2025年11月27日、大手ビールメーカーのアサヒグループホールディングスは、2025年9月に発生した大規模なサイバー攻撃により、約191.4万人の個人情報が漏洩した可能性があると発表しました。この中には、152.5万人の顧客情報が含まれています。攻撃の影響で一時的に事業運営が中断される事態となりました。
発表によると、漏洩した可能性のある情報は、氏名、性別、生年月日、住所、メールアドレス、電話番号など多岐にわたります。クレジットカード情報については、漏洩の事実は確認されていません。アサヒグループホールディングスは、今回の事態を重く受け止め、徹底的な原因究明と再発防止策の強化に取り組むとしています。
今回のサイバー攻撃は、同社の事業運営にも大きな影響を与えました。9月下旬には、日本国内での受注や出荷業務、コールセンター、お客様相談室などの機能が一時的に停止しました。また、10月に予定されていた新商品の発売も延期せざるを得ない状況となりました。アサヒグループホールディングスは、システムの完全復旧に向けて全力を尽くすとともに、グループ全体の情報セキュリティ対策を強化する方針を示しています。
アサヒグループホールディングスの勝木敦志社長兼グループCEOは、「今回のシステム停止により、多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。一日も早いシステム復旧と再発防止策の徹底、グループ全体の情報セキュリティ強化に全力を尽くしてまいります」とコメントしています。
Qilinランサムウェアグループによる犯行声明とデータリークの脅威
今回のサイバー攻撃について、Qilinランサムウェアグループが犯行声明を出しています。10月7日には、セキュリティ情報サイトComparitechが、Qilinグループがアサヒグループホールディングスをデータリークサイトに掲載し、27GBのファイルを盗んだと主張していることを報じました。Qilinグループは、二重脅迫の手口で知られており、被害企業からの身代金支払いが確認できない場合、盗んだデータを公開すると脅迫します。
Immersive社のサイバー担当シニアマネージャーであるケビン・マリオット氏は、「顧客データの盗難は、アサヒグループのチームが直面しているプレッシャーをさらに高めるだけでなく、2月まで事業が完全に復旧しない可能性も示唆しています」と警告しています。顧客は今後の状況の変化に注意し、不審な連絡には警戒する必要があります。
Qilinランサムウェアグループは、過去にも複数の企業や組織を標的にサイバー攻撃を仕掛けており、その手口は巧妙化の一途をたどっています。今回の事件は、企業がランサムウェア攻撃に対して、より一層の警戒と対策を講じる必要性を示唆しています。特に、二重脅迫の手口を用いるランサムウェアグループに対しては、データのバックアップや復旧体制の強化だけでなく、情報漏洩対策も重要となります。
アサヒグループホールディングスは、今回のデータ漏洩の可能性を受けて、影響を受けた可能性のある顧客に対して、注意喚起を行うとともに、今後の対応について説明していくとしています。また、個人情報の不正利用に対する警戒を呼びかけています。
ネットワーク機器の脆弱性とOT/IT環境への影響
Avanade社のグローバルセキュリティプラクティステクノロジーリードであるジェイソン・レビル氏は、アサヒグループホールディングスへのサイバー攻撃について、「運用技術(OT)/情報技術(IT)カバレッジネットワークにおけるリスクの高まりを浮き彫りにしています。ゼロトラストの原則が、規模や業界に関わらず、すべての組織にとって不可欠であることを示しています」と指摘しています。
同氏によると、今回の侵害は、ある拠点のネットワーク機器から始まり、OT環境に影響を与え、顧客データが暴露されたITシステムにまで拡大した可能性があるとのことです。この分析は、ネットワークの脆弱性が、OT環境とIT環境の両方に影響を及ぼす可能性があることを示唆しており、企業は、ネットワーク全体のセキュリティ対策を強化する必要があります。
