インシデント概要
| 被害企業 | 朝日グループホールディングス株式会社(アサヒGHD) |
| 事業内容 | アサヒビール・アサヒ飲料・アサヒグループ食品など傘下に持つ酒類・飲料・食品メーカー持株会社。売上高は連結で約2兆円規模 |
| 異常検知日 | 2025年9月29日(月)午前7時頃 |
| 公表日 | 2025年9月29日(同日) |
| インシデント種別 | ランサムウェア攻撃(Qilin)による暗号化・データ窃取 |
| 侵入経路 | グループ内拠点のネットワーク機器(VPN等)経由→データセンターへ侵入。検知の約10日前に初期侵入 |
| 攻撃グループ | Qilin(キーリン):ロシア語圏に起源を持つRaaS(Ransomware as a Service)グループ |
| 個人情報漏えい | 【確定】115,513件(取引先・従業員等)/当初発表:最大191万4,000件の可能性 |
| 身代金支払い | なし |
| 業務正常化 | 2026年2月12日(物流が正常化) |
| 調査状況 | 調査完了(2026年2月18日 最終報告・再発防止策公表) |
時系列
公式発表および報道を基に整理した時系列です。
9月19日頃
後の調査で、システム障害発生の約10日前に、グループ内拠点のネットワーク機器を経由してアサヒGHDのネットワークへ侵入したことが判明。
午前7時
アサヒGHDのシステムで障害が発生。暗号化されたファイルが確認される。同社は即日対応を開始。
午前11時
被害を最小限に抑えるため、ネットワークを遮断しデータセンターの隔離措置を実施。これにより出荷量が通常の10%程度まで低下。
ロシア系ランサムウェアグループ「Qilin」がダークウェブ上で犯行声明を発出。財務情報・事業計画・従業員個人情報を含む少なくとも27GBのデータを窃取したと主張。
勝木敦志社長が記者会見。最大191万4,000件の個人情報が外部に流出した可能性を公表。「防げた攻撃だった」と述べ、基本対策の不備を認める。
アサヒビール・アサヒ飲料にて受注および出荷に関するシステムが再開。アサヒグループ食品は12月2日に先行再開。
2月12日
ビール・飲料商品の物流が正常化したことを公表。攻撃発生から約4.5ヶ月で業務が完全復旧。
調査が完了した内容と再発防止策を公表。漏えいが確定した個人情報は取引先・従業員情報115,513件。再発防止策として「サイバーセキュリティ基準」の制定、独立した情報セキュリティ担当組織の設置、VPN廃止・ゼロトラスト移行などを発表。
技術的詳細(攻撃手口・侵入経路)
最終調査報告により、侵入経路と手口の概要が明らかになっています。
アサヒGHDへの攻撃は、以下の手順で実行されたと報告されています。
- 初期侵入:グループ内拠点に設置されたネットワーク機器(VPN等)の脆弱性または設定不備を突き、アサヒGHDのネットワークに侵入。検知の約10日前(2025年9月19日頃)に初期アクセスを取得したとされる。
- 潜伏・横展開:侵入後、約10日間ネットワーク内を移動し、データセンターへのアクセス権を確立。
- データ窃取:財務情報・事業計画・従業員・取引先情報など少なくとも27GBのデータを外部に持ち出し(二重脅迫の準備)。
- 暗号化・身代金要求:2025年9月29日にファイル暗号化を実行。身代金を要求するが同社は支払いを拒否。
Qilinの特徴と手口
Qilinはロシア語圏を拠点とするRaaS(Ransomware as a Service)グループで、2022年頃から活動が確認されています。攻撃者がツールセットを「借りて」攻撃を実行するビジネスモデルのため、攻撃者のスキルレベルが低くても大規模な組織を攻撃できる点が特徴です。
| フェーズ | 内容 | 今回のケース |
|---|---|---|
| ①初期侵入 | VPN脆弱性・フィッシング等 | グループ内拠点のネットワーク機器経由 |
| ②潜伏・横展開 | 権限昇格・ラテラルムーブメント | 約10日間(推定) |
| ③データ窃取 | 機密データを外部サーバーへ転送 | 少なくとも27GB |
| ④暗号化 | ファイルを暗号化・業務を麻痺させる | 出荷量が通常の10%まで低下 |
| ⑤二重脅迫 | 「支払わなければデータを公開する」 | 身代金支払い拒否・データ非公開 |
中小企業への教訓
アサヒGHDは「防げた攻撃だった」と自認するように、侵入を許した根本原因はVPN機器の管理不備・ネットワーク分離の不徹底など、基本的なセキュリティ対策の欠如にありました。大企業でも「形だけの対策」で不十分な状態に陥ることがあります。中小企業はより資源が限られるからこそ、優先事項を絞って確実に実施することが重要です。
- VPN機器は「開いた扉」になりやすい:今回の侵入口はグループ内のネットワーク機器(VPN等)でした。特に中小企業では古いVPN装置を長期間使い続けるケースが多く、未パッチの脆弱性が侵入口になります。定期的なファームウェア更新と、不要なVPN機器の廃止が急務です。
