2025年9月29日に発生したアサヒグループホールディングスへのランサムウェア攻撃は、10月6日時点でも復旧の見通しが立たず、ビール不足が全国に広がっている。
今回の攻撃は「日本企業のDX推進が生んだ構造的脆弱性」を突いたものであり、過去の主要サイバー攻撃事例と比較することで、日本企業が直面する新たな脅威の本質が見えてくる。
【アサヒ攻撃の全容――復旧見通し立たず】
アサヒグループホールディングスは10月3日、一連のシステム障害の原因が身代金要求型ウイルス「ランサムウェア」によるサイバー攻撃であったことを正式に発表した。同社は緊急事態対策本部を設置し調査を進めた結果、サーバーが攻撃を受けたことを確認し、さらに「情報漏えいの可能性を示す痕跡が確認された」ことも明らかにした。
攻撃の標的となったのは、商品受注・出荷システム「SPIRIT」を中心とした基幹システムで、Active Directory(AD)および仮想基盤(vCenter/ESXi)が暗号化されたと推定されている。これにより認証機能が停止し、業務全体が連鎖的にダウンする事態となった。
アサヒは10月6日の週をめどに、電話での受注受付を順次再開する予定を発表したが、システムの完全復旧時期については「明示できない」としており、長期化が確実視されている。受注・出荷業務は手作業での処理に切り替えているものの、処理能力は大幅に制限されており、通常の業務レベルには程遠い状況だ。
影響は全国規模で拡大しており、セブン-イレブン、スーパー、生協などでアサヒ製品の供給が滞っている。特に「アサヒスーパードライ」や「三ツ矢サイダー」などの主力商品が店頭から消えつつあり、飲食店からは「週末の書き入れ時にビールが入荷しない」という悲鳴が上がっている。アサヒグループ各社は10月発売予定だった新商品12点の発売を延期し、工場見学などのイベントも軒並み中止している。
【急増する日本企業への攻撃】
日本企業へのランサムウェア攻撃は深刻さを増している。警察庁の発表によれば、2025年上半期のランサムウェア被害報告件数は116件に達し、半期の件数としては過去最多に並ぶ深刻な状況となっている。2024年通年では222件の被害が報告されており、被害企業の約63%が中小企業、約27.5%が大企業、約9.5%が団体という内訳だった。
業種別では製造業が29.2%で最多を占め、侵入経路はVPN機器が55%と圧倒的に多く、次いでリモートデスクトップが31%となっている。復旧期間は1ヶ月以上かかるケースが24%超に上り、被害総額が1,000万円以上となった企業は43%に達した。
2025年に特に活発なランサムウェアグループは、日本企業を積極的に標的とするQilinと、2025年6月に出現した新興グループKawa4096である。
【主要な日本企業サイバー攻撃事例(2020年以降)比較表】
| 企業名 | 発生時期 | 攻撃タイプ | 被害規模 | 復旧期間 | 経済的影響 | 犯行グループ |
|---|---|---|---|---|---|---|
| アサヒGHD | 2025年9月 | ランサムウェア(仮想化基盤) | 国内業務停止、情報漏えいの可能性 | 未定(10月6日時点) | 数十億円規模の見込み | 不明(交渉中か) |
| KADOKAWA | 2024年6月 | ランサムウェア(仮想化基盤) | 25万人情報流出、1.5TB流出 | 1ヶ月以上 | ニコニコ動画完全停止 | BlackSuit |
| HOYA | 2024年3月 | ランサムウェア(3度目) | 1000人分個人情報流出可能性 | – | グローバルシステム障害 | Hunters International |
| 小島プレス→トヨタ | 2022年2月 | サプライチェーン攻撃 | トヨタ全14工場停止 | 1日間 | 約280億円(1日の生産額) | – |
| DMM Bitcoin | 2024年5月 | サプライチェーン攻撃 | 482億円流出 | 復旧不可能 | サービス終了(暗号資産交換業から撤退) | TraderTraitor(北朝鮮) |
