素朴な疑問シリーズ：アサヒグループへのランサムウェア攻撃（426号）

2025年9月29日に、アサヒグループHDがサイバー攻撃を受け、ビールの出荷もままならない状況が続いています。

この記事を書いている、10月5日時点では、ランサムウェアによる攻撃とは発表されたものの、詳しいことはまだ不明です。

今回は、素朴な疑問シリーズ（今、思いついた）として、アサヒグループへのサイバー攻撃についてお話をします。


1. 事件の概要

2025年9月29日、アサヒグループHDはサイバー攻撃によるシステム障害が発生した公表しました。 
その後の発表（第２報）で、社内サーバーがランサムウェア攻撃を受けた可能性があると報道されています。

　サイバー攻撃によるシステム障害発生について（第2報）
　https://www.asahigroup-holdings.com/newsroom/detail/20251003-0104.html

アサヒグループHDでは、被害拡大防止のため、関係システムをインターネットから遮断したため、受注・出荷業務を含む国内グループ会社の業務が停止しており、外部からのメール受信も不可能とのことです。

部分的には、手作業（紙ベース）での受発注を行っているとのことですが、大巾に出荷が滞っているのは間違いないようです。


2. そもそもランサムウェアとは？

ランサムウェアは英語ではransomwareとなります。
ransomというのは身代金のこと。

つまり、日本語だと「身代金ウェア」と、かなりぶっそうなコトバです。

ファイルを削除するようなマルウェア（ウイルスのような悪意のあるソフトウェアの総称）もやっかいですが、ランサムウェアは、ファイルを消さずに暗号化します。

ファイルがなくなっていれば「こんちくしょう」となるわけですが、最近のマルウェアの多くは、ファイルを削除しません。

なぜか？
近年のサイバー攻撃のほとんどは経済犯と言ってお金を目的とした犯罪だからです。

ファイルを消せば相手にダメージを与えられますが、カネになりません。
むしろ、暗号化したファイルを手元に残し、「ほらほら、お金を出せば元に戻してあげるよ」と脅した方が「成約率」は高くなるからです。

当初は、個人用パソコンをターゲットとしたバラマキ型のランサムウェアが主流でしたが、現在は、下火になっています。（なくなったわけではない）
2025年現在は、狙いは完全に企業に移っていて、かなり労力をかけてファイル暗号化を行うようになってきています。

上にも書いたように、現在のサイバー攻撃の多くは、反社勢力などによる「ビジネス」ですから、高額な請求に応じてくれる企業を狙うようになったのは自然な話です。


3. 多重恐喝（マルチエクストーション）

さらに、近年（2020年頃から）はさらにやっかいな多重恐喝という形に変化（進化）してきています。

多重というのは、データを暗号化するだけではなく、さらに他の方法でも脅しをかけるというやりかたです。

犯罪者側：暗号化したぞ（ランサムウェアによる恐喝）
　↓
被害者：バックアップあるから大丈夫だ！
　↓
犯：盗んだデータを公開するぞ（二重恐喝）
　↓
被：ウチは被害者なんだ。ダメージは限定的だ！
　↓
犯：取引先にバラしてやるぞ（三重恐喝）
　↓
被：取引先には既に連絡済だ！
　↓
犯：じゃあ、DDoS攻撃して業務止めるぞ！（四重恐喝）

みたいな感じで、波状攻撃のように何度も恐喝を行います。

結局のところ、犯罪者側は攻撃するにもコストをかけているのです。
だから、何度も脅しをかけることで、被害者から効率良く回収をしたい事情があるのですね。


4. なぜランサムウェアでシステム障害となるのか？

今回のアサヒグループの場合もそうですが、ランサムウェアの被害に会った場合、「システム障害が発生しました」という書かれ方がされます。

各人のパソコンのファイルが暗号化されたくらいで、「システム障害」と言うのはおおげさじゃないか？と思われるかもしれません。

ランサムウェアと一言でいっても、いろんな種類のプログラムがあります。
その中には、ファイルの暗号化だけでなく、起動時に必要なファイルまで暗号化したり、ファイルを削除するものすらあります。

この場合、コンピュータは起動しません。そのコンピュータが皆で共有して使うようなサーバ（例えばファイルサーバ）なら、中にあるファイルももちろん、使えなくなります。

一方、犯罪者側は、より大きなダメージを与えたいわけですから、大きな被害を与えやすいサーバを優先的に狙い打ちにします。

だから、システム障害と呼ばれるわけです。


6. バックアップは取ってるんでしょ？

はい。
今回も、バックアップは万全だったはずです。

ですが、ランサムウェアを実行する側は、バックアップをつぶすために、すごい労力をかけ、あらゆる方法を試します。バックアップから簡単に戻されてしまっては、身代金を払ってもらえないからです。

今回、アサヒ側は数日をかけても復旧できていないようですから、バックアップデータも何らかの理由で影響を受けている可能性は高いと思われます。


7. どうやって侵入したの？

今回は、まだ情報が開示されていませんから、何とも言えませんが、いくつかの可能性が考えられます。

　1. インターネットからの攻撃
　　 例えば、管理者用や取引先用のサービスを通じて侵入。
　　 サービスの脆弱性を狙うケースも多い。
　2. 古いインターネット機器から侵入
　　 古い機器の脆弱性を利用して侵入
　3. IDを不正に入手
　　 社員のID/パスワードを不正に入手して侵入。
　4. フィッシングメール
　　 必要なメールに見せかけて不正ツールをインストール。
　5. 取引先に侵入後、それを踏み台に侵入
　　 いわゆるサプライチェイン攻撃。
　6. USBメモリ経由での拡散
　　 外部で感染したUSBメモリを持ち込み

これ以外にも様々な可能性があります。
ですが、こういったルートも含めて、アサヒグループ側では十分な検証をしていたと思われます。

それにも関わらず、このようなトラブルが発生してしまいました。
今回の事故の侵入経路までの詳細が公表されるとは限りませんが、今後も報道を追いたいと思います。


8. まとめ

今回のような、サイバー攻撃の事件／事故を見るにつけ、対処がどんどん難しくなっていることを痛感します。

しかしながら、これに対する特効薬はなく、地道な改善を重ねるしかありません。

守りが弱い中小企業を踏み台にして、取引先である大企業に侵入することをサプライチェイン攻撃と言いますが、このような攻撃を中小で撃退することは、そうたやすいことではありません。

各業界でも、中小企業のガードを固めるための施策をいろいろと考えて、対策を検討されていますが、中小側の受け入れ体制もまだまだ十分とは言えません。

それでも、中小の皆さんには、「がんばりすぎない」範囲で、できることを一歩づつ積み上げ続けていただきたいと思います。

今回は、アサヒグループのランサムウェア被害について、お話をしました。
次回もお楽しみに

（本稿は 2025年10月に作成しました）