アサヒグループホールディングスは2026年2月18日、昨年9月に発生した大規模なサイバー攻撃によるシステム障害に関する最終的な調査結果と、今後の再発防止策を発表しました。
国内物流の停滞など事業活動に多大な影響を及ぼした本件ですが、公表された報告書からは、従来型セキュリティの限界と、経営リスクとしてのサイバーセキュリティに対する同社の抜本的な改革姿勢が読み取れます。
2月18日(水) アサヒグループホールディングス
侵入から攻撃実行までの「10日間」
報告書によると、攻撃者はシステム障害が発生した2025年9月29日の約10日前に、グループ内拠点のネットワーク機器を経由して侵入を果たしていました。特筆すべきは、パスワードの脆弱性を突いて管理者権限を奪取し、業務時間外を狙ってネットワーク内部の探索を繰り返していた点です。
攻撃者は最終的にランサムウェアを一斉に実行し、複数のサーバーや従業員用パソコン端末を暗号化しました。これにより、同社は被害拡大防止のためにネットワーク遮断とデータセンターの隔離という「全システム停止」の判断を余儀なくされました。この初動対応は被害の封じ込めには不可欠でしたが、結果として受発注や出荷システムの停止を招き、物流業務の手作業対応という事業継続上の重大な課題に直面することとなりました。
物流の正常化まで約5ヶ月、経営への深刻なインパクト
事業への影響という側面では、サプライチェーンの寸断がいかに経営リスクとなるかが浮き彫りになりました。アサヒビールやアサヒ飲料などの主要事業会社では、電子受発注システム(EOS)の再開が12月上旬までずれ込み、配送リードタイムを含めた物流業務全体の完全な正常化には、発災から約5ヶ月後の2026年2月までを要しています。
情報漏洩に関しては、顧客や従業員、取引先など広範囲に影響が及びました。特に、従業員や取引先関係者の情報については、インターネット上での流出も確認されています。一方で、クレジットカード情報の流出はなく、データセンター内の個人情報についてもネット上での公開事実は確認されていないとしています。
「VPN全面廃止」という決断とガバナンス改革
本報告書で最も注目すべきは、再発防止策としての「技術的対策」と「ガバナンス体制」の強化です。
技術面では、侵入経路となったリスクを根絶するため、リモートアクセスVPN装置の全面廃止を打ち出しました。これは、境界型防御から「ゼロトラストモデル」への完全移行を意味するものであり、セキュリティパラダイムの転換を明確に示しています。また、EDR(エンドポイント検知・対応)の導入強化や、ネットワークの分離など、多層的な防御策が講じられます。
さらに経営レベルの対策として、情報セキュリティを管轄する独立組織の設置と、専任担当役員の配置が決定されました。取締役会のスキルマトリックスを見直し、監督機能を強化するという方針は、サイバーセキュリティをIT部門の問題ではなく、純粋な「経営課題」として再定義したことの表れと言えるでしょう。
※タイトルと要約、イメージは、AI(Gemini)が生成したものをベースにしています。
これまでのリリース:
11月27日(木) サイバー攻撃による情報漏えいに関する調査結果と今後の対応について
10月14日(火) サイバー攻撃によるシステム障害発生 について (第4報)|ニュースルーム
10月8日(水) サイバー攻撃によるシステム障害発生について(第3報)|ニュースルーム
10月3日(金) サイバー攻撃によるシステム障害発生について(第2報)|ニュースルーム
9月29日(月) サイバー攻撃によるシステム障害発生について|ニュースルーム