| 名古屋港運協会 | 2023年7月 | ランサムウェア | 港湾機能3日間麻痺 | 3日間 | 物流インフラへの影響 | LockBit |
| カプコン | 2020年11月 | ランサムウェア | 1TB情報漏洩 | – | 顧客・取引先情報流出 | Ragnar Locker |
| エーザイ | 2023年6月 | 二重恐喝型ランサムウェア | 物流システム停止 | – | サーバー一部暗号化 | – |
| サイゼリヤ | 2024年10月 | ランサムウェア | 61,087件個人情報漏洩 | – | 取引先・従業員情報流出 | – |
| カシオ計算機 | 2024年10月 | ランサムウェア | 8,478人分情報流出 | – | 業務データ流出 | – |
| キューヘン | 2024年1月・6月 | ランサムウェア(2度) | 37.4万件情報流出懸念 | – | 半年で2度の被害 | – |
【表から見える4つの攻撃パターン】
上記の比較表から、日本企業へのサイバー攻撃は以下の4つのパターンに分類できる。
パターン①:仮想化基盤型攻撃(アサヒ=KADOKAWA型)
アサヒとKADAOKAWAは攻撃手法が酷似している。両社とも仮想化基盤(VMware等)とActive Directory(AD)を暗号化され、業務システム全体が連鎖的に停止する「単一点障害」に陥った。効率化のために統合したシステムが、逆に致命傷となったのである。
KADAOKAWAでは約300台の仮想サーバーが暗号化され、プライベートクラウド「NicoSphere」が全停止した。犯行グループBlackSuitは「1つの巨大なインフラに統合されていた」と声明を出しており、統合システムが標的にされたことを示している。
アサヒでは商品受注・出荷システム「SPIRIT」を中心にAD及び仮想基盤(vCenter/ESXi)が暗号化され、2019年以降のDX推進で国内業務を統合していたことが被害拡大の一因となった。
特筆すべきは、両社とも工場制御系(OT)は直接侵害されていないにもかかわらず生産が停止した点である。ERPシステム停止により、食品安全法令上必要な帳票やトレーサビリティラベルが発行できず、物理的には製造可能でも法令遵守の観点から出荷できない状況に陥ったのだ。
仮想化基盤への攻撃は急増しており、2020年に1件だったものが2023年には63件と63倍に増加している。世界で8万6000台の仮想基盤に未修正の脆弱性が残っているという調査結果もあり、今後さらなる攻撃の拡大が懸念される。
パターン②:サプライチェーン攻撃型(小島プレス型・DMM型)
大企業を直接攻撃せず、セキュリティの手薄な取引先を経由する間接攻撃が、サプライチェーン攻撃である。
小島プレス工業は従業員約500人の部品メーカーで、VPN脆弱性を突かれてランサムウェアに感染した。この攻撃により、トヨタ自動車の国内全14工場・28生産ラインが1日間停止し、1日の生産額約280億円の損失が発生した。この事例はサプライチェーン攻撃の代表例として世界的に注目され、中小企業のセキュリティ脆弱性が巨大企業に波及するリスクを浮き彫りにした。
DMM Bitcoinのケースはさらに深刻だった。LinkedInでのなりすましから始まり、取引先Ginco従業員の端末を制御されることで、482億円相当のビットコインが流出した。FBI・警察庁は北朝鮮政府とつながりのあるハッカー集団TraderTraitorの犯行と特定し、2024年12月にDMM Bitcoinは廃業を発表した。
アサヒは本体への直接攻撃であり、サプライチェーン攻撃ではない。ただし結果的に取引先・小売店・飲食店への影響が波及している点では、サプライチェーン全体に打撃を与える構造は共通している。
パターン③:繰り返し被害型(HOYA型・キューヘン型)
同じ企業が複数回攻撃を受けるケースも増えている。HOYAは2019年、2021年、2024年の3度にわたり攻撃を受けており、医療機器大手が繰り返し狙われる「お得意様」化の恐怖を示している。
