アサヒグループホールディングス（アサヒGHD）を襲った Qilin──手口と経緯の全貌

はじめに

2025年9月29日、アサヒGHDはサイバー攻撃によるシステム障害を公表しました。この事件はただのIT障害ではなく、後に「ランサムウェア（身代金要求型ウイルス）」による重大な攻撃であることが判明し、国内では例を見ない規模と影響を伴ったものです。約1週間後、犯行声明を出したのがランサムウェア・グループ Qilin であり、その手口や被害の全貌が徐々に明らかになっています。本記事では、「なぜ起きたか」「Qilin の手法」「被害のスケール」「教訓と対策」の観点から整理します。

---

Qilin とは何者か

• Qilin はロシア語圏のサイバー犯罪組織で、以前は「Agenda」という名称で活動していました。
• 彼らは「Ransomware as a Service（RaaS）」モデルを採用しており、自ら攻撃を実行するのではなく、「アフィリエイト（実行者）」にツールとインフラを提供し、成功報酬として身代金の一部を受け取る形態をとっています。
• 医療機関、建設業、食品加工、インフラなど多様な分野を標的にしており、欧米を含む世界中で攻撃を繰り返してきたグローバルな脅威です。

要するに、Qilin は単発ではなく 「広範囲かつ継続的に狙う」 — 企業／組織にとって看過できない存在です。

---

アサヒGHDへの攻撃：時系列と手口

📅 攻撃の流れ

日付	内容
9月29日	システム障害を検知。暗号化されたファイルを確認し、ネットワークを遮断。
10月3日	ランサムウェア攻撃と正式に認定。調査開始。
10月7日	Qilin が犯行声明を発表。27GBのデータを盗み出したと主張。
11月27日	約191.4万件の個人情報が漏洩または漏洩の可能性と公表。

🔓 侵入方法と展開手口

• VPN機器の脆弱性を悪用し内部ネットワークに侵入。
• 管理者権限を奪取し、夜間に複数サーバーを一斉暗号化。
• アサヒGHDは身代金支払いを拒否し、バックアップからの復旧を実施。

---

被害の規模と影響

個人情報漏洩の可能性

• 顧客・従業員など約191.4万件の個人情報が漏洩または漏洩の恐れ。
• クレジットカード情報は含まれず。
• 流出データの公開は確認されていない。

事業への影響

• 出荷・受注システムが停止し、物流が混乱。
• 主力商品の販売が前年比10〜40％減少。
• 決算発表が遅延、完全復旧は2026年2月見込み。

---

なぜ起きたか：防御の隙

• VPN・ネットワーク機器の設定不備やパッチ未適用。
• 特権アカウント管理・多要素認証（MFA）の不徹底。
• 内部ネットワーク監視の欠如。

教訓

「侵入を前提としたゼロトラスト体制」が不可欠。

---

今後の対策

• ゼロトラスト・アーキテクチャの導入。
• **多要素認証（MFA）**の徹底。
• VPN機器のパッチ適用・設定見直し。
• EDR・SIEMを用いた内部監視強化。
• バックアップの分離管理による復旧力の確保。

---

まとめ

アサヒGHDを襲ったQilin攻撃は、国内企業のサイバー防御の甘さを突いた事件でした。いま求められているのは「侵入されない前提」ではなく、「侵入されても止められる仕組み」。企業はゼロトラストを軸に、技術と運用の両面から再構築する必要があります。