アサヒグループHD、ランサムウェア攻撃によるシステム障害について、調査が完了した内容と再発防止策を公開

　アサヒグループホールディングス株式会社は2月18日、2025年9月29日に発生したサイバー攻撃によるシステム障害について、調査が完了した内容と再発防止策を公開した。

　攻撃の経緯や原因について、2025年11月に発表された内容から追加された新情報はないが、12月以降に個人情報の漏えいが確認されており、それについて報告されている。また、再発防止策とガバナンスの強化について、より具体的な内容がまとめられている。

サイバー攻撃によるシステム障害の概要

　2025年9月29日午前7時ごろ、同社のシステムにおいて障害が発生し、調査を進める中で暗号化されたファイルがあることを確認した。午前11時ごろ、被害を最小限にとどめるためにネットワークを遮断し、データセンターの隔離措置を講じた。

　その後の調査の結果、具体的な日時は特定できないものの、システム障害発生の約10日前に、外部の攻撃者がアサヒグループ内の拠点にあるネットワーク機器を経由し、アサヒグループのネットワークに侵入したことが判明した。同社の主要なデータセンターに入り込み、パスワードの脆弱性をついて管理者権限を奪取した後、奪取したアカウントを不正利用してネットワーク内部を探索し、主に業務時間外に複数のサーバーへの侵入と偵察を繰り返したとみられている。

　攻撃を受けたシステムを中心に影響する範囲や内容の調査を進めている中で、従業員に貸与している一部のPCのデータが流出したことが判明している。データセンターにあるサーバー内に保管されていた個人情報については、流出の可能性があるが、インターネット上に公開された事実は確認されていない。なお、今回の攻撃の影響は、日本で管理しているシステムに限られている。

サイバー攻撃によるシステム障害の被害・対応

システム障害の復旧状況

事業への影響と復旧状況

　受注および出荷に関するシステムは、システム障害が発生してから停止しており、手作業による対応が続けられていた。これらのシステムによる受注・出荷業務は、アサヒビール株式会社およびアサヒ飲料株式会社では2025年12月3日から、アサヒグループ食品株式会社では同年12月2日から再開している。

　また、制限が残っていた配送のリードタイムも、2026年2月までに通常化したことで、物流業務全体が正常化した。出荷可能な商品の品目数については、順次拡大する予定だとしている。

取引先や従業員の個人情報約11万5000件の漏えいを確認

　サイバー攻撃により、個人情報が漏えいした可能性がある。一部の個人情報については、インターネット上で漏えいが確認されている。なお、個人情報の中にクレジットカード情報は含まれていない。

　情報漏えいが確認された人および情報漏えいの可能性がある人には、順次連絡をしているという。

グループ「サイバーセキュリティ基準」を制定し体制も整備

　同社では、サイバー攻撃のリスクについて、経営上の最重要リスクの1つと位置付け、その対応計画を策定し、実行およびモニタリングを行っている。

　グループ全体で遵守すべき「サイバーセキュリティ基準」を制定し、運用の徹底を図るとともに、当該基準により国内・海外グループ会社のサイバー攻撃対策状況を評価し、セキュリティ体制の維持・向上およびそのリスクが顕在化しないよう、セキュリティの改善などに努めている。また、インシデント発生時の報告ルールを明示し、グループ全体でインシデント情報を集約するとともに、リスク対応を強化するなどの体制整備に取り組んでいるという。

　今後は、これまでの取り組みをさらに強化し、継続的な監視と改善を前提とした体制へ移行し、万一の事態が発生した場合でも影響を最小限に抑える仕組みの強化を進めていくとしている。主な対策として、ネットワーク機器をはじめとするサーバーやPCなどのIT資産の管理徹底、EDRを含めたセキュリティツールの最新化・高度化、全従業員への情報管理規程の周知徹底などに努め、さらにはガバナンス体制の強化により、情報管理・セキュリティ管理をより高度化することが挙げられている。

　具体的な取り組みの概要は次の通り。