や不審な操作に対する訓練を定期的に行い、ヒューマンエラーによる情報漏洩リスクを低減します。
システムの定期的な監査: 外部の専門家による脆弱性診断やセキュリティ監査を継続的に実施し、システムに潜在するセキュリティホールを早期に発見し、修正する体制を確立します。
今回のLOHACO 個人情報流出問題は、企業だけでなく、私たち利用者自身が情報セキュリティの重要性を再認識する「教訓」となります。
どんなに大手企業が万全の対策を講じても、サイバー攻撃や不正メールの手口は日々進化しています。企業側の対策だけに頼るのではなく、私たち自身がセキュリティの「最後の防衛ライン」になるという意識を持つことが不可欠です。
「おかしい」と感じたときに立ち止まる、メールのリンクはクリックせず公式サイトで確認するという自己防衛の意識を常に持つことが、あなたの個人情報を守る最後の砦となります。
LOHACOの個人情報流出問題は、ランサムウェア攻撃という高度な外部要因によるものであり、アスクル株式会社は現在、システム復旧と再発防止策に尽力しています。
最も注意すべきは、この事件に便乗して送られてくる巧妙な不正メール(フィッシング詐欺)です。LOHACOの利用者は、公式発表を冷静に確認し、メール内のリンクを不用意にクリックしない、パスワードの使い回しを避けるといった基本的な自衛策を徹底してください。
もし不安を感じたり、具体的な被害の兆候があったりする場合は、LOHACOが設置した専用窓口や、国民生活センターなどの公的機関に速やかに相談しましょう。この機会にセキュリティ意識を高め、不正な手口から大切な個人情報を守りましょう。