2025年9月下旬、アサヒグループホールディングスの情報システム部門は異変に気づいた。調査を始めてから数時間後、30の工場が稼働できない状態になり、191万人分の個人情報が外部に流出したことが判明した。Qilinランサムウェアグループによるこの攻撃は、食品製造業のIT/OTセキュリティの脆弱性、VPN管理の甘さ、そして「OT/IT分離が命綱になった」という逆説的な教訓を残した。
組織概要
アサヒグループホールディングス株式会社は、アサヒビール・アサヒ飲料(カルピス・三ツ矢サイダー等)・和光堂を傘下に持つ総合飲料・食品グループだ。連結従業員数は約2万人以上、国内に約30か所の製造工場を持つ。東京証券取引所プライム市場上場。年間売上高は2,000億円を超える大企業だ。
製造業としての特性上、ITシステム(受発注・経理・人事等)とOTシステム(工場の生産設備・制御システム)が共存しており、このセグメント設計が今回の攻撃の被害範囲を決定的に左右した。
何が起きたのか
タイムライン
- 2025年9月19日頃(推定):攻撃者がVPNデバイス経由でネットワークへの初期侵入に成功したとみられる。この日付はアサヒグループが公式に確認したものではなく、後のフォレンジック調査に基づく推定だ。
- 2025年9月19日〜29日:攻撃者はネットワーク内で潜伏し、内部偵察・横展開・管理者権限の奪取を進める。この間、攻撃は「業務時間外(夜間・休日)」に集中して行われた形跡がある(調査で判明)。
- 2025年9月29日:ランサムウェアが起動し、37台のサーバーおよびPCが暗号化される。アサヒグループはシステム障害を検知し、社内外への影響調査を開始。
- 2025年10月2日:アサヒグループが不正アクセス被害を公表。サーバー・PCへの暗号化とデータ窃取の被害を発表。
- 2025年10月7日:Qilinがダークウェブのリークサイトにアサヒグループの名前を掲載し、27GBのデータ公開を予告・一部公開。
- 2025年10月〜11月:調査の進展とともに漏洩件数を段階的に更新。最終的に個人情報約191万4,000人分の漏洩を確認。
- 2025年11月以降:VPNの廃止を決定し、ゼロトラストネットワークへの移行を発表。
攻撃経路の分析
初期侵入:VPNデバイス(推定)
アサヒグループは侵入経路を「VPNデバイスへの不正アクセスが疑われる」と発表しているが、公式に確定はしていない。Qilinを含む多くのランサムウェアグループがVPN機器(Fortinet FortiGate・Cisco ASA・Palo Alto GlobalProtectなど)の既知脆弱性またはパスワードスプレー攻撃を利用することは業界的に広く知られており、この事案でも同様の経路の可能性が高いとみられている(あくまで推定)。
内部侵害:業務時間外の横展開
侵入から暗号化まで約10日間の潜伏期間がある。この間に攻撃者が行ったとみられるのは:
- 内部偵察:ネットワーク構造の把握、重要サーバーの特定、バックアップシステムの場所の確認
- 横展開:侵入した端末からActiveDirectoryや他のサーバーへのアクセスを試みる
- パスワード脆弱性の悪用:調査で「管理者アカウントのパスワードに脆弱性があった」ことが明らかになっており(確認済み)、これを悪用して管理者権限を取得した
- 業務時間外の操作:セキュリティ監視の手薄な夜間・休日に集中して横展開・権限昇格を進めたとみられる(フォレンジック調査に基づく)
Qilinの攻撃手法
Qilinは2022年末から活動するRaaS(Ransomware as a Service)グループだ。Goで実装されたランサムウェアを使い、Windows/Linux/ESXiをクロスプラットフォームで標的にできる。2024年6月にはイギリスの医療機関(King's College Hospital等)を攻撃しNHS全体に影響を与えた事案でも知られる。二重脅迫モデルを採用し、暗号化と並行してデータを窃取してリークサイトへの公開で圧力をかける。
被害内容
システム被害
- 暗号化されたサーバー・PC:37台
- 窃取されたデータ量:約27GB
- 業務停止:30工場の操業に影響(製造ラインの一部停止・稼働制限)
個人情報漏洩
- 漏洩確認件数:約191万4,000人
- 顧客情報:約152万5,000人(和光堂の育児用品顧客等を含む)
- 従業員・元従業員・家族:約38万9,000人
- 漏洩情報の種類:氏名・住所・メールアドレス・電話番号・生年月日・購買履歴(一部)。クレジットカード情報の漏洩は確認されていない(2025年10月時点)
財務的被害
- 売上高への影響:約50億円の減収(工場停止・物流への影響等)
- 営業利益への影響:約20億円
- セキュリティ対策・復旧費用:別途発生(金額は公表段階によって異なる)
OTシステム(工場製造ライン):被害なし
重要な点として、30工場の製造設備(OTシステム)は暗号化の被害を受けなかった。工場が「停止」したのは、IT系システムへの影響によりサプライチェーン・受発注・物流管理が機能しなくなったためであり、製造設備そのものは物理的に稼働できる状態にあった。OTとITのネットワーク分離(セグメンテーション)がここで機能した。
なぜ被害が拡大したのか
1. VPN管理の問題(推定)
侵入経路として疑われるVPNデバイスは、多くの組織で定期的なファームウェア更新やアクセスログのモニタリングが不十分なケースがある。アサヒグループの具体的なVPN管理状況は公開されていないが、侵入経路としてVPNが疑われているという事実は、何らかの管理上の問題があったことを示唆している(推定)。
2. 管理者アカウントのパスワード脆弱性(確認済み)
フォレンジック調査で「管理者アカウントのパスワードに脆弱性があった」ことが確認されている。これは初期侵入後の権限昇格を容易にし、攻撃者が短期間でドメイン管理者権限を取得できた原因の一つだ。Qilinのような巧妙な攻撃者にとって、弱いパスワードは横展開を「自動化」するための踏み台になる。
