検索
特集/連載

アサヒグループへのランサムウェア攻撃はなぜ、どのようにして起こったのか?パスワードの脆弱性や従業員PCへのローカル保存が情報漏えいの引き金に

アサヒビールやアサヒ飲料を擁するアサヒGHDは、2025年9月に発生したサイバー攻撃の詳細を説明した。アサヒGHDのシステムはどのようにして侵入されたのか。復旧作業が長期化している原因と、今後の再発防止策は。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

BCP(事業継続計画) | CEO | 脆弱性 | セキュリティ


 大手酒造会社アサヒグループホールディングス(以下、アサヒGHD)は2025年11月27日、ランサムウェア攻撃によるシステム障害の調査結果を公表した。今回のサイバー攻撃の影響範囲や内容の調査を進める中で、個人情報が計191万4000件流出した可能性があることを明らかにした。

 アサヒビールやアサヒ飲料、アサヒグループ食品を傘下に持つアサヒGHDは、2025年9月29日に受けたランサムウェア攻撃で、日本国内での商品の製造や受注、出荷業務の停止、新製品の販売延期などの影響を受けた。一部商品の製造や出荷は再開しているものの、11月27日時点で完全な復旧には至っていない。

アサヒGHDのシステムはなぜ侵入されてしまったのか

 アサヒGHDと外部セキュリティ機関による調査の結果、攻撃者は9月29日の約10日前に、同社グループ内拠点にあるネットワーク機器を経由してネットワークに侵入を開始したことが判明した。その後攻撃者はパスワードを奪取し、データセンターの管理者権限を悪用してデータセンターへの侵入と偵察を繰り返した。その過程でランサムウェアを一斉に実行し、ネットワークに接続する起動中の複数のサーバや一部PC端末のデータを暗号化した。同社は具体的なネットワーク機器の種類や攻撃者の侵入経路、パスワード奪取の手法は現時点では明かしていない。しかしアサヒグループホールディングス取締役兼代表執行役社長 Group CEOの勝木敦志氏は「データセンターのパスワード管理のプロセスに脆弱性があったことは間違いない」と話す。

 調査を通して、従業員に貸与している一部のPC端末から、個人情報を含むデータが流出したことも判明した。アサヒGHDは以前から従業員PCに内蔵された記録媒体へのデータ保存を禁じており、利用が認められているクラウドストレージへの保存を義務付けているが、「一時的にローカルに保管していたデータが影響を受けた形だ」と勝木氏は説明する。

 データセンターにあるサーバ内のデータは、インターネット上での流出は確認していないものの侵入の形跡があった。これを受けて、アサヒGHDはグループ各社の顧客や社外の関係先、退職者を含む従業員の氏名や電話番号、住所など計191万4000件の個人情報が流出した恐れがあると公表した。

 今回のサイバー攻撃で、商品の製造や生産管理に関わるシステムは影響を受けなかった。しかし受注や出荷に関連するシステムが停止しているため、複数種類の商品がいまだに製造や出荷の停止を余儀なくされている状態だ。一部商品の受注や出荷などの作業は、電話やFAXを使い手作業で実施している。

今後の再発防止策は

 アサヒGHDはランサムウェア攻撃の封じ込めやフォレンジック調査(サイバー攻撃の原因や経路を突き止めるための鑑識調査)、システムの復元作業、再発防止を目的としたセキュリティ強化を実施している最中で、安全性が確認されたシステムやハードウェアから段階的に復旧を進めている。EOS(エレクトロニックオーダリングシステム)といった物流関連のシステムを使った受注出荷業務は、12月から順次再開を予定している。完全な事業の回復は、2026年2月になる見込みだ。

 全製品の受注や出荷業務の完全復旧までの期間が長引いている理由として、勝木氏は「社外に被害が拡大しないように復元復旧に関わっており、システムを停止しながら慎重に調査手順を踏んでいるため」と説明する。システムの復旧に当たり、ランサムウェアの身代金は支払っていないという。

 アサヒGHDは以前から、NISTのサイバーセキュリティフレームワークに準拠したセキュリティ対策を講じており、外部のセキュリティ専門家の助言や、EDR(Endpoint Detection and Response)ツールも採用していた。「これで必要かつ十分なセキュリティ対策を取っていると考えていたが、そうでなかったのは反省点だ」と、アサヒグループジャパン株式会社 代表取締役社長兼CEOの濱田賢司氏は話す。ゼロトラストセキュリティに基づくネットワークセキュリティ対策の採用を進めていた最中に、今回のサイバー攻撃が起こった。

 今後の再発防止策として、アサヒGHDは第一に、通信経路とネットワーク制御の再設計によって、接続制限をさらに厳しくすることを挙げる。ゼロトラストに基づくネットワーク構築は今回のサイバー攻撃を受け既に完了しており、メールやWebアプリケーションなどを含むインターネットを経由した外部との接続にはアクセス制限を強化するなど、より安全なネットワークを構築した。侵入経路となったネットワーク機器の脆弱性の改善も既に完了している。

 「従来利用していたEDRツールでは巧妙かつ高度な攻撃者の手段を検知できなかった反省から、個々のサーバのEDRの攻撃検知の精度を更に上げなければいけないと考えている」と勝木氏は説明する。

 「今回は従業員の尽力で手作業での出荷・受注業務の再開ができたという点で、BCP(事業継続計画)が機能したといえる」と勝木氏は話す。しかし今後システムに大規模な障害が発生した場合や、サイバー攻撃を受けた際も迅速に復旧できるよう、バックアップ戦略やBCPも設計し直す意向だ。「安全性を高めることに限界はないという意識のもと、より強靭なセキュリティ体制の構築を目指していく」(勝木氏)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る