アサヒ、アスクルを襲ったランサムウェア攻撃の共通項 侵入許した死角は：完璧な防御は不可能？ 大企業の被害に学ぶ

潤沢な予算を持つ大企業でもサイバー攻撃は防げない。アサヒGHDとアスクルの事例から、共通する侵入の手口と、情シスが直視すべきセキュリティの「死角」を再確認する。

[TechTargetジャパン]

　2025年、日本を代表する大手企業が相次いでランサムウェアの標的となり、工場の稼働停止や配送遅延といった深刻な被害が発生した。アサヒグループホールディングス（以下、アサヒGHD）とアスクルの事例は、多くの企業が導入済みの「一般的なセキュリティ対策」を突破されたという点で、決して対岸の火事ではない。「うちはEDRを入れているから大丈夫」「VPN（仮想プライベートネットワーク）にはパッチを当てているはず」という過信が、致命的な経営リスクを招く可能性がある。本稿では、両社の公表情報を基に攻撃の手口を分析し、IT部門が直ちに再点検すべき「死角」を明らかにする。

今確認しておくべき死角とは

併せて読みたいお薦め記事

セキュリティの死角に関する関連記事

• Chrome vs. Edge　“9割同じ”が生む「セキュリティの死角」と代償
• サイバー攻撃で上場企業の7割が「業績修正」　自信過剰な企業の“死角”とは？

　まずは、両社が直面したインシデントの事実関係を整理する。

　アサヒGHDは2025年11月27日、ランサムウェア攻撃によるシステム障害が発生したと発表した。攻撃を仕掛けたのは「Qilin」と称する犯罪グループであり、国内外拠点のネットワーク機器を踏み台に、データセンターへアクセスして暗号化型マルウェアを実行した可能性が指摘されている。。

　一方、オフィス用品通販大手のアスクルは2025年10月19日から、断続的なシステム障害に見舞われた。同社によると、攻撃者は委託先企業のアカウント情報を窃取、悪用して社内ネットワークへ侵入した。特筆すべきは、侵入後に攻撃者が社内ネットワークを探索し、複数のサーバへアクセスするための認証情報を収集した上で、同社が導入していたEDR（Endpoint Detection and Response）などのセキュリティ対策ソフトを無効化した点だ。結果として約74万件の個人情報流出の可能性や、配送サービスの停止といった被害が発生した。

なぜ「防御」は突破されたのか

　両社の事例から浮かび上がるのは、従来の境界防御や単一のセキュリティ製品に依存することの限界と死角の存在だ。

　第一の死角は「VPNおよびネットワーク機器の脆弱性」だ。アサヒGHDの事例では、具体的な機器名は公表されていないものの、ネットワーク機器が侵入の足掛かりとなったことが明らかになっている。一般的に、VPN装置やゲートウェイ製品のファームウェア更新が遅れれば、既知の脆弱（ぜいじゃく）性を突かれて容易に侵入を許してしまう。2024年〜2025年にかけて、VPNやリモートアクセス機器の脆弱性を悪用した攻撃は世界的に増加傾向にある。攻撃者は、パッチ未適用の機器を攻撃するチャンスを狙っている。

　第二の死角は「ID管理の不備」と「外部パートナーや取引先に由来するアクセス経路の脆弱性」だ。アスクルの事例では、委託業者が使用していた認証情報の流出が、攻撃の入口となったとみられる。自社の社員に対するID管理や多要素認証（MFA）を徹底するだけでなく、業務委託先や子会社、サプライヤーにも配慮することが重要だ。自社との接続点においてIDの使い回しやMFA未設定のアカウントが存在すれば、そこが攻撃者の侵入口となり得る。

　第三の死角は、「EDRの無効化」だ。アスクルの報告書には、攻撃者が管理者権限を奪取した後、侵入後、攻撃者が特権IDを掌握し、EDRの機能を正規手順で停止させていたことが確認されている。EDRは、マルウェアや不審な挙動が検知された後の封じ込めや対応に強みを持つ。しかし、攻撃者が管理者権限を奪取してしまえば、正規の手順で機能を停止させることができてしまう。「EDRを入れたら終わり」ではなく、特権IDの管理を厳格化することが重要だ。

IT部門の部長が明日指示すべき「緊急点検リスト」

　これらの情報を踏まえ、自社が同様の被害に遭わないために、IT部門が直ちに着手すべきアクションを以下にまとめる。

1．機器を総点検する

• VPNやファームウェアへのパッチ適用状況を確認する
  • 自社、グループ会社、海外拠点が利用しているVPN装置、ファイアウォールのファームウェアのバージョンを確認し、緊急度の高いパッチが適用されているかを再確認する。
• 不要なポートを閉じる
  • RDP（リモートデスクトップサービス）ポートなど、管理用ポートがインターネットに直接公開されていないかをツールを使って確認する。

2．ID管理と認証を強化する

• 特権IDの棚卸しを進める
  • サーバやネットワーク機器の管理者権限を持つIDを洗い出し、不要なIDを削除する。パスワードの使い回しを禁止する。
• MFAの利用を徹底する
  • VPN接続やクラウドサービスへのアクセスにおいて、MFAを必須とする。職位や委託先かどうかといった観点から例外を設けないことが重要だ。
• 委託先アカウントの管理状況を見直す
  • 外部ベンダーや委託先に発行しているIDの利用状況を確認し、長期間利用されていないIDは即時停止する。

3．EDR運用の見直し

• アラートの設定を見直す
  • EDRのエージェントが停止したりアンインストールされたりした際に、即座に管理者へアラートが飛ぶ設定になっているかを確認する。
• 監視体制を強化する
  • アラートが発報された際、SOC（Security Operation Center）が機能しているかを見直す。

4．ネットワークの分離とバックアップの設定を見直す

• セグメントを分離する
  • 万が一侵入された場合に備え、基幹システムや製造ラインのネットワークをIT環境や事務系ネットワークと分離し、ラテラルムーブメント（別のネットワークセグメントへ不正アクセスしながら横方向に移動する行為）を阻止するシステム設計にする。
• オフラインバックアップ（ネットワークから切り離した場所に保存するバックアップや、システムを停止した状態で実施するバックアップ）を実施する
  • ランサムウェアによってバックアップデータまで暗号化されないよう、ネットワークから切り離された環境（テープや不変ストレージなど）にもデータを保管する。

まとめ

　アサヒGHDやアスクルの事例は、サイバー攻撃がもはやIT部門だけの問題ではなく、事業継続を左右する経営課題であることを改めて突きつけた。攻撃者は常に弱いところを探している。VPNの脆弱性、委託先のID管理、EDRの運用設定など、組織の「隙」を徹底的に塞ぐことが求められる。ゼロトラストを前提とした対策へのシフトは急務だが、まずは足元の「当たり前の対策」が確実に実施されているか、今一度点検することから始めてほしい。