アサヒグループホールディングスは11月27日、9月29日に発生したランサムウェア攻撃による情報漏えいの調査結果を公表した。攻撃者はグループ内のネットワーク機器を経由してデータセンターに侵入し、接続中のサーバーやパソコン端末のデータを暗号化した。
流出した個人情報は合計約191.4万件で、内訳は顧客相談室への問い合わせ者約152.5万件、慶弔対応先約11.4万件、従業員・退職者約10.7万件、従業員家族約16.8万件である。クレジットカード情報は含まれず、インターネット上への公開も確認されていない。
同社は約2カ月にわたりランサムウェアの封じ込めとシステム復元作業を実施し、外部専門機関によるフォレンジック調査を経て段階的に復旧を進めている。再発防止策として、通信経路の再設計、接続制限の強化、セキュリティー監視の精度向上、バックアップ戦略の再設計などを実施する。
From: 
サイバー攻撃による情報漏えいに関する調査結果と今後の対応について
【編集部解説】
今回の攻撃を行ったのは、Qilinと呼ばれるランサムウェアグループであることが海外メディアの報道で明らかになっています。QilinはRansomware as a Service(RaaS)と呼ばれる収益スキームを採用しており、技術を持たない犯罪者にもランサムウェア攻撃の実行を可能にする仕組みを提供しています。この集団は2024年6月に英国の医療機関をターゲットにした攻撃でも知られており、データの暗号化と窃取を同時に行う二重恐喝が特徴です。
本件で注目すべきは、攻撃の侵入経路です。攻撃者は直接データセンターに侵入したのではなく、グループ内拠点のネットワーク機器を踏み台にして侵入しました。これは企業ネットワークの横展開と呼ばれる手法で、一度侵入に成功した攻撃者が内部ネットワークを移動しながら権限を拡大し、最終的に重要なシステムに到達する戦術です。今回のケースでは、ネットワークセグメンテーションが不十分だったため、拠点からデータセンターまでの侵入を許してしまった可能性が高いと考えられます。
アサヒグループが公表した再発防止策の中で特に重要なのは、通信経路の再設計とネットワーク制御の強化です。これは具体的には、ネットワークを小さな区画に分割し、各区画間の通信を厳格に制限するマイクロセグメンテーションの導入を意味します。この手法により、仮に一つのセグメントが侵害されても、他のセグメントへの影響を最小限に抑えることが可能になります。また、バックアップ戦略の再設計も重要で、オフライン保管や不変性を持つバックアップの確保が求められます。
日本の企業は国際的にランサムウェアのターゲットとして認識されつつあります。日本の警察庁は2025年上半期だけで116件のランサムウェア被害を報告しており、これは過去最高水準に達しています。サイバーセキュリティ専門家は、日本企業が防御体制の弱さと身代金を支払う傾向があることから、攻撃者にとって魅力的な標的となっていると指摘しています。
長期的な視点では、今回の事件は日本企業全体のセキュリティガバナンスを見直す契機となる可能性があります。2022年4月施行の改正個人情報保護法により、情報漏えい時の個人情報保護委員会への報告と本人通知が義務化されており、企業には法的・社会的責任がより明確に課されるようになりました。今後は単なる技術的対策だけでなく、CISOを中心とした組織横断的なセキュリティ体制の構築と、定期的な訓練・監査の実施が企業の事業継続性を左右する重要な要素となるでしょう。
【用語解説】
ランサムウェア
マルウェアの一種で、感染したコンピューターのデータを暗号化して使用不能にし、復号と引き換えに身代金を要求するサイバー攻撃手法である。
Qilin
2022年頃から活動を開始したランサムウェアグループで、二重恐喝戦術を用いて企業や医療機関を標的にする国際的なサイバー犯罪グループである。
ネットワークセグメンテーション
企業ネットワークを複数の小さな区画に分割し、各区画間の通信を制御することで、セキュリティを強化する設計手法である。
横展開(lateral movement)
攻撃者が初期侵入後、ネットワーク内を移動しながら権限を拡大し、より重要なシステムやデータにアクセスする侵害手法である。
