アサヒへのサイバー攻撃、業界「共倒れ」の教訓

by nicoxz
#サイバーセキュリティ #ランサムウェア #サプライチェーン #アサヒ #企業リスク

はじめに

2025年9月29日、アサヒグループホールディングス(GHD)がランサムウェア攻撃を受け、基幹システムが停止しました。受注・発注・出荷業務が完全に止まり、ビールや飲料の供給に深刻な支障が生じました。

注目すべきは、この攻撃の影響がアサヒだけにとどまらなかった点です。アサヒの供給停止を補おうと、キリン、サントリー、サッポロへの注文が殺到。各社の生産能力を超える需要が発生し、業界全体が「共倒れ」の危機に直面しました。

本記事では、この事件の経緯と、日本企業のサプライチェーンが抱える構造的リスクを解説します。

事件の経緯

ランサムウェア「Qilin」の攻撃

2025年9月29日午前7時頃、アサヒGHDのシステムに異常が検知されました。10月3日、同社は障害の原因がランサムウェア攻撃であることを発表。10月7日には、ロシア系とされるハッカー集団「Qilin(キーリン)」が犯行声明を出し、アサヒの内部文書の一部と主張する画像を公開しました。

Qilinの主張によると、財務情報、事業計画書、従業員の個人情報など約9300ファイル、総容量27GBのデータが窃取されたとのことです。

191万件超の個人情報流出

11月27日の記者会見で、アサヒGHDは計191万4000件の個人情報が流出した可能性があることを公表しました。従業員の情報や、傘下企業のお客様相談室に問い合わせをした消費者の情報が含まれています。

受発注システムは約2カ月間使用不能となり、手作業での対応を余儀なくされました。12月3日からシステムを活用した受注・出荷業務を再開しましたが、完全復旧は2026年2月を見込んでいます。

侵入経路はVPN

侵入経路については「拠点にあるネットワーク機器を通過」と説明されています。事後の対策としてVPN(仮想私設網)の廃止が行われていることから、VPN機器の脆弱性が悪用されたと推測されています。

これは他の多くのランサムウェア攻撃と共通するパターンです。警察庁のデータによると、ランサムウェアの感染経路の63%がVPN機器からの侵入です。

業界全体に広がった影響

競合他社への注文殺到

アサヒのビール出荷が停止したことで、飲食店やコンビニ、スーパーでアサヒ製品が品薄に。小売店は欠品を補うため、キリン、サントリー、サッポロへの発注を増やしました。

しかし、各社は急な需要増に対応できませんでした。サッポロビールとサントリーは10月6日までに一部商品の出荷制限を開始。キリンビールも同月9日から制限に踏み切りました。

ギフト商品の販売休止

各社は定番商品の供給を優先するため、歳暮用のギフト商品の販売を一部休止。キャンペーンの延期や中止も相次ぎました。本来は競合関係にある企業同士が、同時に影響を受けるという異例の事態となりました。

アサヒの業績への打撃

アサヒの10月売上高は、ビールが前年比約1割減、飲料が約4割減、食品が約3割減と大幅なダメージを受けました。11月のビール売上は7割台後半まで回復しましたが、10〜11月累計では前年比8割台半ばにとどまっています。

露呈したサプライチェーンの脆弱性

余力ゼロの最適化モデル

今回の事件で明らかになったのは、日本の飲料業界全体が「余力ゼロ」の状態で運営されていたという現実です。

効率を追求するあまり、各社は生産能力に余裕を持たないジャストインタイムモデルを採用してきました。平常時には効率的なこの仕組みが、一つの大きな衝撃で全体が機能不全に陥るリスクを内包していたのです。

密接に結びついたサプライチェーン

巨大企業同士は独立しているように見えて、実際にはサプライチェーンの負荷が密接に結びついていました。原材料の調達先、物流網、さらには消費者の需要が相互に影響し合う構造になっています。

アサヒGHDに資材や原料を供給していた企業は供給量を減らさざるを得なくなり、その影響は川上から川下まで連鎖しました。

IT効率化の「弊害」

今回の事件は、IT効率化が抱える弊害も浮き彫りにしました。アサヒGHDは攻めのIT戦略を推進し、業務の効率化とコスト削減を進めてきました。しかし、その過程でセキュリティ対策が十分でなかった可能性が指摘されています。

専門家からは「形だけのセキュリティ対策」「基本のキでつまずいた」との厳しい評価も出ています。

日本企業が学ぶべき教訓

サプライチェーン全体のリスク管理

情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025」では、ランサムウェア被害が10年連続で1位、サプライチェーン攻撃が2位となっています。

2025年上半期だけで、国内で公表されたセキュリティインシデントは247件に達しました。1日あたり約1.4件のペースです。特に注目すべきは、不正アクセス事案の約30%が、業務委託先やグループ会社への攻撃による「二次被害」だったことです。

VPN機器の脆弱性対策

アサヒの事例に限らず、VPN機器の脆弱性を悪用した攻撃は急増しています。2022年には大手自動車メーカーの国内14工場が、サプライヤーのVPN機器経由で攻撃を受け操業停止に追い込まれました。

定期的なセキュリティアップデートの適用、多要素認証の導入、ゼロトラストモデルへの移行など、基本的な対策の徹底が求められます。

バックアップと復旧計画

ランサムウェア攻撃への最も有効な対策の一つが、定期的なバックアップです。自社サーバーとクラウドストレージなど、物理的に分離された場所へデータを保持することで、被害発生時の迅速な復旧が可能になります。

また、復旧計画(BCP)を事前に策定し、定期的な訓練を実施することも重要です。アサヒの場合、手作業での受注・出荷対応を行いましたが、その体制構築に時間を要しました。

注意点・展望

サプライチェーンリスクマネジメントの重要性

2024年2月にNIST CSF(サイバーセキュリティフレームワーク)がバージョン2.0に改訂され、「ガバナンス」が新たに追加されました。サプライチェーン全体のリスク管理(SCRM)についても明確化され、今後ますます重要性が増すと考えられています。

契約書にセキュリティ要件を明記し、取引先にも対策を義務付けることが有効です。自社だけでなく、パートナー企業や子会社を含めたセキュリティ体制の構築が求められます。

「2025セキュリティ十大ニュース」1位に

日本ネットワークセキュリティ協会(JNSA)が発表した「2025セキュリティ十大ニュース」では、アサヒGHDやアスクルへのランサムウェアによる大規模障害が1位に選ばれました。

この事件は、日本企業全体にサイバーセキュリティの重要性を再認識させるきっかけとなりました。「明日は我が身」という意識で、対策を見直す企業が増えています。

まとめ

アサヒGHDへのランサムウェア攻撃は、一企業の問題にとどまらず、飲料業界全体を「共倒れ」の危機に陥れました。効率を追求したサプライチェーンが、一つの衝撃で連鎖的に機能不全を起こすリスクが露呈した事件でした。

日本企業はこの教訓を活かし、自社だけでなくサプライチェーン全体のセキュリティ強化に取り組む必要があります。VPN機器の脆弱性対策、バックアップの徹底、復旧計画の策定が急務です。

参考資料:

関連記事

最新ニュース