アサヒGHD物流「昭和に逆戻り」が示す企業BCPの真価

はじめに

「社長、早急に帰国してください」。2025年9月29日、東欧チェコでグループ会社の幹部らとミーティングを開いていたアサヒグループホールディングス社長の勝木敦志に秘書から緊急連絡が入りました。この日の早朝から、国内の本社ではランサムウェアによる大規模システム障害に見舞われていました。メールは使えず、受注・出荷システムは完全停止。月曜日で卸や飲食店への連絡が多い中、「ネットが使えないのは不便だ」という認識から、やがて全社的な危機へと状況は深刻化していきます。本記事では、アサヒGHDが直面したサイバー攻撃の全貌と、「昭和に逆戻り」した手作業での事業継続、そして日本企業が学ぶべき教訓を独自調査で明らかにします。

サイバー攻撃の全貌：Qilinランサムウェアの手口

攻撃の発見と初動対応

2025年9月29日午前7時頃、アサヒグループの内部システムで暗号化されたファイルが発見されました。当初は単なる「システム障害」として公表されましたが、緊急事態対策本部を立ち上げて調査した結果、ランサムウェア攻撃であることが確認されました。同日中に捜査当局に報告し、外部のサイバーセキュリティ専門家を招集して対応にあたりました。

攻撃者Qilinグループの正体

攻撃を実行したのは「Qilin」と呼ばれるランサムウェアグループです。10月7日、Qilinはアサヒグループの内部文書の一部を公開し、犯行声明を発表しました。Qilinは2025年に最も活発なランサムウェアグループの1つとされ、リークサイトには800以上の被害組織が掲載されています。RaaS(Ransomware-as-a-Service)モデルで運営されており、高度な技術力と組織力を持つ犯罪集団です。

侵入経路と攻撃の展開

アサヒの調査によれば、攻撃者はグループのある拠点のネットワーク機器から不正アクセスを行い、内部ネットワークに侵入しました。その後、約10日間かけて横展開(ラテラルムーブメント)を実施し、データセンターに到達。最終的に複数のサーバーと従業員のPC端末に対して、同時多発的にランサムウェアを展開しました。攻撃者が約27GBのデータと約9,300ファイルを窃取したとされています。

「昭和に逆戻り」した物流現場の奮闘

システム完全停止の衝撃

ランサムウェア攻撃により、アサヒグループの受注・出荷システムは完全に停止しました。電子メールは使えず、受発注システムも機能しない状況で、卸業者や飲食店からの注文に対応できなくなりました。月曜日という週初めのタイミングで、連絡や社内会議も多い中、当初は「ネットが使えないのは不便だ」という程度の認識でしたが、事態は急速に深刻化していきました。

電話とFAXでの受注対応

システムが使えない中、アサヒは10月1日から電話とFAXによる手作業での受注を開始しました。まさに「昭和に逆戻り」の状態です。通常なら電子データで瞬時に処理される注文情報を、従業員が電話で聞き取り、手書きやエクセルに入力する作業が続きました。出荷伝票もFAXで送受信し、各工場や物流拠点と連携を取りました。

従業員の「驚異的な努力」

勝木社長は11月27日の記者会見で「復旧の見通しが立ったのは、従業員たちの驚異的な努力のおかげです。不適切な表現かもしれませんが、経営者の特権と呼べる経験でした」と語りました。通常業務に加えて手作業での受発注対応を続ける従業員たちの献身的な働きにより、完全な事業停止は免れました。しかし、出荷量と取扱製品種は通常レベルを大きく下回る状態が続きました。

事業への深刻な影響

主要工場の一時停止

攻撃により、国内グループ各社の受注・出荷業務、コールセンター業務が停止し、主要工場の操業も一時停止しました。ビール、清涼飲料、食品という主力事業すべてが影響を受ける事態となりました。

売上の急減

アサヒグループホールディングスは2025年11月、10月の売上がアサヒビールで前年同期比約10%減、アサヒ飲料で約40%減、アサヒグループ食品で約30%減になったと発表しました。特に飲料部門への打撃が大きく、業績悪化は不可避となりました。

競合他社への注文流出

アサヒの供給不足により、顧客が他社製品に切り替える動きが広がりました。10月6日にはサッポロビールとサントリーが一部製品の出荷制限を開始し、10月9日には キリンビールも制限を始めました。アサヒからの注文流入で競合各社の生産能力が逼迫したのです。勝木社長は「他社に切り替わった顧客を戻す」と強調しましたが、一度失った顧客を取り戻すのは容易ではありません。

