アサヒのサイバー被害、営業と物流が昭和に逆戻りした教訓

by nicoxz
#サイバー攻撃 #ランサムウェア #アサヒグループ #情報セキュリティ #データセンター

はじめに

2025年9月29日早朝、アサヒグループホールディングス(アサヒGHD)のグループ各社がサイバー攻撃によるシステム障害に見舞われました。ランサムウェア攻撃により商品の受注・出荷業務やコールセンター業務が停止し、営業と物流は「昭和に逆戻り」する事態となりました。勝木敦志社長は後に「防げた攻撃だった」と振り返り、「形だけのセキュリティ対策」が招いた大混乱であったことを認めています。本記事では、アサヒグループのサイバー被害の全容、事業への影響、そして企業が学ぶべき教訓について詳しく解説します。

サイバー攻撃の発生と初動対応

社長への緊急連絡

2025年9月29日、東欧チェコでグループ会社の幹部らとミーティングを開いていたアサヒグループホールディングス社長の勝木敦志に秘書から連絡がありました。「社長、早急に帰国してください」。このころ、国内の本社ではシステム停止による緊急事態に見舞われていました。

早朝からネットワークがつながらず、メールは使えない状況でした。週明けの月曜日で卸や飲食店などへの連絡や社内会議も多い中、当初は「ネットが使えないのは不便だ」という認識にとどまっていました。

事態の深刻化

2025年9月29日7時頃、アサヒグループホールディングスのグループ各社にて、サイバー攻撃によるシステム障害が発生し、商品の受注・出荷業務やコールセンター業務ができなくなりました。メールやチャットツールが使えず、社内外との連絡手段が大幅に制限される中、営業と物流は「昭和に逆戻り」する状況となりました。

2025年10月3日、アサヒGHDの緊急事態対策本部はシステム障害の原因について、ランサムウェアによる攻撃によるものだと発表しました。2025年10月7日、ハッカー集団の「Qilin(キーリン)」は犯行声明を出すと共にアサヒGHDの内部文書の一部を公開しました。

事業への甚大な影響

売上の大幅減少

2025年11月13日、アサヒGHDは傘下企業の同年10月売上高を発表し、深刻な影響が明らかになりました。アサヒビールは前年比1割弱の減少、アサヒ飲料は前年比4割弱の減少、アサヒグループ食品は前年比3割弱の減少でした。

特にアサヒ飲料の4割減という数字は、システム停止が飲料事業に与えた打撃の大きさを物語っています。食品・飲料業界において、1ヶ月間の売上が4割も減少することは極めて深刻な事態です。

取引先への影響と競合への波及

システム障害による商品の受注・出荷業務の停止により、酒屋や飲食店などの取引先はアサヒGHDとの間でFAXによる注文のやり取りを行ったり、キリンビールやサッポロビールなどといった、同業他社の製品への切り替えを余儀なくされました。

アサヒビールからの製品切り替えによる受注急増の影響により、サッポロビールとサントリーは2025年10月6日までに一部商品の出荷制限を開始しました。キリンビールも同月9日から制限を開始しています。アサヒグループホールディングスは日本のビール市場におけるシェアの約4割を占めていたため、1社のサイバー攻撃が業界全体に波及する事態となりました。

個人情報流出の可能性

2025年11月27日、アサヒGHDは記者会見を行い、システム障害により、従業員や傘下企業のお客様相談室に問い合わせをした人の個人情報など、計191万4,000件が流出した可能性があることを発表しました。

個人情報の流出は、企業の信用を大きく損なう重大な問題です。従業員の個人情報に加え、顧客相談室への問い合わせ者の情報が含まれることは、企業と顧客の信頼関係を揺るがす事態です。

「防げた攻撃だった」との反省

勝木社長の認識

アサヒGHD勝木社長は被害から2カ月後、「防げた攻撃だった」と述べました。この発言は、セキュリティ対策の不備を認めるものであり、企業トップとしての重い責任を自覚した言葉です。

「形だけのセキュリティ対策」が招いた大混乱であり、「基本のキ」でつまずき大規模な障害に至ったという厳しい総括がなされています。

データセンターへの侵害

アサヒグループの事例で注目すべきは、攻撃者がデータセンターを明確に攻撃目的として選択した可能性があることです。業務ネットワークの暗号化よりも効率的に大きな被害を与えられる手段として、データセンターで稼働する重要なシステムとその使用データが攻撃目標にされています。

最近の攻撃者が明確にデータセンターを攻撃目的として選択し始めている可能性があり、今後注意すべき「データセンター」への侵害という新たな脅威が浮き彫りになりました。

2025年のランサムウェア状況

国内で猛威を振るうランサムウェア

2025年は、ランサムウェアが国内で猛威を振るい、セキュリティインシデントの攻撃カテゴリで第2位となりました。2025年上半期のみで116件の被害報告があり、約3分の2が中小企業となっています。

アサヒグループの事例は大企業の被害として特に注目されましたが、中小企業の方が圧倒的に多く被害を受けており、ランサムウェアは企業規模を問わない脅威となっています。

主な侵入経路はVPN機器

2025年上半期において、ランサムウェアの主な感染経路として最も多く確認されているのが「VPN機器からの侵入」で、過去数年にわたって一貫して最大の侵入口となっている状況です。