2024年3月の攻撃ではHunters Internationalによって300GBのデータが窃取され、7月にダークウェブ上で被害者リストに掲載された。内視鏡検査受診者1000人分の個人情報流出の可能性も明らかになっている。
キューヘン(九州電力グループ)は2024年1月と6月の半年間に2度攻撃を受け、約37万4000件の顧客情報流出が懸念される事態となった。一度侵入に成功した企業は、セキュリティ体制の弱点が判明しており、攻撃者間で情報共有される可能性があると専門家は指摘している。
パターン④:致命的損害型(DMM型)
DMM Bitcoinは482億円流出により2024年12月に廃業を発表し、サイバー攻撃が企業の存続そのものを奪った稀有な事例となった。仮想通貨取引所という業態の特性上、信頼が失われた時点で事業継続が不可能になったのである。
アサヒについては現時点では事業継続に問題はないが、情報漏えいの内容次第では信頼失墜や訴訟リスクも懸念される。特に食品・飲料業界では消費者の信頼が事業の生命線であり、今後の調査結果の公表が注目される。
【アサヒは「第二のKADAOKAWA」――DX推進の落とし穴】
専門家の分析でも、アサヒのケースは「KADAOKAWAと類似した仮想化基盤攻撃」と位置づけられている。この攻撃パターンには4つの特徴がある。
第一に、効率性を追求したDXの裏側を突く点である。アサヒは2019年以降、国内業務を「Asahi Group Japan」に統合し、調達・生産・物流・販売を一貫管理する体制を構築していた。これは効率化とコスト削減には大きく寄与したが、同時に単一点障害のリスクを内包していたのである。
第二に、仮想化基盤という単一点を制圧することで、全システムを一網打尽にできる点である。攻撃者は仮想化基盤という「司令塔」を狙うことで、個別のサーバーを一台ずつ攻撃する必要がなくなった。
第三に、業務全体を一気に麻痺させる破壊力である。アサヒでは複数部署で同時に障害が発生し、受注も出荷も停止するという前代未聞の事態となった。
第四に、復旧に長期間を要する点である。KADAOKAWAは復旧に1ヶ月以上を要し、アサヒも10月6日時点で見通しが立っていない。仮想化基盤全体を再構築する必要があるため、通常のシステム障害よりも復旧が困難なのである。
アサヒの事例は、KADAOKAWAに続く「第二のKADAOKAWA事件」として、日本企業のDX推進における構造的リスクを改めて浮き彫りにした。
【攻撃者は誰か――犯行グループの特定状況】
アサヒについては、10月6日時点で犯行声明を出したランサムウェアグループは特定されていない。The Registerによると、現時点でランサムウェアのダークウェブサイトにアサヒの名前は掲載されていないが、これは交渉が進行中の可能性を示唆している。
2025年に日本企業を積極的に標的としているグループとしては、Qilinが最も活発である。また、2025年6月に出現した新興グループKawa4096も、既に日本企業2社を攻撃しており警戒が必要だ。
過去の事例では、KADAOKAWAを攻撃したBlackSuit、HOYAを攻撃したHunters International、名古屋港を攻撃したLockBit、DMM Bitcoinを攻撃した北朝鮮系TraderTraitorなど、組織化された犯罪グループが日本企業を標的にしている実態が明らかになっている。
【日本企業が今すべきこと――4つのパターンから学ぶ教訓】
過去の事例から学べる教訓は多い。
仮想化基盤型攻撃への対策としては、セグメンテーションが有効である。アサヒの欧州やオセアニアの拠点が影響を受けなかったのは、地域ごとにネットワークを分離していたためと考えられる。仮想化基盤のセキュリティ強化と、バックアップの分散管理も重要である。
サプライチェーン攻撃への対策としては、取引先のセキュリティ監査と、ゼロトラストアーキテクチャの導入が求められる。小島プレス工業やDMM Bitcoinの事例が示すように、自社のセキュリティが完璧でも、取引先経由で侵入されるリスクは常に存在する。
