KEIEI.RIP
← Back to Archive
NO. 0027事業継続中

アサヒ、ランサムウェアで出荷停止の衝撃

2025アサヒグループホールディングス · DX失敗

日本ビール市場シェア4割を握るアサヒGHDが、2025年9月末にロシア系RaaSグループ「Qilin」によるランサムウェア攻撃を受け、受注・出荷業務が全面停止。年末商戦直前の混乱と最大90億円規模の直接損失は、境界防御依存型ITとサプライチェーン集中の脆さを浮き彫りにした。

ランサムウェアQilinサプライチェーン寸断データセンター侵害VPN脆弱性
Obituary

弔辞

TL;DR

  • 2025年9月29日早朝、認証サーバー起点のランサムウェアが約300拠点を直撃、受注・出荷業務が全面停止。
  • 攻撃者はロシア系RaaSグループ「Qilin」。約27GB・9,300ファイルの窃取を主張し、二重恐喝を仕掛けたがアサヒは身代金支払いを拒否。
  • 直接損失は最大90億円規模、10月売上は前年比約9割に減少、第3四半期決算開示は45日超延期。
  • 工場系システムを業務系と疎結合分離していたため製造ラインは無事。手作業・EOSによる段階復旧で2026年2月に物流正常化。
  • 再発防止策の柱はVPN廃止とゼロトラスト全面移行。境界防御モデルの終焉を象徴する事案。

企業概要と全盛期

アサヒグループホールディングスは、1889年設立の大阪麦酒会社を起源とする130年以上の歴史を誇る日本最大級の飲料・食品メーカーである。1900年のパリ万国博で最優等賞を獲得した「アサヒビール」、そして1987年に発売され初年度売上高860億円を叩き出した革新的商品「スーパードライ」によって、低迷していた同社を一気にビール業界トップへ押し上げた。

事件発生時点で、アサヒGHDは日本のビール市場シェア約4割を保持する寡占的プレイヤーであり、グループ会社は国内外118社に及ぶ。酒類・飲料・食品・国際事業を展開する純粋持株会社体制(2011年移行)の下、連結売上収益は約2.5兆円規模、時価総額は約2.31兆円に達していた。

スーパードライの圧倒的ブランド力に加え、CVSや量販店、外食チェーンへの大量定常供給を支える緻密な需給オペレーションこそが、アサヒの真の競争優位の源泉だった。電子受発注システム(EOS)と全国の物流ネットワークが緻密に連動し、日次で膨大なSKUを正確に届ける体制は、まさに「動くことが当たり前」のインフラと化していた。しかしこの「動いて当然」のITインフラこそが、2025年9月の事件で最大の弱点として露呈することになる。

何が起きたか

事件は静かに始まっていた。

9月19日頃:攻撃者はアサヒグループ拠点のネットワーク機器(VPNと推測)から内部ネットワークに侵入。約10日間にわたり水面下で偵察・横展開を実施し、認証サーバーや主要システムへのアクセス権を着々と獲得していった。

9月29日午前7時頃:認証サーバーを起点として、複数のサーバー・PCに対しランサムウェアが一斉実行された。これはHuman-Operatedランサムウェア特有の手口で、週末夜間に潜伏し月曜朝の業務開始時刻に合わせて被害を最大化する設計だった。

同日午前11時頃:攻撃発覚から約4時間で、リモートアクセスVPN、約300拠点間ネットワーク、クラウド間接続、インターネット回線をすべて遮断。データセンターを完全隔離した。被害拡大の封じ込めと引き換えに、受注・出荷業務は全面停止に追い込まれた。

9月30日:個人情報保護委員会へ速報提出。10月1日予定の新商品発表会を中止。

10月3日:原因がランサムウェア攻撃と公表(第2報)。同時に手作業による受注対応を開始。FAXと電話で量販店・卸からの注文を受ける、まさにアナログBCPの発動だった。

10月7日:ロシア系RaaSグループ「Qilin(キリン)」が犯行声明。約27GB・9,300以上のファイル窃取を主張し、内部文書29枚をダークウェブで公開。アサヒは身代金要求を拒否。