リモートワークの普及により、VPN機器の利用が拡大していますが、その脆弱性が攻撃者に狙われています。適切な更新管理や多要素認証の導入など、基本的なセキュリティ対策が不可欠です。

他の主要企業被害事例

アスクル(2025年10月) アスクルでは、10月19日にランサムウェアグループ「RansomHouse」から攻撃を受け、複数の通販サービスで出荷・受付業務の停止を余儀なくされました。10月21日から11月21日までの1か月の売上高が前年同期と比べて95%の大幅減となっています。

アサヒグループとアスクルの事例は、ランサムウェア攻撃が物流システムに与える壊滅的な影響を示しています。デジタル化が進んだ現代企業において、システム停止は即座に売上の激減につながることが明らかになりました。

企業が取るべき対策

セキュリティツールの導入

SIEM(Security Information and Event Management)は、ファイアウォールやサーバー、各種セキュリティ製品から膨大なログを相互に関連づけて分析することにより、単体の機器では見つけにくいサイバー攻撃の兆候や内部不正の予兆を早期に検知できるツールとして推奨されています。

高度なセキュリティツールの導入は、初期投資が必要ですが、サイバー攻撃による被害と比較すれば、はるかに低いコストで済みます。アサヒグループの事例は、セキュリティ投資の重要性を改めて示しています。

多層防御の実践

不正アクセス経由の攻撃を防ぐため多要素認証や生体認証といった認証システムを充実させること、Webメール経由の攻撃を防ぐため従業員のITリテラシー向上教育を実施すること、サプライチェーン全体で情報セキュリティ対策を向上することなど多層的な防御が必要とされています。

単一の対策では不十分であり、複数の防御層を組み合わせることで、攻撃者の侵入を阻止する確率を高めることができます。

組織的な取り組み

ツールや技術に頼るだけでは不完全で、「仕組み(ルール)」と「人」を掛け合わせ三位一体でのランサムウェア対策を意識する必要があるという指摘があります。

セキュリティポリシーの策定、定期的な訓練の実施、インシデント対応計画の整備など、組織全体でセキュリティ文化を醸成することが重要です。経営層のコミットメントが不可欠であり、セキュリティを単なるIT部門の問題ではなく、経営課題として認識する必要があります。

システム復旧と今後の課題

復旧のスケジュール

アサヒGHDは2025年12月からシステムを使用した商品の受注・出荷業務を再開し、2026年2月までに正常化させる予定であることを明らかにしました。攻撃から完全復旧まで約5ヶ月を要することになり、その間の事業への影響は計り知れません。

システムの完全復旧には、単にシステムを元に戻すだけでなく、セキュリティの抜本的な見直しと強化が必要です。再発防止策の実施には時間がかかりますが、これを怠れば再び攻撃を受けるリスクがあります。

信頼回復への道のり

個人情報流出の可能性、長期間のシステム停止、取引先への影響など、アサヒグループが失った信頼を回復するには長い時間がかかります。透明性のある情報開示、被害者への適切な対応、再発防止策の確実な実施が求められます。

また、競合他社への切り替えを余儀なくされた顧客の一部は、システム復旧後も戻ってこない可能性があります。市場シェアの回復も重要な課題となります。

日本企業全体への警鐘

「基本のキ」の重要性

アサヒグループの事例が示すのは、「基本のキ」でつまずいた大企業でも、大規模なサイバー攻撃の被害を受ける可能性があるということです。最新のセキュリティツールを導入するよりも、まず基本的なセキュリティ対策を確実に実施することが重要です。

VPN機器の脆弱性管理、多要素認証の導入、定期的なセキュリティパッチの適用など、基本的な対策を確実に実施するだけでも、多くの攻撃を防ぐことができます。

データセンターセキュリティの強化

今後、攻撃者がデータセンターを明確に攻撃目的として選択する傾向が強まる可能性があります。業務ネットワークの暗号化よりも効率的に大きな被害を与えられる手段として、データセンターが狙われることを前提とした対策が必要です。

データセンターのセキュリティ強化、バックアップの適切な管理、災害復旧計画(DRP)の整備など、データセンターを守る包括的な対策が求められます。

まとめ

アサヒグループのサイバー被害は、2025年9月29日のランサムウェア攻撃により営業・物流が「昭和に逆戻り」し、191万件の個人情報流出の可能性、売上1〜4割減、競合他社の出荷制限という業界全体への波及をもたらしました。勝木社長の「防げた攻撃だった」という反省は、「形だけのセキュリティ対策」ではなく、実効性のある対策の重要性を示しています。

2025年は国内でランサムウェアが猛威を振るい、VPN機器からの侵入が最大の脅威となっています。企業は、セキュリティツールの導入、多層防御の実践、組織的な取り組みを三位一体で進める必要があります。特にデータセンターセキュリティの強化は、今後の重要課題です。

アサヒグループの事例は、日本企業全体への警鐘であり、「基本のキ」を確実に実施し、データセンターを守る包括的な対策を整備することが、サイバー攻撃から企業を守る第一歩です。

参考資料:

関連記事

最新ニュース