- 「防げた攻撃」を防がなかった代償は大きい:業務停止から物流正常化まで約4.5ヶ月。この間の売上損失・対応コスト・信頼低下は計り知れません。中小企業ならば、これだけで事業継続が危うくなりかねません。
- グループ・子会社・関連会社経由の侵入リスク:本インシデントではグループ内の拠点のネットワーク機器が侵入口になりました。複数拠点・関連会社がある場合、セキュリティ水準が低い場所が突破口になります。全拠点の機器棚卸しが必要です。
- 「191万件→115,513件」の落差が示すもの:当初の推定と最終確認の差は、インシデント直後の状況把握の困難さを示しています。被害規模の誤った公表は顧客・取引先の不信感を招きます。インシデント発生時は慎重な情報発信が求められます。
- ネットワーク分離の重要性:本件ではデータセンターへの横展開を許しました。重要サーバーへのアクセスをセグメント分離しておけば、被害が局所的に抑えられた可能性があります。
- VPN機器・ルーターのファームウェアをメーカーサイトで確認し、最新版に更新する(最重要)
- 使用していないVPNアカウント・機器を棚卸しし、不要なものは無効化・廃止する
- 重要なサーバーと一般端末のネットワークを分離し、横展開を防ぐ
- 重要データの外部バックアップを実施し、バックアップはネットワークから切り離して保管する
- EDR(エンドポイント検知・対応)ツールの導入を検討する
- 関連会社・複数拠点がある場合、各拠点のVPN・ネットワーク機器の状態を統一的に把握する
- インシデント発生時の連絡先リスト(IPA・JPCERT/CC・顧問IT業者)を事前に用意しておく
企業の対応・再発防止策
アサヒGHDは2026年2月18日に最終的な再発防止策を公表しました。サイバー攻撃を「経営上の最重要リスクの一つ」と位置づけ、グループ全体で遵守すべき「サイバーセキュリティ基準」を制定しています。
| 対策項目 | 内容 |
|---|---|
| VPNの廃止 | 侵入経路となったリモートアクセスVPNを廃止し、通信経路を再構築 |
| ゼロトラスト移行 | ゼロトラスト端末への全面移行。「信頼しない・常に検証する」設計に転換 |
| EDR強化 | エンドポイントの検知・対応能力を強化。異常の早期発見・封じ込めを徹底 |
| ネットワーク分離 | 重要サーバーと一般端末のネットワークを分離し、横展開を防止 |
| ペネトレーションテスト | 定期的な侵入テストを継続実施し、脆弱性の早期発見に努める |
| 独立組織設置 | 情報セキュリティを管轄する独立した組織を設置し、ガバナンス体制を強化 |
| サイバーセキュリティ基準 | グループ全体で遵守すべきセキュリティ基準を制定・運用 |
編集部まとめ
アサヒGHDへのQilin攻撃は、食品・飲料業界の大手企業であっても「基本的なVPN管理」を怠れば壊滅的な被害を受けることを示しました。出荷量が10分の1に落ちるという被害は、食品流通というインフラ事業の脆弱性も露わにしました。
「防げた攻撃だった」という社長の言葉が重要です。ランサムウェア被害を防ぐのに最新の高度なセキュリティ製品は必ずしも必要ではなく、「VPNのパッチ適用」「ネットワーク分離」「バックアップ」という基本中の基本が機能していれば、被害が防げるか最小化できた可能性があります。
今回の最終報告で漏えい件数が191万件から115,513件に大幅に絞り込まれた点も教訓です。インシデント直後の情報発信は慎重に行う必要があり、早急な公表と正確性のバランスが課題となります。
調査完了・最終報告公表。漏えい確定115,513件(取引先・従業員)。再発防止策(VPN廃止・ゼロトラスト移行・EDR強化等)を公表。情報セキュリティ担当の独立組織を設置。(公式リリース)
ビール・飲料商品の物流が正常化。攻撃発生から約4.5ヶ月で業務が完全復旧。
アサヒビール・アサヒ飲料で受注・出荷システムが再開(アサヒグループ食品は12月2日に先行再開)。
記者会見。最大191万4,000件の個人情報漏えいの可能性を公表。勝木社長「防げた攻撃だった」と発言。
参考情報・出典
- サイバー攻撃被害の再発防止策とガバナンス体制の強化について|アサヒグループホールディングス(2026年2月18日)
- サイバー攻撃による情報漏えいに関する調査結果と今後の対応について|アサヒグループホールディングス(2025年11月27日)
- アサヒグループHD、ランサムウェア攻撃によるシステム障害について、調査が完了した内容と再発防止策を公開|INTERNET Watch
- アサヒグループホールディングスへのランサムウェア攻撃、個人情報 115,513 件の漏えいを確認|ScanNetSecurity
- アサヒGHDへのサイバー攻撃は「Qilin」 ロシア系ランサムウェア集団|日本経済新聞
- アサヒビール「形だけのセキュリティ対策」が招いた大混乱|東洋経済オンライン