繰り返し被害を防ぐには、インシデント後の徹底的な原因究明と、継続的なセキュリティ投資が不可欠である。HOYAのように3度も攻撃を受けることは、対策が不十分であることを意味している。
致命的損害を回避するには、事業継続計画(BCP)の策定とサイバー保険の検討が重要である。DMM Bitcoinの廃業は、サイバー攻撃が企業の存続そのものを脅かすことを示した。
【DXの光と影――効率化と脆弱性の両面】
アサヒとKADAOKAWAの事例が教えるのは、DXによる効率化と集約が「単一点障害」というリスクを生むという現実である。システムを統合すればするほど運用は効率的になるが、その一点が破られた時の影響は甚大となる。
日本企業の多くが同様の仮想化基盤を導入しており、アサヒとKADAOKAWAの事例は日本企業全体への警告である。セキュリティとビジネス継続性のバランスをどう取るかが、今後の企業経営の重要な課題となる。
林芳正官房長官は10月3日の記者会見で「関係省庁が協力して情報収集にあたっている。サイバー対応能力の強化は喫緊の課題」と述べ、政府として事態を重視していることを示した。2025年上半期だけで68件の被害が発生している現状を踏まえれば、官民一体でのサイバーセキュリティ対策の強化が急務である。
From: 
サイバー攻撃によるシステム障害発生について(第2報)
【編集部解説】
今回のアサヒグループへのサイバー攻撃は、日本企業のDX推進が抱える構造的な課題を浮き彫りにしました。過去5年間の主要事例を分析すると、攻撃は4つのパターンに分類され、それぞれ異なる対策が必要であることが明らかになります。
アサヒはKADAOKAWA型の「仮想化基盤攻撃」に分類されます。この攻撃パターンの最大の特徴は、DXによる効率化の中核である仮想化基盤を制圧することで、企業の業務システム全体を一気に麻痺させる点にあります。2020年には1件だった仮想化基盤への攻撃が、2023年には63件と急増しており、世界で8万6000台の仮想基盤に未修正の脆弱性が残っているという深刻な状況です。
特に注目すべきは、工場の制御系(OT)が無事でも生産が止まった点です。現代の製造業はERPシステムなしには法令遵守のための帳票やトレーサビリティラベルを発行できず、物理的に製造可能でも出荷できない構造になっています。これはIT依存の脆弱性を象徴する事例と言えます。
一方、小島プレス工業やDMM Bitcoinは「サプライチェーン攻撃型」に分類されます。大企業を直接攻撃せず、セキュリティの手薄な取引先を踏み台にする間接攻撃です。トヨタは1日間の工場停止で約280億円の損失、DMM Bitcoinは482億円流出により廃業に追い込まれました。自社のセキュリティが完璧でも、取引先経由で侵入されるリスクは常に存在します。
HOYAは「繰り返し被害型」の典型例です。2019年、2021年、2024年の3度攻撃を受けており、「お得意様」化の恐怖を示しています。一度侵入に成功した企業は、セキュリティ体制の弱点が判明しており、攻撃者間で情報共有される可能性があります。インシデント後の徹底的な原因究明と継続的なセキュリティ投資が不可欠です。
DMM Bitcoinは「致命的損害型」として、サイバー攻撃が企業の存続そのものを奪った稀有な事例です。仮想通貨取引所という業態の特性上、信頼が失われた時点で事業継続が不可能になりました。アサヒについても、情報漏えいの内容次第では信頼失墜や訴訟リスクが懸念されます。
2025年上半期の被害件数は68件で前年比1.4倍、2024年通年では197件と急増しています。被害企業の57%が中小企業、製造業が18.2%で最多を占めます。侵入経路はVPN機器が63%と圧倒的に多く、復旧期間は20%超が1ヶ月以上、被害総額1,000万円以上が37%に達しています。
日本企業を積極的に標的とするランサムウェアグループQilinと、2025年6月出現の新興グループKawa4096が特に活発です。過去の事例では、BlackSuit(KADOKAWA)、Hunters International(HOYA)、LockBit(名古屋港)、TraderTraitor(DMM Bitcoin・北朝鮮系)など、組織化された犯罪グループが日本企業を狙っています。
