アサヒグループホールディングス（アサヒGHD）は、2025年秋に大規模なランサムウェア攻撃を受け、システム障害と個人情報の漏えいという事態に直面した。業務への影響が長引く中、アサヒGHDは段階的な復旧を進めるとともに、セキュリティーの強化、運用体制の再検討を急ぐ。記者会見で明らかになった事実をひも解き、中小企業も標的となりうる最新サイバー攻撃の傾向と今後求められる対策を考える。
（取材・文／南雲亮平）
 

ビジネスに大きく影響　受注作業は手作業に

　アサヒGHDは11月27日に開いた会見で、ランサムウェア攻撃により発生していたシステム障害について、グループ内の拠点にあるネットワーク機器を経由してデータセンターのネットワークに侵入され、データの暗号化が行われたと説明した。漏えいの恐れがある個人情報は191.4万件に上るという。

　同社が攻撃に気が付いたのは9月29日午前7時頃。同時刻に発生していたシステム障害について調査したところ、暗号化されたファイルが確認された。同日11時頃には、被害を最小限に抑えるためにネットワークを遮断し、データセンターの隔離措置を実施した。

　より詳しい調査の結果、具体的な日時は特定できないものの、システム障害発生の約10日前には、すでに攻撃者がネットワークに侵入していたことが分かった。攻撃者はデータセンターへの侵入後、「パスワードの脆弱性」（同社説明による）を突き管理者権限を取得。手に入れたアカウントでネットワーク内を探索し、業務時間外に複数のサーバーへの侵入と偵察を繰り返した。9月29日早朝にランサムウェアが一斉に実行され、ネットワークに接続されている起動中のサーバーやPC端末の一部のデータが暗号化された。

　この影響で、国内グループ各社のシステムによる受注・出荷業務が29日中に停止。出荷業務の停止に伴い、大半の工場で生産を一時停止した。取締役兼代表執行役社長の勝木敦志・Group CEOは、障害発生から約2カ月経った会見時点でも、「受注は依然として手作業で続けている」と説明した。

　被害を受けたシステムについては、不正アクセスやウイルス感染の原因・経路を突き止めるための外部専門機関による鑑識調査や、健全性検査、追加セキュリティー対策を経て、安全性が確認されたシステムと端末から段階的に復旧していく方針だ。

　復旧段階にあわせて受発注システムによる受注・出荷を再開していく。12月2日からはアサヒグループ食品で、3日にはアサヒビール・アサヒ飲料でシステムによる受注を再開。26年2月には、出荷できる商品に制限はあるものの、物流業務自体は全体で正常化を見込む。25年12月期の決算発表は延期する。

　11月27日時点で漏えいの恐れがある個人情報は、顧客相談窓口への問い合わせユーザーの氏名、住所、電話番号、メールアドレスなど152万件。祝電や弔電といった社外関係先が11万件、従業員・退職者の連絡先などが11万件、従業員家族の氏名や生年月日などが17万件となる。

　ランサムウェア攻撃の特徴の一つである身代金について、同社は攻撃者と接触しておらず、支払いにも応じていないという。支払っても完全復旧できる保証がない、他の攻撃リスクが増す、反社会的勢力への資金提供になる懸念から、要求があっても断る方針を示している。
 

侵入口はVPN？EDRでも検知できず

　アサヒGHDは、今回の攻撃以前から、グループ全体のエンタープライズリスクマネジメントの中でサイバーリスク対策を進めていた。具体的な防御策として勝木Group CEOが挙げたのは、EDR（Endpoint Detection and Response）の導入や、外部のホワイトハッカーの疑似攻撃によるリスク検知と対策。さらに、米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークに準拠しており、「必要かつ十分な対策をとっていた」と振り返る。ただ、侵入口として利用されたのは既知の脆弱性であるとの認識を示し、「これ以上できなかったのかということで言えば、できたのだろう」と総括した。

　会見では、具体的な侵入経路について明確な説明はなかった。しかし、今回の件で犯行声明を出したランサムウェアグループのQilin（キリン）は、攻撃時にVPN機器の脆弱性を突く傾向がある。加えて、勝木Group CEOは「復旧の過程でVPNについては廃止した」と説明している。事実、VPN機器の脆弱性を突かれたかとの問いに対して、勝木Group CEOは「侵入口については非常に重要な情報であり、機密にあたるため申し上げられない」としながらも「おそらく、皆さんのご想像にそれほど違わない」と語り、VPNに起因することを示唆した。