特に、OT環境は、従来のIT環境とは異なるセキュリティ対策が必要となる場合があります。OT環境は、産業用制御システム(ICS)や製造設備など、重要なインフラを制御するシステムで構成されており、これらのシステムが攻撃を受けると、事業運営に深刻な影響を及ぼす可能性があります。そのため、OT環境のセキュリティ対策は、IT環境とは別に、専門的な知識と技術が必要となります。
今回の事件は、OT/IT環境の統合が進む中で、セキュリティ対策の重要性がますます高まっていることを示しています。企業は、OT環境とIT環境の両方を包括的に保護するために、ゼロトラストの原則に基づいたセキュリティアーキテクチャを導入し、ネットワークの可視化と制御を強化する必要があります。
事業継続計画(BCP)とサプライチェーンリスクの再評価
今回のサイバー攻撃は、アサヒグループホールディングスの事業継続計画(BCP)にも影響を与えました。システムの停止により、受注や出荷業務が一時的に停止し、新商品の発売も延期されるなど、事業運営に大きな支障が生じました。このことは、企業がサイバー攻撃に対する事業継続計画を策定し、定期的に見直すことの重要性を示唆しています。
事業継続計画には、サイバー攻撃が発生した場合の対応手順や、システムの復旧手順、事業の中断を最小限に抑えるための対策などを盛り込む必要があります。また、従業員に対するセキュリティ教育や訓練も重要となります。従業員がサイバー攻撃の手口や対策について理解していれば、攻撃を未然に防ぐことができる可能性が高まります。
さらに、今回の事件は、サプライチェーンリスクの重要性も浮き彫りにしました。アサヒグループホールディングスは、サプライチェーン全体でセキュリティ対策を強化し、取引先との連携を密にすることで、サプライチェーン全体のリスクを低減する必要があります。サプライチェーン攻撃は、近年増加傾向にあり、企業は、自社だけでなく、取引先のセキュリティ対策状況も把握し、サプライチェーン全体でのセキュリティレベルを向上させる必要があります。
シャンカー・ハリダス氏(ManageEngineの英国・アイルランド責任者)は、アサヒグループホールディングスが2024年の報告書で、このような攻撃が事業を中断させる可能性があることを認識し、セキュリティ体制を見直していることに注目しました。「これは、企業がデジタル防御にこれまで以上に投資しているにもかかわらず、攻撃者がサプライチェーンの脆弱な部分を悪用したり、信頼できるパートナーを通じて侵入したりすることで、企業を上回っているという広範な事実を反映しています」と述べています。
顧客への影響と今後の対策
アサヒグループホールディングスは、今回のサイバー攻撃で個人情報が漏洩した可能性のある顧客に対し、注意喚起を行っています。具体的には、不審なメールや電話、SMSなどに注意し、身に覚えのない請求や連絡があった場合は、警察や消費生活センターなどに相談するよう呼びかけています。また、同社は、今後の対応について、ウェブサイトや広報などを通じて、随時情報を提供していくとしています。
今回の事件は、企業が顧客の個人情報を保護するために、より一層のセキュリティ対策を講じる必要性を示唆しています。企業は、個人情報の収集、保管、利用、廃棄といったライフサイクル全体を通じて、適切なセキュリティ対策を実施する必要があります。また、従業員に対する個人情報保護に関する教育や訓練も重要となります。
さらに、企業は、個人情報保護に関する法令や規制を遵守する必要があります。近年、個人情報保護に関する法令や規制は、世界的に強化される傾向にあり、企業は、これらの法令や規制を常に把握し、遵守する必要があります。違反した場合、多額の制裁金が科せられる可能性もあります。
今回の事件を教訓に、アサヒグループホールディングスは、情報セキュリティ対策を抜本的に見直し、再発防止に努めるとしています。また、顧客や取引先との信頼関係を維持するために、透明性の高い情報公開を行うとともに、誠実な対応を心がけるとしています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Asahi Confirms 1.5 Million Customers Affected in Major Cyber-Attack - https://www.infosecurity-magazine.com/news/asahi-15-million-customers/