二重恐喝
データを暗号化するだけでなく、事前に窃取したデータを公開すると脅迫する手法で、身代金を支払わせる圧力を強める攻撃戦術である。
Ransomware as a Service(RaaS)
ランサムウェアの技術やインフラを他の犯罪者に提供する収益スキームで、技術を持たない者でも攻撃を実行できるようにするサービス形態である。
マイクロセグメンテーション
ネットワークをさらに細かく分割し、個々のワークロードやアプリケーション単位で通信を厳格に制御する高度なセキュリティ手法である。
フォレンジック調査
サイバー攻撃などの不正行為が行われた際、コンピューターに残された記録を収集・分析し、その実態や侵入経路を解明する専門的な調査手法である。
CISO(Chief Information Security Officer)
企業の情報セキュリティ戦略を統括する最高情報セキュリティ責任者で、組織全体のセキュリティガバナンスを担う役職である。
個人情報保護委員会
個人情報の適正な取扱いを監督する日本の独立行政委員会で、情報漏えい事案の報告受理や企業への指導・勧告を行う機関である。
【参考リンク】
アサヒグループホールディングス株式会社 ニュースルーム(外部)
アサヒグループの公式プレスリリースやお知らせを掲載。今回のサイバー攻撃に関する一連の公表情報や対応状況のアップデートを確認できる企業公式サイト。
個人情報保護委員会(外部)
個人情報の保護に関する法律の運用や企業への指導を行う独立行政委員会。個人情報漏えいに関する報告制度や企業の義務について解説している。
警察庁 サイバー警察局(外部)
国内のサイバー犯罪・サイバー攻撃に関する統計や対策情報を提供。ランサムウェア被害の実態調査や企業向けセキュリティ対策ガイドラインを公開している。
【参考記事】
Hacker group claims responsibility for attack on Japanese beverage giant(外部)
Qilinランサムウェア集団がアサヒグループへの攻撃の犯行声明を出したことをNHKが報道。攻撃者が窃取したデータの公開を脅迫している状況を伝えている。
How hackers forced brewing giant Asahi back to pen and paper(外部)
BBCによる詳細レポート。アサヒグループが攻撃後に紙とペンでの業務に戻らざるを得なかった状況や、日本企業がランサムウェアの標的として認識されつつある背景を解説。
Japan’s Asahi hack that halted beer production claimed by Qilin ransomware group(外部)
ロイターがQilin集団の犯行声明を報道。攻撃によってビール生産が停止し、日本全国で商品供給に影響が出た経緯を詳述している。
Asahi Group Holdings Ransomware Attack 2025: Digital Order System Disrupted(外部)
デジタル受注システムの停止により全国的なビール不足が発生した詳細を分析。攻撃の技術的側面とサプライチェーンへの影響を専門的に解説している。
Brewer Asahi suspends domestic operations after cyberattack disrupts ordering and shipping(外部)
製造業向けサイバーセキュリティメディアによる分析。受注・出荷システムの停止が製造業のサプライチェーンに与える影響を産業的視点から考察している。
【編集部後記】
今回のアサヒグループへのランサムウェア攻撃は、日本の大手企業が直面するサイバーセキュリティの現実を浮き彫りにしました。特に注目すべきは、攻撃者が直接的な侵入ではなく、グループ内拠点のネットワーク機器を踏み台にした横展開戦術を用いた点です。これは多くの日本企業が抱える構造的な脆弱性を示しています。
2カ月にわたるシステム停止は、デジタル化が進んだ現代企業にとって事業継続性の危機そのものです。アサヒグループが紙とペンでの業務に戻らざるを得なかった状況は、私たちがいかにデジタルインフラに依存しているかを再認識させます。