　再発防止に向けてはセキュリティー対策の継続的な改善と強化に乗り出す。システム面においては、通信経路とネットワーク制御の抜本的な再設定を実施し、接続制限を厳格化した。特にメールやWebアプリケーションを含むインターネット経由の外部接続については、外部とのアクセス制限を強化するなど「ゼロトラストの概念に従い、より安全なネットワークを構築した」（勝木Group CEO）という。VPNは今回の事件を受けて廃止した。

　セキュリティー監視の仕組みも全面的に見直した。個々のサーバーなどのEDRをより強化することで、不審な挙動や攻撃の検知精度を向上。異常を早期に発見し、被害の拡大を防ぐ体制を整える。万が一、再びインシデントが発生した場合にも迅速な復旧を可能とするため、バックアップ戦略や事業継続計画（BCP）を再設計し、速やかに実装する。

　技術的な対策に加え、組織全体のセキュリティーガバナンスも強化する。具体的には、セキュリティー水準を継続的に見直すほか、実効性のある社員教育の実施、外部監査の定期的実施を通じて、組織全体でセキュリティー意識と体制を維持・向上させていく方針だ。

攻撃を防ぐだけでなく被害を抑える対策が必要

　警察庁サイバー警察局のデータによると、25年上半期におけるランサムウェアの被害報告件数は116件と、半期の件数として過去最多の水準で推移している。ただ、米Cybereason（サイバーリーズン）日本法人のマーケティング本部の菊川悠一・ディレクターは、この数字は「氷山の一角。被害金額は右肩上がり」との見解を示す。また、報告されているケースだけを見ても、被害に遭った半数以上が中小企業であり、大企業が狙われやすいという認識は誤りだという。
 
　被害の背景には、攻撃を実行しやすい環境がある。ランサムウェアの開発・運営者が攻撃実行者にツールを提供する見返りとして身代金の一部を受け取る「RaaS（Ransomware as a Service）」の広がりや、侵入口情報の売買、企業のネットワークに侵入するための認証情報の売買など、複数の関与者が役割を分担するモデルにより、高度な専門知識を持たずとも攻撃を実行できるようになっている。

　ランサムウェア攻撃は、データを暗号化するだけでなく、窃取したデータを「対価を支払わなければ当該データを公開する」と脅す二重恐喝の手口が多い。攻撃初期にダークWebのリークサイトに情報を掲載するのは、ターゲット企業に侵入しデータを窃取したことを証明するためだ。ただ、菊川ディレクターは「身代金は支払わないほうがいい」と話す。

　理由については、アサヒGHDの考えと同様に「元に戻る保証はない」からだ。「元に戻らないと使用されたRaaSの信頼が落ち、身代金を払ってもらえる可能性が下がるため、復元をサポートする体制を整えたRaaSもある」としながらも「サポートされても、暗号化が乱暴で復元に時間がかかるケースや、暗号化を失敗して復元できないケースもある」と指摘。重要なのは、暗号化される前の対策だ。

　ランサムウェア攻撃への対策は、侵入を防ぐ「予防策」と、侵入後の被害を最小限に抑える「検知・対応・復旧策」の両面から強化する必要がある。

　まず、VPNやリモートデスクトップなど、外部に公開されている機器については、ソフトウェアのアップデートや設定を常に最新に保ち、脆弱性を解消する。そして、外部アクセスや重要なシステムへのアクセスには、多要素認証の設定を有効化する。従業員に対し、パスワードの使い回しの禁止を徹底させることも予防策の一つだ。

　従来のアンチウイルス製品では検知が難しい巧妙な攻撃に対しては、エンドポイントの振る舞いを監視・検知するセキュリティー製品の導入が必須となる。さらに、複数の情報を相関分析するXDR（Extended Detection and Response）製品の活用も重要だ。これにより、攻撃の初期段階で侵害の兆候を捉え、端末の隔離など初動対応を行うことが可能になる。

　リソースが限られる中小企業においては、EDR／XDRのアラートを分析し、インシデント対応を行うMDR（Managed Detection and Response）サービスや、外部のSOC（Security Operation Center）サービスの利用も選択肢に挙がる。ランサムウェア攻撃は業務時間外に実行されるケースも多く、24時間365日の監視体制が不可欠だ。

　改ざん不能なバックアップや、ファイルだけでなくシステム全体のバックアップも欠かせない。ただし、今回のアサヒGHDの事例では、健全なバックアップデータがあるにも関わらず復旧には長い時間を要することが明るみとなった。万が一、これらの防御をすり抜けられ、サイバー攻撃を受けた場合を想定し、BCPを事前に策定し、インシデント対応体制を整備・訓練することも必要となる。