日本大型B2B物流電商平台 Askul 於週末遭受勒索軟體攻擊,導致系統全面癱瘓,不僅自身三大電商平台停擺,更連帶影響無印良品(Muji)、Loft、Sogo & Seibu 等多家依賴其物流服務的知名零售商。這起事件暴露企業營運持續性管理(Business Continuity Management, BCM)的重大盲點:多數企業的 BCM 計畫著重於自身系統復原,卻忽略關鍵供應商失效的應變方案。
物流中樞遭攻擊 產業連鎖效應立現
根據 Askul 公司聲明,該公司於日本時間週日發現系統遭勒索軟體感染,被迫緊急關閉所有線上服務。受影響的包括其經營的三大電商平台:專營辦公用品的 Askul、家庭用品的 Lohaco,以及企業客戶專屬的 Soloel Arena。所有新訂單與用戶註冊功能全面暫停,既有出貨訂單被迫取消,客服系統也因服務中斷而無法使用。
Askul 在聲明中表示:「我們正在調查影響範圍,包括個人資料與客戶數據是否外洩,將在確認後立即通知。」該公司同時暫停產品退貨申請、收據郵寄、型錄配送及收款服務。Askul 隸屬於雅虎日本公司(Yahoo! Japan Corporation),是日本重要的企業對企業及企業對消費者物流服務供應商。
無印良品首當其衝 線上銷售全面停擺
年營收約40億美元(約新台幣1,200億元)的日本零售巨頭無印良品成為此次事件最大受害者之一。該公司週日晚間緊急宣布,因物流合作夥伴 Askul 營運中斷,被迫關閉日本境內所有線上銷售服務。受影響的服務包括線上商店瀏覽與購物、透過 Muji 應用程式查看訂單歷史記錄,以及部分網站內容顯示功能。
無印良品週一下午更新聲明指出,公司正在調查哪些出貨訂單受到衝擊,以確定攻擊發生前的訂單狀態,並透過電子郵件通知受影響客戶。由於 Askul 僅負責無印良品的日本國內物流,此次中斷僅影響日本地區業務。
除了無印良品,家居用品連鎖店 Loft 以及 Sogo & Seibu 百貨公司都回報線上訂單與部分產品出貨受到影響,顯示單一物流供應商的失效對整個零售產業造成系統性衝擊。
日本成為勒索軟體新戰場
這已是日本近期第二起重大勒索軟體事件。本月稍早,日本最大啤酒製造商朝日(Asahi)遭俄語系勒索軟體集團 Qilin 攻擊,導致生產中斷並延遲產品上市。另外,日本大型物流公司佐川急便(Sagawa Express)上週也通報客戶帳號遭未經授權登入。
營運持續性計畫的致命盲點
專家建議企業應重新審視 BCM 策略,納入三大關鍵要素。首先是供應商風險評估,企業需識別關鍵供應商並評估其資安成熟度,要求供應商提供資安認證、定期稽核報告。其次是多元化策略,避免單一供應商依賴,維持備用供應商或替代方案。第三是供應鏈演練,將供應商失效情境納入定期的 BCM 演練,測試應變能力。
這起事件對高度依賴供應鏈協作的台灣企業有三個重要啟示。第一,供應鏈資安需提升至董事會層級討論,納入企業風險管理框架。第二,在與關鍵供應商簽訂合約時,應明確規範資安要求,包括安全標準、事件通報時限、稽核權利等條款。第三,產業內企業應建立資安情資分享平台,及時通報供應鏈相關的資安威脅。
無印良品事件不僅是一起勒索軟體攻擊,更是企業供應鏈韌性的壓力測試。在數位經濟時代,企業需要更全面、更主動的供應鏈風險管理策略。只有將供應鏈風險納入整體營運策略,建立多層次的防護與應變機制,才能在日益複雜的威脅環境中維持競爭力。目前尚未有勒索軟體集團在勒索網站上公布 Askul 的資料。