アサヒグループホールディングス サイバー攻撃インシデント 記者会見

■日時・場所

2025年11月27日（動画公開日ベース）

■登壇者

勝木 敦志氏（代表取締役社長 兼 CEO）

咲田 康介氏（取締役 兼 執行役員）

浜田 賢司氏（アサヒグループジャパン代表取締役社長 兼 CEO）

■概要

2024年9月29日に発生したランサムウェア攻撃に関する経緯、原因、復旧状況、および今後の対策についての技術的・経営的総括。

1. インシデントの技術的詳細と攻撃チェーン

攻撃の進行プロセスは以下の通りです。

侵入経路と潜伏

• 初期侵入 障害発生の約10日前（9月19日頃）、外部攻撃者がグループ内拠点の「ネットワーク機器（VPN装置と推測される）」を経由して侵入 ¹¹¹¹。
• 権限奪取 データセンターへ侵入後、パスワードの脆弱性を突いて管理者権限を奪取 ²²。アカウントを正当に利用（なりすまし）してネットワーク内を探索 ³³。
• 偵察活動 主に業務時間外に複数のサーバーへの侵入と偵察を繰り返していた ⁴⁴。

実行と被害

• ランサムウェア実行 9月29日早朝、認証サーバーからランサムウェアが一斉実行され、サーバーおよびPC端末の一部データが暗号化 ⁵⁵。
• 被害範囲 国内工場の製造ライン（OT領域）は独立していたため無傷だったが、受注・出荷システム等の物流関連システムが停止 ⁶⁶⁶。
• 情報漏洩 従業員の端末から一部データが流出。顧客情報の漏洩の恐れがある件数は約152万件（氏名、住所等） ⁷⁷。

防御の限界

• EDRの敗北 EDR（Endpoint Detection and Response）を導入していたが、攻撃手法が高度・巧妙であったため検知できなかった ⁸。
• 境界防御の突破 従来はNIST基準でのアセスメントを実施し十分と判断していたが、境界防御（ファイアウォール前提）のモデルでは防ぎきれなかった ⁹。

2. 復旧プロセスと長期化の論理的理由

「バックアップがあるのに、なぜ復旧に2ヶ月かかったのか」という重要論点です。

復旧のボトルネック

• 汚染環境の浄化 バックアップデータ自体は無事だった ¹⁰¹⁰。しかし、単にデータを書き戻すだけでは「バックドアが残っている」「再感染する」リスクがあるため、即時のリストアができなかった ¹¹¹¹¹¹。
• フォレンジックと安全性確認 全てのサーバーに対し、外部専門機関によるフォレンジック調査と健全性チェックを実施し、安全な環境を再構築してからデータを戻す手順を踏んだため時間を要した ^12121212。

事業継続対応（BCP）

• アナログ対応 システム停止中は、Excelや手作業、電話、FAXによる「昭和の時代に戻ったような」受注・出荷対応を実施 ¹³¹³。
• 段階的復旧 12月よりEOS（受発注システム）を再開するが、SKU（取り扱い品目数）やリードタイムの完全正常化は翌年2月以降となる見通し ^14141414。

3. 再発防止とセキュリティアーキテクチャの刷新

即時対策

• VPNの廃止 侵入経路となった可能性が高いVPN接続を廃止 ^15151515。
• ネットワーク分離の強化 インターネット経由の接続を安全な領域に限定し、アクセス制限を厳格化 ¹⁶¹⁶。

中長期的対策

• ゼロトラストへの移行加速 移行中であったゼロトラストセキュリティ環境の構築を前倒しで完了させ、境界防御モデルからの脱却を図る ^17171717。
• EDR設定の見直し 検知精度向上のためのチューニングと監視体制の強化 ¹⁸¹⁸。
• バックアップ戦略の再設計 単一のバックアップではなく、復旧速度を考慮した分散保管等を検討 ¹⁹。

4. エンジニアのための学び（Lessons Learned）

本件から得られる、技術者およびセキュリティ担当者が認識すべき論理的な教訓は以下の通りです。

A バックアップの「復元性」と「清潔性」の定義

バックアップ取得はゴールではない。インシデント発生時、汚染されたネットワーク上でバックアップをリストアすることは不可能である。

• 学び 復旧計画（DR）には「クリーンな復旧環境をどう迅速に用意するか（Immutable infrastructure等）」を含める必要がある ²⁰。

B 境界防御（VPN）の限界とID管理

VPN機器の脆弱性と弱いパスワード管理（管理者権限奪取）が致命傷となった 21212121。

• 学び VPN機器へのパッチ適用は最優先事項である。また、ID管理（特権IDの保護、多要素認証の徹底）が破られると、内部探索を許し、EDRすら回避される可能性がある。

C OTとITの分離効果とサプライチェーンリスク

工場のOTシステムが独立していたことで「製造」は止まらなかったが、「出荷（IT）」が止まったため、結果的に製品を市場に出せなかった 22。

• 学び OTとITの分離は重要だが、ビジネス全体のBCPとしては、ITダウン時の物流・出荷の代替手段（マニュアル運用の限界点）を設計しておく必要がある。

D 「想定内」の基準見直し

NIST基準のアセスメントで「十分」と判断していたが、攻撃者はそれを上回った 23。

• 学び コンプライアンス基準の準拠と、実戦的な防御能力はイコールではない。レッドチーム演習など、より攻撃者視点での検証が求められる。