ランサムウェア被害の深刻化と経営責任の重大化にどう備えるかKeeper Securityが解説

日本の大手企業が相次いでサイバー攻撃を受け、大きな被害が生じている。アサヒビールやアサヒ飲料、アサヒグループ食品を傘下に持つアサヒグループホールディングス（以下、アサヒGHD）は2025年9月29日に、通販大手のアスクルは2025年10月19日にそれぞれランサムウェアによる攻撃を受け、大規模なシステムの停止と情報漏洩を引き起こした。今回の二つの事件は、企業の事業運営に直接的かつ深刻な影響を及ぼすことを改めて示している。日本の企業が直面しているサーバーリスクの高まりについて、Keeper Security APAC アジアパシフィック地域営業担当シニアバイスプレジデント 兼 日本カントリーマネージャー 西山高徳氏に話を伺った。

　西山氏はVMwareにて10年以上にわたりエンドユーザーコンピューティング部門で活躍し、シニアディレクターとしてアジア太平洋および日本市場での売上拡大に貢献した。その後、2024年10月にKeeper Security APACに入社し、日本およびアジア太平洋地域における事業拡大と成長戦略を推進している。

　まずアサヒGHDが受けたサイバー攻撃について見ていく。同社グループ拠点のネットワーク機器からネットワークに侵入してデータセンターの管理者情報を不正入手し、潜伏しした後に一斉にランサムウェアを実行し、従業員のPCやサーバーのデータを暗号化した。

　その結果、2025年9月29日に受注や出荷に関するシステムに障害が発生し、商品の受注や出荷が停止し、主要工場の生産も一時的に停止した。また10月14日には2025年1月～9月期決算発表を延期した。さらにグループ各社の顧客や社外の関係先、退職者を含む従業員の個人情報が合計191万4,000件漏えいした恐れがあると公表した。

　アスクルが受けたサイバー攻撃の経緯は、10月19日にランサムウェアによる攻撃を検知し、同日に「ASKUL」「LOHACO」「ソロエルアリーナ」の受注・出荷業務が停止された。また情報漏えいも確認され、事業所向けサービスに関する個人情報（約59万件）、個人向けサービスに関する個人情報（約13万2,000件）、取引先（業務委託先、エージェント、商品仕入先等）に関する情報（約1万5,000件）、役員、社員等に関する情報（グループ会社含む）（約2,700件）が流出したことを12月12日発表した。

　ランサムウェアによる攻撃を検知したのは10月19日だったが、同社が12月12日に発表した「ランサムウェア攻撃によるシステム関連」の第13報によると、約4カ月前の6月5日に窃取された業務委託先用のアカウントが悪用されて侵入されていたと推定していることを発表した。

　同報告書によると「初期侵入に成功した後、攻撃者はネットワークに偵察を開始し、複数のサーバーにアクセスするための認証情報の収集を試みました。その後、攻撃者は、EDR等の脆弱性対策ソフトを無効化したうえで複数のサーバー間を移動し、必要な権限を取得してネットワーク全体へのアクセス能力を取得していきました。なお、本件では複数種のランサムウェアが使用されました。この中には、当時のEDRシグネチャでは、検知が難しいランサムウェアも含まれていました」（攻撃者による侵入の概要）という。

　また「攻撃者は必要な権限を奪取した後、ランサムウェアを複数サーバーに展開し、ファイル暗号化を一斉に行いました。その際、バックアップファイルの削除も同時に行われたことが確認されています。これにより、一部システムの復旧に時間を要することとなりました」（。ランサムウェア展開とバックアップファイルの削除）としている。

　アスクルへのサイバー攻撃はハッカー集団「RansomHouse」が、アサヒGHDへのサイバー攻撃はハッカー集団「Qilin」が、それぞれ犯行声明を出している。

　アサヒGHDに対するランサムウェア攻撃について西山氏は「日本の製造業にとって、サイバーインシデントが事業運営に直接的かつ重大な影響を及ぼし得る現実を改めて示しています。オペレーションの停止から財務報告の遅延に至るまで、その影響は明確に可視化されました。アサヒGHDは日本および東アジア地域で発生したシステム障害により、売上や利益数値を確定できず、025年1月～9月期決算の発表を延期しています」と被害が及ぼす影響の深刻さを指摘する。

　またシステムへの被害について「（サイバー攻撃による）システム障害によって複数の基幹業務が停止したことは、デジタル化された業務が相互に密接に連携していること、そして単一の侵害が複数部門へ急速に波及し得ることを示しています。例えば日本の製造業のようにレガシーOT（Operational Technology）と高度にデジタル化されたシステムが混在する環境では、インシデントの影響範囲を即座に把握すること自体が依然として大きな課題です」と解説する。西山氏の話の通り、アサヒGHDおよびアスクルともにシステムの復旧と業務の正常化に長い時間を要している。

　情報漏えいについては「大規模な個人情報流出は、大量のセンシティブデータを保有する大企業が直面するプライバシーおよびコンプライアンスリスクの増大を象徴しています」と指摘する。

　さらに今後はサイバー攻撃およびその被害に対する企業の認識および取り組み方が大きく変わる可能性があると指摘する。西山氏は「アサヒGHDもアスクルも今回のサイバー攻撃の被害状況及び復旧の進捗について、両社ともに情報流出の状況や事業・業務への影響、復旧の進捗などを頻繁に公表するとともに、トップ自らが記者会見で説明しています。サイバー攻撃に対する責任は経営者が負うという認識が広がり、セキュリティ対策への取り組みは情報システム部門だけではなく経営者も参加して推進していくことになるでしょう」と話す。

　経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を、10月からの運用開始を目指して準備が進められている。通称「セキュリティ対策評価制度」と呼ばれるこの制度は、ISMS（情報セキュリティマネジメントシステム）認証やPマーク（プライバシーマーク）と同様に、今後の企業間取引において、重要な位置づけになる可能性がある。さらに政府はサイバー攻撃を未然に防ぐ「能動的サイバー防御（ACD）」の運用に向けて、今年4月1日に「サイバー通信情報監理委員会」の設置も進めている。

　大企業だけではなく、その取引先である中小企業を踏み台にしたサプライチェーン攻撃による情報漏えいやシステム停止が深刻化しており、企業の規模にかかわらずセキュリティ対策の強化が求められるようになる。ではどのような取り組みをするべきなのだろうか。

　西山氏は「世界的に見ても、ランサムウェアやデータ窃取型の攻撃における初期侵入は、侵害された認証情報や特権アカウントの悪用に起因するケースが非常に多く確認されています。攻撃者は外部境界の突破よりも、パスワード、パスコード、認証情報、管理用アカウントなどの「認証シークレット」を狙う傾向が強まっています。レガシーOT基盤、サプライヤーとの接続、クラウドサービスが交錯する企業のICT環境では、こうした認証情報ベースの脆弱性が組織全体にわたるシステミックリスクとなり得ます」とリスクを指摘する。

　こうしたリスクを低減するには「ゼロトラストモデルを採用し、現代的な特権アクセス管理を組み合わせることが不可欠です。最小権限アクセスの徹底、全てのユーザーとデバイスの継続的な検証、そして特権アクティビティに対する強固なガバナンスが重要になります。日本では今後、能動的サイバー防御（ACD）に関する法整備が進み、インシデント報告の要件も拡大する見込みです。今の段階からアイデンティティとアクセス制御の強化に取り組む組織ほど、これらの新たな要件に対応し、事業継続性を確保しやすくなるでしょう」とアドバイスする。