10月9日:日経が直接損失最大90億円との市場見方を報道。

11月13日:10月売上が前年比約9割と発表。11月27日:勝木敦志Group CEOによる記者会見で漏えいのおそれがある個人情報191.4万件を公表。

12月2-3日:アサヒビール・アサヒ飲料・アサヒグループ食品でEOSによる受注を順次再開。

2026年2月18日:最終調査結果・再発防止策・ガバナンス強化策を公表。確認された個人情報漏えいは11万5,513件、物流業務全体が正常化した。

失敗の本質的原因

市場・競合環境

日本ビール市場シェア約4割という寡占的地位ゆえに、アサヒの出荷停止はそのまま小売・外食・歳暮商戦のサプライチェーン全体を揺さぶった。年末商戦という年間最大の繁忙期直前のタイミングは、攻撃者から見れば「最大効用」を引き出す絶好のレバレッジポイントだった。市場リーダーであることが、皮肉にも攻撃の経済的価値を増幅させた。

経営判断と意思決定

サイバーリスクを「経営上の最重要リスクの一つ」と位置付けていたにもかかわらず、防御モデルはVPN等の境界防御依存型だった。EDRを導入済みだったが、Human-Operatedランサムウェアの偵察・横展開フェーズを検知できなかった。データセンター内部のパスワード脆弱性や横展開検知への投資が、境界防御の更新に比べて優先度を落とされていた可能性が高い。

財務・資金構造

最大90億円規模の直接損失、10月売上前年比約1割減、第3四半期決算の45日超延期──収益・開示両面で深刻な打撃となった。ただし2.5兆円規模の連結売上に対しては「致命傷ではない」レベルに収まり、財務耐性の厚みが事業継続を支えた。

組織と文化

国内外118社・約300拠点というスケールに対し、ネットワークが密結合状態にあった。ゼロトラスト移行が一部PCで未完了だった移行期の脆弱性が露呈した形だ。グループ各社のIT統制レベルにばらつきがあり、攻撃者にとって「最も弱い環」を突破口にできた構造といえる。

外部環境・規制

ロシア語圏RaaSグループ「Qilin」による高度に組織化された二重恐喝攻撃。実行犯はアフィリエイト形式で全世界に分散しており、犯人特定・身柄拘束は事実上不可能。法執行による抑止が機能しないドメインで、企業は自力での防御を強いられる現実が突きつけられた。

経営者の意思決定を再構築する

勝木敦志Group CEOの立場に立てば、9月29日早朝の数時間がいかに重い決断の連続だったかが見えてくる。

午前7時、認証サーバーで異常検知。午前11時、ネットワーク全遮断。この4時間で、彼は「出荷を止めれば年末商戦直前の最繁忙期に売上を失う」一方、「遮断しなければ被害が無制限に拡大し、復旧不能領域に入る」というトレードオフを瞬時に判断した。多くの経営者がここで「もう少し様子を見よう」と判断を遅らせる誘惑に駆られる場面で、CEOは封じ込めを優先した。これは結果的に製造ラインを守り抜く決定打となった。

身代金要求の拒否も重い決断だった。「払えば早く戻る」という短期合理性に屈せず、「支払っても復元保証はなく、犯罪助長になる」というスタンスを貫いた。バックアップからの段階的復旧は時間こそかかるが、組織のレジリエンス能力そのものを鍛える選択でもあった。

情報開示戦略も興味深い。約2カ月間、詳細を絞り込み、11月27日に一括説明する判断は、フォレンジック調査が進行中で不確定情報を出せば二次被害(フィッシング便乗、模倣攻撃、株価乱高下)を招くという計算に基づく。透明性原理主義から見れば批判の余地もあるが、被害最小化を主目的とした実務的判断だった。

そして特筆すべきは、工場系システムを業務系から疎結合分離していた点だ。これは事件以前の「平時の投資判断」が、危機時にもっとも価値を発揮した好例である。ROIが見えにくいアーキテクチャ投資を維持してきた経営判断こそ、この事案で最大の防波堤となった。

