🍺 バックアップがあっても約2ヶ月停止。アサヒGHDのサイバー攻撃

Last updated at 2025-11-28Posted at 2025-11-28

2025年11月27日に記者会見が行われ、アサヒグループホールディングスは大規模なサイバー攻撃によるシステム障害についての詳細を説明しました。

ランサムウェア被害により物流システムが停止し、事業に多大な影響を及ぼした本件。

注目すべきポイントは 「バックアップは無事だったのに、なぜ復旧に約2ヶ月かかったのか」 です。

会見の内容を紐解きます。

会見で明らかにされた攻撃の流れは、防御をすり抜ける巧妙なものでした。

【ステップ①】侵入と潜伏
- 侵入経路
  障害発生の約10日前、外部攻撃者がグループ内拠点のネットワーク機器を経由して侵入しました。
- 権限奪取
  データセンターへ侵入後、パスワードの脆弱性を突いて管理者権限を奪取。奪取したアカウントを正規アカウントのように使い、ネットワーク内を探索しました。
- 偵察活動
  主に業務時間外を狙い、複数のサーバーへの侵入と偵察を繰り返していました。
【ステップ②】実行
- ランサムウェア展開
  9月29日早朝、認証サーバーからランサムウェアが一斉実行され、サーバーおよびPC端末の一部データが暗号化されました。
- ポイント
  攻撃者は約10日間の潜伏期間がありました。

サイバー攻撃を受けてから約2ヶ月にわたり、封じ込め対応とシステム復元、セキュリティ強化を行ったことが明言されています。

バックアップデータの生存
複数の媒体にバックアップを取得しており、自力での復旧が可能となりました。
復旧を阻んだ「汚染環境」
バックアップがあるからといって、瞬時に戻せるわけではありませんでした。壊された、触られたシステムをそのままにデータを戻すのは「再感染」や「バックドアの残留」のリスクが高いためです。
外部専門機関によるフォレンジック調査と健全性チェック（クリーニング） を実施し、安全を確認しながら一つ一つシステムとデータを戻す手順を踏む必要がありました。
事業継続（BCP）の実態
システム復旧までの間、現場は 「昭和の時代に戻って」 業務を行いました。システムを使わず、Excelベースや電話、FAXを駆使した人力による受注・出荷対応を余儀なくされました。

学びのポイント

「バックアップ」と「リカバリ（復旧）」は別物です。

システム自体が侵害されている場合、最も時間を消費するのは、データのコピーではなく 「汚染されたネットワークとサーバーの浄化」 です。

想定を超える攻撃
- NISTフレームワークに基づく診断
  米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークを用いて成熟度診断を行い、「一定レベル以上のアセスメント結果が出ており、十分な対策を取っていると認識していた」 と説明していますが、攻撃者はそれを上回る巧妙な手口を用いました。
- EDRの検知回避
  EDRを導入していましたが、巧妙な手口により検知をすり抜けられました。
- ネットワーク機器の脆弱性
  侵入経路となったネットワーク機器について、会見では詳細な情報は公表できないと回答を拒否しており、特定の製品名や 「脆弱性が突かれた可能性が高いことを認めた」 という事実は確認できませんでした。
会社側が示す今後の対策方針
- 通信経路とネットワーク制御の再設計
  VPN接続の一部廃止を含め、ゼロトラストの概念に従ったネットワーク構築を進めます。
- EDRの再チューニング
  EDRを強化し、監視体制（SOCの強化等）を見直します。
- 事業継続計画や復旧戦略の再設計
  復旧速度を考慮したバックアップ戦略や、汚染されない仕組みの構築を検討します。

対岸の火事とせず、会見で伝えられた教訓を大切にしたいです。

「クリーンな復旧環境」とバックアップはセット
汚染されたシステム環境にはリストアできません。バックアップとは、データだけでなく「安全な環境」での復旧手順とセットで設計する必要があります。
ID管理の重要性
致命傷となったのは 「管理者権限の奪取」 です。特権ID管理（PAM）や多要素認証（MFA）の徹底が、侵入後の横展開を防ぐ鍵となります。
ITとOTの依存関係
工場の製造ライン（OT）は無傷で通常稼働可能でしたが、出荷指示を出す物流システム（IT）が使えなかったため、一部製品は製造も制限を受けました。システム間の依存関係を把握したBCP策定が不可欠です。