更新日:
アサヒグループホールディングスは、2025年9月29日にランサムウェア「Qilin」による攻撃を受けました。原因は、外部の攻撃者がネットワーク機器を経由して社内ネットワークに侵入し、管理者権限を奪取、内部を約10日かけて探索したのち、ランサムウェアを実行したものです。これにより、複数のサーバーや、ゼロトラスト未対応のパソコンが暗号化され、アサヒビール、アサヒ飲料、アサヒグループ食品の3社で、10月から12月の売上が前年比およそ8割にまで落ち込みました。
情報漏えいについては、確認済みのものが約11万5千件。内訳は、従業員が5,117件、取引先関係者が11万396件です。さらに、漏えいのおそれがあるものも含めると、約190万件にのぼります。これを受けて2026年2月18日、再発防止策が発表されました。柱は大きく2つです。一つ目は、組織・ガバナンス面の改革です。情報セキュリティを管轄する独立した組織と、専任の担当役員、いわゆるCISOを新設し、情報セキュリティ委員会を設置することで、リスクを可視化し、対策の計画と実行をモニタリングする体制を整えました。二つ目は、技術面の対策です。具体的には、リモートアクセスVPN装置を全面廃止し、ゼロトラストへ完全移行する。EDRの設定強化や、ログ分析・監視・遮断の自動化を進める。アカウントの作成・変更・削除を自動化する。さらに、ペネトレーションテストやスレットハンティングを継続的に実施する、というものです。
引用:ZDNET
─ YODOQの見方───────────────────────────
一つ目は、「VPN装置からの侵入」は決して特別な話ではない、ということです。アサヒグループに限らず、多くの企業が今でもVPN装置経由で社内ネットワークにアクセスする構成を続けており、攻撃者にとっては典型的な侵入口となっています。今回の事件は、ゼロトラストへの移行を「いつかやる」ではなく「今すぐやる」課題に押し上げた、象徴的な事例といえます。
二つ目は、「侵入されてから約10日間、気づかなかった」という事実の重みです。攻撃者は侵入後、横展開して管理者権限を奪取するまでに時間をかけます。この期間に検知できれば、被害は最小限に抑えられたはずです。EDR、ログ分析、振る舞い検知といった「侵入後の早期発見」の仕組みは、ファイアウォールやVPNと同じくらい重要であることを、改めて思い知らされます。
三つ目は、CISOと独立した情報セキュリティ組織を「事件後に」設置している点です。裏を返せば、それまでは情報システム部門の片隅でセキュリティを見ていた、ということです。セキュリティはもはや「ITの問題」ではなく「経営の問題」であり、ガバナンスとして独立性を持たせる必要があります。これは、私たちIT企業がお客様にシステムを提案するときにも、強く意識すべきポイントだと感じます。