企業が今すべき対策は、自社がどのパターンに該当するかを見極め、適切な防御策を講じることです。仮想化基盤型にはセグメンテーションとバックアップ分散、サプライチェーン攻撃型には取引先監査とゼロトラスト、繰り返し被害型には継続投資、致命的損害型にはBCPとサイバー保険が有効です。
アサヒとKADAOKAWAの事例は、DXの光と影を象徴しています。効率化と集約は生産性を高めますが、単一点障害のリスクも高まります。セキュリティとビジネス継続性のバランスが、今後の企業経営の最重要課題となるでしょう。
【用語解説】
ランサムウェア
マルウェアの一種で、被害者のコンピューターやサーバーのデータを暗号化し、復号化と引き換えに身代金を要求する攻撃手法である。近年、企業の基幹システムを標的とした大規模攻撃が増加している。
仮想化基盤
複数の物理サーバーを仮想的に統合し、効率的に管理するためのインフラストラクチャである。VMware ESXiなどの製品が広く使われているが、この基盤が攻撃されると全ての仮想サーバーが影響を受ける。
Active Directory(AD)
Microsoftが提供するユーザー認証とアクセス制御を管理するシステムである。ADが暗号化されると、ユーザーがシステムにログインできなくなり、業務全体が停止する。
単一点障害(Single Point of Failure)
システムのある一点が故障すると、システム全体が機能しなくなる状態を指す。効率化のためにシステムを統合すると、この単一点障害のリスクが高まる。
二重恐喝型ランサムウェア
データを暗号化するだけでなく、事前に盗み出した情報をダークウェブなどで公開すると脅迫する手法である。身代金を支払ってもデータ流出のリスクが残る。
サプライチェーン攻撃
標的企業そのものではなく、セキュリティ対策が手薄な取引先や関連会社のシステムを踏み台にして侵入する攻撃手法である。小規模な企業を経由して大企業に打撃を与える。
セグメンテーション
ネットワークを複数の小さな区画(セグメント)に分割するセキュリティ対策である。万が一、一部が侵入されても被害を限定的に抑える効果が期待できる。
ダークウェブ
通常の検索エンジンではアクセスできず、特別なブラウザを必要とする匿名性の高いインターネット空間である。盗まれたデータの売買や、身代金を支払わない企業の情報を公開する場として攻撃者に利用される。
OT(運用技術)システム
Operational Technologyの略で、工場の製造ラインや物流システムなど、物理的なプロセスを監視・制御するシステムを指す。IT(情報技術)システムとは異なり、数十年前に設計されたものが多く、現代のサイバーセキュリティ対策が十分でないことが課題となっている。
ゼロトラストアーキテクチャ
「すべてを信頼しない」という前提に立つセキュリティモデルである。社内ネットワークであっても全てのアクセスを検証し、必要最小限の権限のみを付与することで、侵入後の被害拡大を防ぐ。
【参考リンク】
アサヒグループホールディングス株式会社(外部)
日本最大のビール醸造企業。スーパードライを主力商品とし、2024年の年間売上高は約2兆9,394億円に達する。
KADOKAWA(外部)
日本の総合エンターテインメント企業。2024年6月にランサムウェア攻撃を受け、25万人の情報流出が発生した。
HOYA株式会社(外部)
光学機器・医療機器メーカー。2019年、2021年、2024年の3度にわたりサイバー攻撃を受けた。
警察庁 サイバー警察局(外部)
日本のサイバーセキュリティを担当する政府機関。サイバー攻撃に関する注意喚起や統計情報を提供している。
JPCERTコーディネーションセンター(外部)
日本国内のコンピュータセキュリティインシデントに対応する組織。サイバー攻撃の技術情報やレポートを提供する。
トレンドマイクロ セキュリティブログ(外部)
