アサヒGHD、アスクル、日経――攻撃は「なぜ」起きたのか 教訓も解説：国内で広がるビジネス被害

大規模な攻撃が日本企業にとって「対岸の火事」ではないことが、ここ最近の攻撃事例によって分かった。アサヒGHD、アスクル、日本経済新聞社――。各社はなぜ攻撃されたのか。

[TechTargetジャパン]

　2025年9月29日、アサヒビールやアサヒ飲料、アサヒグループ食品を傘下に持つアサヒグループホールディングス（以下、アサヒGHD）で発覚したランサムウェア（身代金要求型マルウェア）攻撃。アサヒGHDによると、この攻撃によって、個人情報が計191万4000件流出した可能性がある。日本国内での商品の製造や受注にも影響が出ている。

　最近、ランサムウェア攻撃によって大きな被害を受けているのは、アサヒGHDだけではない。そもそも攻撃は「なぜ」発生するのか。企業は攻撃の広がりを受け、どのような対策を講じるとよいのか。本稿は、3つの攻撃事例を分析し、その「教訓」を考える。

進む攻撃目的のビジネス化

併せて読みたいお薦め記事

セキュリティを強化するには

• SIEMをスムーズに導入するために知っておきたい「5つのステップ」
• 感染しても被害なし？　「ランサム攻撃に強い」ストレージ、日立系が投入

　最近の大規模な攻撃は、単なる「いたずら」や「破壊」ではなく、明確に「金銭的利益」を得ることが目的になっている。今回、アサヒGHDを標的としたのは、ランサムウェア攻撃を仕掛けるサイバー犯罪集団「Qilin」だ。Qilinは、財務書類や契約書を含め、約9000件のファイル、合計27GBのデータを盗んだと主張している（出典：アサヒグループホールディングスへのサイバー攻撃　製造業が学ぶべき教訓とは）。

　今回のように、Qilinは「ランサムウェアによるシステムの暗号化とデータ窃取」という二重恐喝主に用いている。標的企業に対して復号キーと引き換えの身代金要求に加え、盗んだデータを転売すると脅すことによって、支払いの圧力を高める。

企業の「構造的弱点」とセキュリティ設計の甘さ

　大企業であっても、構造的な脆弱性によって、攻撃者にとって格好の標的になっている。構造的な脆弱性とは、セキュリティ対策自体は講じているが、「かつては十分だったが、今の高度な攻撃には弱い設計」を指す。サーバやネットワーク機器、VPN（仮想プライベートネットワーク）機器などに対し、定期的にパッチ（修正プログラム）を実施したり、アクセスを管理したりすることが十分でなければ、攻撃を招きやすい。

　最近、注目を集めたのは、アサヒGHDへの攻撃だけではない。2025年9月、日本経済新聞社では、攻撃者が同社内で使われるビジネスチャットツール「Slack」に侵入し、約1万7000人の従業員や取引先の個人情報が漏えいした可能性があるセキュリティ事故が発生した。この事故では、従業員の私物PCがマルウェアに感染し、そのPCからSlack の認証情報が盗まれた（出典：日経の「Slack」侵入で浮き彫りになった個人PCのリスク　取るべき対策をおさらい）

　日本経済新聞社への攻撃は、「シャドーIT」（企業が正式に管理していないデバイスやツールの利用）が入口になっており、企業のセキュリティ管理の盲点が突かれた事例だと言える。

　ランサムウェア攻撃は他にも、オフィス用品通販大手のアスクルでも発生した。この攻撃によって、EC（電子商取引）サイトの機能が停止しただけではなく、アスクルの子会社に物流を委託していた良品計画（無印良品の運営会社）の国内オンラインストアとアプリケーションも、商品の閲覧や購入ができない状態に陥った（出典：アスクル攻撃で無印良品もECサイト停止　“もらい事故”から自社を守る対策4選）。

　これら一連の攻撃では、IT機器の脆弱性やアクセス権限管理の不備など、まさに構造的弱点と言える「旧来のセキュリティ設計の限界」が浮き彫りになった。

企業が今取るべき対策

　今回取り上げた攻撃事例から、企業は以下の取り組みを軸に、セキュリティ戦略の再構築が必要になる。

• ネットワークセグメンテーション
  • データセンター、VPN、各拠点ネットワーク、社員端末などを明確に分離し、万一侵入されても被害が局所化するようにネットワーク設計する（参照：ネットワークセグメンテーションとは――何ができる？　導入時の注意点は？）。
• アクセス制御と権限管理の強化
  • 最小権限の原則、管理者権限の厳格管理、多要素認証（MFA）などを徹底的に実施する。
• 監視体制の整備
  • 侵入や異常を早期に検知できるよう、ログ収集・分析や、「EDR」（Endpoint Detection and Response）などの導入（参照：いまさら聞けない「EDR」と「SIEM」の“機能の違い”とは？）。
• バックアップ
• シャドーITの可視化と管理
• 従業員向けのセキュリティ教育

攻撃から得た「3つの教訓」

　セキュリティはIT現場だけではなく、経営の問題でもある。経営層は主体となって戦略的に取り組むことによって、営業停止や信用失墜、サプライチェーン混乱を防ぐことが求められる。

　自社にとどまらず、サプライチェーン全体でのセキュリティ管理が欠かせない。取引先や下請けの企業、外注先などが攻撃されれば、自社にも被害が及ぶ恐れがある。

　人間を脆弱性として捉えることが重要だ。全社でのセキュリティ教育と、使用される機器やツールの制限や管理に力を入れよう。

（※）本記事はTechTargetジャパン、ComputerWeeklyなどの記事を基に、注目のITトレンドを紹介しています。