アサヒグループに何が起きたのか
2025年9月29日、アサヒグループホールディングスのシステムに大規模な障害が発生しました。
原因はランサムウェア攻撃。調査の結果、攻撃者は約10日前からネットワーク機器経由で社内に侵入していたことが判明しています。
侵入後の動きは周到でした。業務時間外を狙って複数のサーバーを探索し、管理者権限を奪取。十分な準備を整えた上で、一斉にランサムウェアを実行したのです。
結果として約11万5,000件の個人情報漏洩が確認され、物流を含む業務全体の復旧には数か月を要しました。
注目すべきは、アサヒグループがセキュリティ対策を怠っていた企業ではないという点です。
それでも攻撃は成功してしまった。ここに、多くの企業にとっての教訓があります。
再発防止策が示す「本当に効く対策」
2026年2月、アサヒグループは再発防止策を公表しました。その内容を見ると、興味深いことに気づきます。
まず目を引くのが、VPN装置の全面廃止です。
今回の攻撃ではネットワーク機器が侵入経路になりました。VPNは便利な反面、外部から社内ネットワークへの直接的な通り道を作ってしまいます。これを根本から断つという判断は、アタックサーフェス(攻撃者が狙える範囲)の縮小そのものと言えるでしょう。
次に、ゼロトラスト端末への全面移行とネットワーク分離。
従来のように「社内ネットワークの中は安全」という前提を捨て、すべてのアクセスを検証する仕組みへ転換する方針です。加えて、パスワード変更と認証強化、アカウント管理の自動化も掲げられています。
つまりアサヒグループが出した結論は、新たな高額ツールの導入ではなく、侵入経路を減らし、認証を強化し、システム構造そのものを見直すという、極めて基本的な方向性だったのです。
基本対策を徹底していれば防げたかもしれない
ここで、今回の事例を自社に置き換えて考えてみましょう。
攻撃者の侵入経路はVPN等のネットワーク機器でした。
管理者権限の奪取にはパスワードの脆弱性が利用された可能性が指摘されています。そして、オンプレミス環境だったからこそ、一度侵入された後の横展開が容易だったと考えられます。
もしこの企業が、パスワード管理の徹底、不要なサービスやVPNの廃止によるアタックサーフェスの縮小、そしてクラウド環境への移行を事前に実施していたらどうだったでしょうか。
攻撃を100%防げたとは言い切れません。ただ、侵入経路は大幅に狭まり、仮に侵入されても被害の拡大を食い止められた可能性は十分にあります。
実際、アサヒグループ自身が再発防止策として打ち出した内容は、まさにこの3点に集約されています。
裏を返せば、事前にこれらの基本対策が徹底されていれば、被害は防げたかもしれないということを、この事例は物語っているのです。
御社で今すぐ確認すべき3つのポイント
この事例を他人事にしないために、以下の3点をぜひ確認してみてください。
第一に、パスワード管理の現状です。
管理者アカウントのパスワードは十分に強固でしょうか。使い回しはありませんか。MFA(多要素認証:パスワードに加えてスマホ認証などを組み合わせる仕組み)は導入済みでしょうか。
第二に、VPNやリモートデスクトップなど、外部からの接続経路がどれだけ存在するかの棚卸しです。
使われていないVPN装置や開放されたままのポートは、攻撃者にとって格好の侵入口になります。
第三に、クラウド移行の検討状況です。
オンプレミス環境では、一度侵入されると社内のあらゆるシステムに被害が広がりやすい構造があります。クラウド環境であれば、業務データがクラウドに集約されているため攻撃者が奪える資産が限られ、復旧も迅速に行えます。
アサヒグループほどの大企業でも、基本対策の隙を突かれて大きな被害を受けました。
経営層への報告では、「基本対策の徹底こそが最もコストパフォーマンスの高い防御策である」という伝え方が効果的でしょう。