決算開示の遅延

経理関連データへのアクセス障害により、決算手続きにも遅延が生じました。10月14日、アサヒは2025年12月期第3四半期決算短信の開示が四半期末後45日を超えることを発表しました。上場企業として異例の事態であり、投資家や株主への説明責任にも影響が及びました。

191万人の個人情報漏洩

データ侵害の規模

11月27日の記者会見で、アサヒは約191万4000人分の個人情報が漏洩した可能性があることを明らかにしました。内訳は、顧客約152万5000人、現従業員・元従業員とその家族約27万5000人です。これは日本企業のサイバー攻撃事件としても大規模なデータ侵害となりました。

漏洩した情報の内容

漏洩した可能性がある個人情報には、氏名、住所、電話番号、メールアドレス、購買履歴などが含まれます。Qilinグループがこれらの情報をダークウェブで販売したり、二次的なフィッシング攻撃に悪用したりするリスクがあります。

身代金要求への対応

Qilinグループは身代金を要求したとされていますが、アサヒは支払いを拒否しました。身代金を支払っても、データが完全に削除される保証はなく、犯罪組織への資金提供にもなります。アサヒの判断は企業倫理として正しいものでしたが、結果として情報流出という代償を払うことになりました。

システム復旧のロードマップ

段階的な復旧計画

アサヒは11月27日に復旧計画を発表しました。12月から電子受発注システムを段階的に再開し、2026年2月までに物流業務の正常化を目指すとしています。

具体的なスケジュールは以下の通りです:

• アサヒビール・アサヒ飲料:12月3日から受注再開、12月8日から出荷再開
• アサヒグループ食品:12月2日から受注再開、12月11日から出荷再開
• 物流業務の完全正常化:2026年2月

攻撃発生から完全復旧まで4〜5ヶ月という長期間を要することになります。

復旧に向けた技術的対策

システム復旧にあたり、アサヒは以下の対策を実施しています:

1. 感染したサーバーと端末の完全な再構築
2. ネットワークセグメンテーションの強化
3. 多要素認証(MFA)の全社展開
4. ゼロトラストモデルの導入検討
5. データセンターへのアクセス制御強化

トレンドマイクロの分析によれば、今回の攻撃は「データセンターへの侵害」という新たなリスクを浮き彫りにしました。従来、データセンターは堅牢なセキュリティで守られていると考えられていましたが、内部ネットワークから侵入されればデータセンターも標的になることが実証されました。

日本企業が突きつけられた「盲点」

「形だけのセキュリティ対策」

東洋経済オンラインは「形だけのセキュリティ対策が招いた大混乱」と報じ、アサヒが基本的なセキュリティ対策でつまずいたと指摘しています。多要素認証の未導入、ネットワークセグメンテーションの不備、侵入検知システムの不十分さなど、「基本のキ」が徹底されていなかったとされています。

データセンター神話の崩壊

CIO誌は「アサヒGHDへのサイバー攻撃が突きつけた日本企業の盲点」として、データセンターの安全性に対する過信を挙げています。データセンターに置いてあるからといって安全とは限らず、内部ネットワークの横展開を許せば、最も重要な資産が集中するデータセンターこそが最大の標的になります。

BCP(事業継続計画)の実効性

今回の事件は、BCPの実効性を問いかけています。多くの日本企業がBCPを策定していますが、「ITシステムが全く稼働せず業務を手作業で行う」という最悪シナリオを現実的に想定していたでしょうか。内閣府の事業継続ガイドラインでは、「機械あるいは情報システムの利用から手作業などへの手法の変更」が対策として記載されていますが、実際に全社規模で手作業に切り替えた経験を持つ企業は稀でしょう。

IT-BCPの重要性と実践

IT-BCPとは

IT-BCP(IT Business Continuity Plan)とは、災害や障害発生時にも業務に必要なITシステムの運用を継続するための対策や計画です。サーバ障害による業務停止、自然災害によるデータ消失、サイバー攻撃によるシステム停止など、様々なリスクに対して対策を行います。