サイバーセキュリティ企業が運営する情報サイト。日本国内のセキュリティインシデント動向を定期的に分析している。
【参考動画】
※本記事に関連する適切なYouTube動画が見つかりませんでした。サイバーセキュリティに関する最新情報は、上記の参考リンクをご参照ください。
【参考記事】
Japanese beer giant Asahi confirms ransomware attack(外部)
Bleeping Computerによる詳細報道。アサヒの攻撃について技術的側面を解説している。
Asahi cyberattack’s broad impact shows downside of bigger IT systems(外部)
Nikkei Asia報道。大規模IT統合システムのリスクを分析している記事である。
アサヒグループの出荷業務を止めたランサムウェア被害の核心(外部)
ITmedia専門家による技術分析。仮想化基盤とADを標的とした単一点障害攻撃を詳述している。
仮想化基盤は大きなリスクに?KADOKAWA事件に学ぶべきこと(外部)
KADAOKAWAの攻撃事例を詳細に分析し、仮想化基盤への攻撃急増を報告している。
北朝鮮を背景とするサイバー攻撃グループTraderTraitorについて(外部)
警察庁の公式発表。DMM Bitcoinの482億円流出事件の犯行グループを特定した。
HOYAのランサムウエア被害、内視鏡検査受診者1000人分の情報流出可能性(外部)
日経クロステック報道。HOYAの3度目のサイバー攻撃について詳細を報告している。
ランサムウェア国内事例9選!攻撃傾向と対策を解説(外部)
日本企業の主要ランサムウェア被害事例をまとめた総合的な分析記事である。
【編集部後記】
今回のアサヒへのサイバー攻撃は、私たちの日常に直結する問題です。いつも手に取る飲料が突然店頭から消えるかもしれない――そんな事態が現実になりつつあります。
過去5年間の主要事例を分析して見えてきたのは、日本企業のDX推進が抱える構造的な課題です。効率化のために統合したシステムが、逆に「単一点障害」という致命的なリスクを生んでいます。KADAOKAWAに続き、アサヒもまた仮想化基盤を狙われました。2020年に1件だった仮想化基盤への攻撃が、2023年には63件と急増している事実は、明日は我が身という危機感を持つべきだと教えています。
特に衝撃的だったのは、工場の制御系が無事でも生産が止まったという点です。現代の製造業はITシステムなしには法令遵守すらできない構造になっており、デジタル依存の脆弱性が露呈しました。小島プレス工業の事例ではトヨタの全工場が停止し、DMM Bitcoinは482億円流出により廃業に追い込まれました。サイバー攻撃が企業の存続そのものを脅かす時代になったのです。
2025年上半期だけで68件の被害が発生し、前年比1.4倍という急増ぶりです。被害企業の57%が中小企業であり、侵入経路の63%がVPN機器でした。復旧に1ヶ月以上かかるケースが20%超、被害総額1,000万円以上が37%という数字は、サイバーセキュリティがもはや一部の専門家だけの問題ではなく、経営層が真剣に向き合うべき経営課題であることを示しています。
日本企業を積極的に標的とするQilinや、新興グループKawa4096の活動も活発化しています。組織化された犯罪グループが、日本企業の脆弱性を研究し、計画的に攻撃を仕掛けてきています。
この記事を通じて、読者の皆さまには自社がどの攻撃パターンに該当するかを見極め、適切な防御策を講じていただきたいと思います。仮想化基盤型にはセグメンテーション、サプライチェーン攻撃型には取引先監査、繰り返し被害型には継続投資、致命的損害型にはBCPとサイバー保険――それぞれに有効な対策があります。
アサヒの一刻も早い復旧を願うとともに、この事例が日本企業全体のセキュリティ意識を高めるきっかけになることを期待します。DXの光と影を理解し、効率化とセキュリティのバランスを取ることが、これからの企業経営に求められています。
