アサヒグループホールディングス株式会社は2月18日、同社へのサイバー攻撃について、現時点での調査結果と再発防止策を発表した。
同社では2025年9月29日午前7時ごろに同社システムで障害が発生し、調査を進める中で暗号化されたファイルや情報漏えいの可能性を示す痕跡を確認しており、漏えいの可能性のある内容や範囲について調査を行っていた。
調査の結果、システム障害発生の約10日前に、外部の攻撃者がアサヒグループ内の拠点にあるネットワーク機器を経由し、アサヒグループのネットワークに侵入したことが判明している。同社の主要なデータセンターに入り込み、パスワードの脆弱性をついて管理者権限を奪取した後、奪取したアカウントを不正利用してネットワーク内部を探索し、主に業務時間外に複数のサーバへの侵入と偵察を繰り返したとみられるという。2025年9月29日に、ランサムウェアが一斉に実行され、ネットワークに接続する範囲で起動中の複数のサーバや一部のパソコン端末のデータが暗号化され、一部のパソコン端末のデータ流出が判明している。データセンターにあるサーバ内に保管されていた個人情報については、流出の可能性があるが、インターネット上に公開された事実は確認されていない。
なお、今回の攻撃の影響は日本で管理しているシステムに限られている。
システムの被害は下記の通り。
・複数のサーバおよびゼロトラストモデルへの移行前の一部の従業員用パソコン端末が暗号化。
・ゼロトラストモデルへの移行前のパソコン端末の情報の一部が窃取されたことを確認。
同社では封じ込めの対応として、リモートアクセスVPN・拠点間ネットワーク(約300拠点)・クラウド間接続の専用通信回線を全て遮断し、攻撃の横展開を防止するための緊急措置としてインターネット回線を遮断し、データセンターを完全隔離しているが、その影響として、業務システムへのアクセスが不可となり、バックアップデータの健全性を保持するため、バックアップシステムを一時停止している。
同社でのシステム障害の復旧状況は下記の通り。
・復旧対応
複数の外部専門機関と協力し、安全性の高い復旧プロセスを構築。
安全性の確認されたバックアップデータからシステム復旧を実施。
影響を受けた全てのサーバについて再構築後に健全性を確認。
フォレンジック調査の結果をもとに必要な追加セキュリティ対策を実施。
健全性が保証されたシステムから段階的に再開。
・外部との安全なデータ授受および外部システム連携の再開
健全性確認済みのシステムから順次、外部システムとのデータ連携を再開。
ウイルス検知・駆除機能を備えたクラウドストレージ経由でのファイル授受を再開。
メール経路を再構築し、健全性を確認したうえで送受信を再開。
同社では、商品供給に直接関係する受注および出荷に関するシステムについて、システム障害発生以降、手作業による対応を続けていたが、これらの物流関連のシステムによる受注・出荷業務は、アサヒビール株式会社およびアサヒ飲料株式会社では、EOS(電子受発注システム)による受注を2025年12月3日から、アサヒグループ食品株式会社では12月2日から再開している。制限が残っていた配送のリードタイムについても、2026年2月までに通常化したことで物流業務全体は正常化している。
同社では、2025年11月27日に公表した個人情報漏えいの可能性があるとした計191.4万件のうち、下記の漏えいを確認している。
・従業員(退職者を含む):5,117件
項目:氏名、性別、住所、電話番号、メールアドレスなど
・取引先の役員および従業員、並びに取引先個人事業主およびその従業員など:110,396件
項目:氏名、電話番号など
同社では、下記の通り情報管理・セキュリティ管理をより高度化するとのこと。
■攻撃経路の特定と再発防止
・ネットワーク機器からの再侵入を防ぐためのリモートアクセスVPN装置の全面廃止
・不正アクセスされる可能性がある古い通信経路を排除するための通信経路の再構築
・攻撃経路の特定によって明らかとなった、外部侵入リスクを抱えるデバイスの全面廃止
・パソコン端末からのデータ窃取リスク低減に向けたクラウド保管への一本化およびクラウド保管データ利用時のキャッシュ非残存対策の実施
■パソコン端末・ネットワーク・システム構成の再設計
・攻撃された場合の他のパソコン端末への拡大を防止するための、より安全な仕組みに対応した専用のパソコン端末(ゼロトラストモデル対応のパソコン端末)への完全移行
・不要な通信を遮断し外部との接続を分離するための、安全なネットワークエリアの新設
・攻撃の拡大を防止するための、全システムでのネットワークの分離・接続の制限
・パソコン端末での不審な動きを検知・遮断するための、全パソコン端末のEDRの設定強化
・インターネット接続を行うクラウド環境でのEDRによる監視強化
・安全性を客観的に確認するためのペネトレーションテスト(第三者によるインターネットからの侵入を試行するテスト)の実施
・安全性の維持・向上を図るため、ペネトレーションテストおよびスレットハンティング(脅威調査)を継続的に実施
■監視・検知・初動対応の高度化
・セキュリティルールと運用体制の見直しによる、異常を検知した際の初動の迅速化
・サイバー攻撃や異常を素早く検知・対処し、被害を最小化するための、ログ分析システムやセキュリティの監視・遮断の自動化
■権限管理・アカウントセキュリティの強化
・全システムにおけるパスワード変更および認証・権限管理の強化
・人的作業ミスや削除漏れを防ぐためのアカウント作成・変更・削除の自動化
■インフラおよびクラウド環境のセキュリティ強化
・ネットワークの接続制限の更なる強化、攻撃の広がりを防止するインフラ構成への改善
・クラウドのセキュリティ状況の継続的チェック・問題是正の自動化
■復旧性・耐障害性の強化
・システム復元の更なる迅速化の実現に向けた、バックアップの仕組みの更なる強化
・迅速な復旧に向けた、復旧手順の定期的な見直し・訓練の実施
・システム・データの整理・統合による、システム構成のスリム化
■人的対策の継続的強化
・従業員向けセキュリティ教育の強化・継続
・最新の攻撃手法に備えた実践的なセキュリティ訓練の継続
■ガバナンス体制の強化
・情報セキュリティを管轄する独立した組織および専任の担当役員の設置
・情報セキュリティ委員会を設置し、情報セキュリティリスクを可視化するとともに、対応策の計画・実行が行われていることをモニタリング
・「情報管理・情報セキュリティ規程」の改定および遵守・徹底の監視・監査の強化
・「取締役会スキルマトリックス」の見直し、および取締役会と情報セキュリティ委員会、内部監査機能、外部専門家などとの連携による、取締役会によるサイバーセキュリティに関する監視・監督機能の強化