RTO(目標復旧時間)の設定

IT-BCPでは、RTO(Recovery Time Objective:目標復旧時間)を設定することが重要です。「いつまでに復旧するか」の目標値を定め、それに基づいてバックアップシステムや手作業への切り替え手順を準備します。アサヒのケースでは、完全復旧まで4〜5ヶ月かかっており、RTOを大幅に超過した可能性があります。

手作業シナリオの事前準備

内閣府のガイドラインでは、「情報システムが全く稼働せず業務を手作業で行う場合や、バックアップシステムによって一部の業務が稼働している場合など、さまざまなケースを想定しておく」ことが求められています。電話・FAXによる受注、手書き伝票での出荷、エクセルでの在庫管理など、具体的な手順を事前に文書化し、定期的な訓練を実施すべきです。

今後の展望と教訓

サイバーセキュリティ強化の全社的取り組み

アサヒは11月26日、個人情報保護委員会に最終報告書を提出しました。今後、サイバーセキュリティの全社的な見直しを実施し、専門部署の強化、従業員教育の徹底、最新のセキュリティ技術の導入を進めるとしています。

ランサムウェア時代の「正解」とは

ビジネスジャーナルは「身代金拒否と情報流出の現実…ランサムウェア時代、正解はあるのか?」と問いかけています。身代金を払えば情報流出を防げるわけではなく、払わなければ確実に流出するというジレンマ。企業に求められるのは、「攻撃を受ける前提」でのセキュリティ対策と、攻撃を受けた際の迅速な初動対応です。

日本企業全体への警鐘

@IT誌は「ビールが消えた『アサヒのランサムウェア』だけじゃない――国内外30件のサイバー攻撃を総覧」として、2025年のインシデントを総括しています。アサヒの事件は氷山の一角であり、日本企業全体がサイバー攻撃の脅威に直面しています。特に、サプライチェーン全体への影響を考慮すると、一企業の問題ではなく産業全体のリスクとして捉える必要があります。

注意点とベストプラクティス

ゼロトラストの徹底

「社内ネットワークだから安全」という考えは通用しません。すべてのアクセスを検証し、最小権限の原則を徹底するゼロトラストモデルの導入が不可欠です。

多要素認証の全面展開

パスワードだけでの認証は危険です。すべての重要システムに多要素認証を導入し、侵入のハードルを上げる必要があります。

定期的なBCP訓練

年に1〜2回、「システム全停止」を想定した訓練を実施し、手作業での業務継続手順を全従業員に周知すべきです。

データバックアップの3-2-1ルール

3つのコピーを、2種類の異なるメディアに、1つはオフサイト(外部)に保管する「3-2-1ルール」を徹底しましょう。ランサムウェアに感染しても、バックアップから復旧できます。

まとめ

アサヒGHDのランサムウェア攻撃事件は、日本企業のサイバーセキュリティとBCPの実態を浮き彫りにしました。「昭和に逆戻り」した手作業での事業継続は、従業員の驚異的な努力により最悪の事態を免れましたが、4〜5ヶ月という長期の復旧期間と業績悪化、191万人の個人情報漏洩という代償を払いました。

この事件が示す教訓は明確です。第一に、「形だけのセキュリティ対策」では不十分であり、多要素認証、ネットワークセグメンテーション、侵入検知など基本的な対策を徹底すること。第二に、データセンター神話を捨て、内部ネットワークからの侵入を前提とした防御を構築すること。第三に、IT-BCPを単なる文書ではなく実践的な計画とし、手作業シナリオを含む定期訓練を実施すること。

ランサムウェア時代に「完璧な防御」は存在しません。しかし、「攻撃を受ける前提」での準備と、攻撃を受けた際の迅速な対応により、被害を最小限に抑えることはできます。勝木社長が「経営者の特権」と呼んだ危機対応の経験を、日本企業全体が共有し、次なる攻撃に備える必要があります。

参考資料:

• サイバー攻撃によるシステム障害発生について（第2報）- アサヒグループホールディングス
• Investigation Results and Future Measures on Cyberattack Data Exposure - Asahi Group Holdings
• Asahi cyber attack spirals into massive data breach impacting almost 2 million people - Bitdefender
• アサヒグループへのランサムウェア攻撃事例を記者会見から考察 - トレンドマイクロ
• アサヒGHDへのサイバー攻撃が突きつけた「日本企業の盲点」- CIO
• アサヒビール「形だけのセキュリティ対策」が招いた大混乱 - 東洋経済オンライン
• 事業継続ガイドライン - 内閣府防災担当