3. 10日間の潜伏を阻止できなかった
攻撃者は約10日間ネットワーク内に滞留した。この間に異常を検知して封じ込めができれば被害を大幅に限定できた可能性があるが、実際には暗号化が実行されるまで阻止できなかった。業務時間外の活動に対するSOC監視の対応が鍵となる。
4. OT/IT分離が機能した(成功例)
このインシデントで特筆すべきは、OTシステムが守られた点だ。製造業ではOT環境(SCADA・PLC・DCS等)がIT環境と同一ネットワーク上に存在するケースが多く、ランサムウェアが工場の設備を直接暗号化・破壊する事例も世界で発生している(Norsk Hydro 2019年など)。アサヒグループではOT/IT間のネットワーク分離が適切に機能し、製造設備への直接被害を防いだ。
5. 事後の根本的な判断:VPN廃止
被害を受けたアサヒグループは復旧後にVPNの廃止を決定し、ゼロトラストネットワークアクセス(ZTNA)への移行を宣言した。これは「VPNはもはやリモートアクセスの安全な手段ではない」という経営判断を示している。
同様の攻撃を防ぐ方法
VPN管理の抜本的見直し
- VPN機器のCVEを毎週確認し、CISA KEVリストに記載された脆弱性は48時間以内にパッチを適用する
- VPN認証に必ずMFAを設定する。パスワード単体認証は廃止する
- VPNアクセスログを毎日確認する仕組みを整備し、異常な時刻・地域・接続パターンを検知する
- 長期的にはZTNA(ゼロトラストネットワークアクセス)への移行を検討する
特権アカウント管理(PAM)の強化
- 管理者アカウントのパスワードは16文字以上のランダムな強力なパスワードを使用し、定期的にローテーションする
- PAM(Privileged Access Management)ツールを導入し、管理者権限のアクセスをジャストインタイム(JIT)で払い出す
- 管理者アカウントにもMFAを必須化する
- 不要な管理者アカウントは削除し、最小権限の原則を徹底する
業務時間外の監視強化
- 夜間・休日の異常アクセスをリアルタイムで検知・通知するSIEM/SOC体制を整備する
- 深夜帯の大量ファイルアクセス・横展開的な認証試行を自動でアラートする閾値を設定する
- SOCを自社で維持できない場合は、24時間対応のMSSP(マネージドセキュリティサービスプロバイダー)の利用を検討する
OT/ITネットワーク分離の維持・強化
- 製造設備(OT)とIT系ネットワークを明確に分離し、双方向通信が必要な場合もデータダイオードや一方向ゲートウェイを使用する
- OT環境への外部アクセスは専用の踏み台サーバー経由に限定し、IT環境とは別系統のMFAを要求する
- OT機器のファームウェア・ソフトウェアの更新計画をITとは別に管理する
製造業特有の事業継続計画
- ITシステムが停止した場合でも工場が手動・紙ベースで最低限の操業を継続できる手順を整備・訓練する
- 受発注・物流管理システムの代替手段(電話・FAX・代替クラウド等)を事前に定め、関係者全員が把握しているか確認する
情シス担当者が確認すべき項目
- VPN機器のファームウェアは現在最新か。最後に確認・更新した日時はいつか
- VPN認証にMFAは設定されているか。パスワード単体でログインできる状態になっていないか
- VPNアクセスログは毎日確認されているか。確認できていない場合、誰がどのような頻度で確認するかルール化されているか
- 管理者アカウントのパスワードポリシーは適切か(16文字以上・英数字記号混在・定期ローテーション)
- 管理者アカウントへのアクセスにMFAは設定されているか
- 夜間・休日の異常アクセスをリアルタイムで通知する仕組みがあるか
- OTシステム(工場設備)のネットワークはITネットワークと物理的または論理的に分離されているか
- ランサムウェア発生時にOT系を即座に物理的に切り離す手順が文書化され、現場担当者が把握しているか
- バックアップはオフサイト・オフラインに保管され、本番ネットワークからアクセスできない状態か
- インシデントレスポンスプランは最近1年以内に訓練されたか
類似事例
- KADOKAWAグループ(2024年6月):BlackSuitランサムウェアによる攻撃。ESXi/vSphere集中管理の悪用でグループ全体に被害拡大。ニコニコ動画が約2ヶ月停止し254,241人の個人情報漏洩。身代金支払い後もデータ回収できず。
- Norsk Hydro(2019年3月):世界最大規模のアルミニウム製造企業がランサムウェア(LockerGoga)に攻撃され、グローバルの工場・事務所システムが影響を受けた。被害額は約710億円。OT/IT分離が不十分な製造業へのランサムウェア被害の先例。
- イセトー(2024年5月):BPO企業へのランサムウェア攻撃。VPN未更新・弱いパスワード・MFA不備という複合的な基本管理の欠陥が入口。307万件超の個人情報漏洩。自治体・金融機関を含む委託元30社以上に被害が波及。
参考情報
- アサヒグループホールディングス株式会社「不正アクセスによる情報漏洩に関するお知らせ」(2025年10月)
- アサヒグループホールディングス「個人情報漏洩件数の確定に関するお知らせ」(2025年11月)
- SecurityWeek: Asahi Group Holdings Hit by Qilin Ransomware(2025年10月)
- BleepingComputer: Qilin ransomware claims attack on Asahi Group Holdings
- 個人情報保護委員会 報告事例(アサヒグループ関連)
- CISA Advisory on Qilin Ransomware(2025年)