サイバー攻撃事件簿：「アサヒビール」 サイバー攻撃

このブログで、不定期連載で、「サイバー攻撃事件簿」と題し、サイバー攻撃に関するニュースを取り上げ、事件の内容と、どんな対策有効なのかを啓発していきます。今回は、2025年10月現在、大々的に各メディアで報道されている アサヒビール へのサイバー攻撃を取り上げます。

---

1) 報道・公式発表で確認できる被害状況（タイムライン付き）

2025年9月29日（月）

• グループの国内システムがサイバー攻撃で障害。国内の受注・出荷・コールセンター等を停止。 当初は「個人情報流出の確認なし」と発表。影響は日本国内に限定と説明。
  • （出典） https://www.asahigroup-holdings.com/en/newsroom/detail/20250929-0202.html

2025年9月30日（火）

• 国内工場の生産再開ができない状況が続くと報道。生産・受注・配送・問い合わせ対応など広く影響。
  • （出典） https://www.reuters.com/technology/japans-beer-giant-asahi-group-cannot-resume-production-after-cyberattack-2025-09-30

2025年10月3日（金）

• 障害継続の第2報を公式発表。復旧作業継続の旨。小売・飲食での品薄が報じられる。
  • （出典） https://www.asahigroup-holdings.com/en/newsroom/detail/20251003-0204.html

2025年10月6日（月）〜7日（火）

• **国内6工場でビール生産を再開。ただし全面復旧には至らず、**出荷や一部システムは手作業や電話・FAXで代替。全国的な品薄懸念が続く。
  • （出典） https://www.reuters.com/world/asia-pacific/japans-asahi-restarts-beer-production-following-cyberattack-2025-10-06

2025年10月7日（火）以降

• ランサムウェア集団「Qilin」が犯行声明。約27GB／9,300超のファイル窃取を主張し、内部文書とする画像を公開（真偽は第三者未検証）。同社は情報流出の有無を調査中。
  • （出典） https://www.reuters.com/world/asia-pacific/cybercriminals-claim-hack-japans-asahi-group-2025-10-07

その他の影響例

• 新商品12品の発売延期など、サプライチェーン・商品計画にも波及。
  • （出典） https://japantoday.com/category/business/japan-beverage-giant-suspends-release-of-new-products-after-cyberattack?

要点

攻撃は業務（IT）側の中枢機能を直撃し、生産・物流・発売計画に広く波及。段階的な操業再開は進む一方、完全復旧・データ流出有無の確定は道半ばというフェーズでした（10月13日現在）。

• （出典） https://www.reuters.com/world/asia-pacific/japans-asahi-restarts-beer-production-following-cyberattack-2025-10-06

---

2) 報道されていない可能性のある「原因となりうる課題点」（一般論）

※以下は一般的な製造業・大企業のインシデントで頻出する論点を整理した仮説です。アサヒ個社の断定ではありません。

• ランサムウェア到達経路の定番

  • フィッシング／マルスパム → 認証情報奪取 → MFA未適用のVPNやSaaSから侵入
  • **外部公開サーバの脆弱性（VPN機器やMFTなど）**の悪用
  • ベンダーや委託先経由のサプライチェーン侵害（特権アカウントの横流し）

• 横展開を許す要因

  • AD（Active Directory）の過度権限や脆弱な横断認証、特権管理の不備
  • ネットワーク分離・マイクロセグメンテーション不足で、業務システム全体が巻き込まれる
  • EDR/ログ監視のカバレッジや検知ルールの不足

• 復旧長期化の温床

  • バックアップの同一ドメイン管理で暗号化・改ざん被害を受ける
  • BCP/手順書の実地訓練不足で、切替・代替運用（電話・FAX等）は可能でも出荷・在庫連携が律速
  • OT（工場側）とITの境界設計が曖昧だと、製造復旧と基幹の整合に時間

これらは過去の国内外事例で繰り返し観測されるパターンで、今回の報道内容（受注・出荷・問い合わせ、工場稼働への波及、手動オペへの切替）とも整合的に「起こりやすい論点」と言えます。

• （出典） https://www.ft.com/content/6b965dab-b6d2-4c19-8075-41e3e7a739cf

---

3) このニュースから私たちが学ぶべきこと（実務チェックリスト）

A. 「侵入させない」初動対策

• 全社MFA（VPN、SaaS、特権、メール）を強制。
• 外部公開機器の継続監査（VPN/SSL-VPN、MFT、WAF、リモート管理）と緊急パッチSLA。
• フィッシング訓練＋セーフブラウジング、高リスク拠点のメール隔離強化。

B. 「横展開させない」設計

• ゼロトラスト前提のネットワーク分割（業務、開発、OT、ベンダーを論理分離）。
• ADの衛生管理： 特権アカウントのTier分離、LAPS、PAW（特権端末分離）、委任設定の棚卸し。
• マイクロセグメント＋EDR/XDRの全端末カバレッジ、 高価値資産（Crown Jewels）に強化監視。

C. 「復旧を早める」備え

• バックアップ三原則： 3-2-1 + オフライン/イミュータブル + 復旧テストの定期演習。
• BCP/IR（インシデント対応）演習： 机上だけでなく夜間・連休シナリオ、ベンダー同席で通信断も想定。
• 代替オペのテンプレ化（電話・FAX・手入力ワークフローの帳票、承認、監査ログの事前整備）。

D. サプライチェーンと広報

• ベンダー接続のゼロトラスト化、 最小権限・期限付きID・行為監査。
• 初動広報の透明性（影響範囲・国内外の切り分け・流出有無の暫定/確定の区別）と顧客影響の見える化。

---

4) ビジネス側への示唆（非エンジニアにも伝わるポイント）

• IT停止＝売上直撃： 受注・出荷・問い合わせが止まると、数日で在庫欠品・機会損失が顕在化。

• 「工場は動いても売れない」ギャップ： 生産と基幹（受注・物流）の同期が要。手作業代替には限界。

• 商品戦略にも波及：新製品の発売延期はブランド・売上計画のリスク。

---

5) この記事の想定ユースケース（読者の現場で役立つ場面）

• 情シス／セキュリティ担当： MFA未実装の棚卸し、VPN機器と公開サーバの緊急パッチ適用計画の即日策定

• 経営層： バックアップのイミュータブル化投資、IR演習の四半期定例化、CISO直轄の権限設計

• 工場・物流： IT/OT境界のネットワーク分割と、基幹停止時の手順テンプレ更新

• 広報・CS： 影響範囲と復旧段階のメッセージ雛形を平時に準備

---

いま動くなら

1.MFAの未適用リストを本日中に洗い出し、強制化のロードマップを決裁。

2.外部公開機器のCVE棚卸しとパッチ/緩和策を優先度順に適用。

3.バックアップ無改ざん化（WORM/オフライン）＋ リストア演習を四半期で回す。

4.IR/BCP演習を「夜間・連休・物流停止」シナリオで部門横断実施。

5.ADの特権最適化とネットワーク分割をプロジェクト化。

このインシデントは「サイバーがそのまま事業に効く」ことを可視化しました。技術と業務をまたぐ設計と訓練こそが、次の危機で止めない・遅らせない最大の武器になります。