海外類似事例との比較

JBS S.A.(ブラジル食肉世界最大手):2021年5月、REvilによるランサムウェア攻撃で米国・豪州の食肉処理工場を一時停止。同社は約11百万ドル(約12億円)の身代金支払いを選択し、数日で復旧した。アサヒとは正反対の判断だが、いずれも「市場シェア寡占+サプライチェーン中核」という共通構造を持つ業界リーダーが標的にされた点は同じだ。

Colonial Pipeline(米国):2021年5月、DarkSideによる攻撃で米東海岸の燃料供給が停止。約440万ドルの身代金支払い後、FBIが一部回収。社会インフラ機能停止が政治問題化し、米政府のサイバーセキュリティ大統領令につながった。

Maersk(NotPetya, 2017年):世界最大級の海運会社が攻撃を受け、全世界のコンテナ追跡システムが停止。損失は約3億ドル。手書きと電話による業務継続でしのいだ姿は、アサヒのアナログBCP発動と酷似する。

これら海外事例が示すのは、サイバー攻撃は「IT部門の問題」ではなく「経営の主要リスク」だという事実だ。そして身代金を払うか否かは、倫理問題であると同時に、組織のバックアップ能力・BCP成熟度・株主への説明責任のすべてが絡む高度な経営判断であることを浮き彫りにする。

経営者・起業家へのインサイト

  1. 「境界防御」は終わった前提で経営せよ:VPN・ファイアウォール依存はもはや時代遅れ。ゼロトラストへの移行は「IT予算」ではなく「経営の継続コスト」として位置付けるべきだ。

  2. 疎結合アーキテクチャは平時に投資し、危機時に回収する:アサヒが工場系を業務系から切り離していなければ、製造ライン停止という致命傷を負っていた。「効率化のための統合」と「レジリエンスのための分離」のバランスを経営アジェンダに据えよ。

  3. 身代金は払わないという原則を、事件前に決めておく:危機の渦中で決断すれば必ず短期合理性に流される。「支払わない」と決めるなら、バックアップ・BCP・広報対応への投資を平時から積み上げておく必要がある。

  4. アナログBCPを真面目に訓練せよ:FAX・電話・手書き伝票での受注継続が、アサヒの最低限供給を支えた。デジタル時代だからこそ、アナログ手順書と訓練が最後の砦になる。

  5. 情報開示は「透明性」と「被害最小化」のトレードオフを設計せよ:全てを即座に出せばいいわけではない。フォレンジック調査の進捗と、二次被害リスクを天秤にかけた開示戦略を、事件前に法務・広報・IRと擦り合わせておくべきだ。

あなたが経営者だったら?

  1. 自社の基幹システムが今朝7時に暗号化された場合、4時間以内に「全ネットワーク遮断」の決断を下せるか?その権限は誰にあり、誰の承認が必要か、明文化されているか?

  2. 身代金を「払う/払わない」のスタンスを、平時に取締役会で議論したことはあるか?その判断を支えるバックアップ体制・BCP訓練に、十分な経営資源を配分しているか?

  3. グループ全体で「最も弱い環」はどこか?子会社・海外拠点・取引先のIT統制レベルを把握し、ゼロトラスト移行のロードマップを経営アジェンダに組み込んでいるか?

Nearby Graves

隣の墓標

NO. 0026経営危機
グリコ
2024DX失敗

グリコSAP移行失敗、342億円の代償

創業100周年を迎えた江崎グリコが挑んだ342億円の基幹システム刷新は、2024年4月のカットオーバー直後にプッチンプリンの出荷停止という国民的事件を引き起こした。SAP S/4HANAへのビッグバン移行はなぜ失敗したのか、その本質を解剖する。

NO. 0001撤退
セブン-イレブン・ジャパン(セブンペイ)
2019DX失敗

セブンペイ - 57時間で露わになったデジタル敗北

2019年7月1日に鳴り物入りで登場したセブンペイは、わずか2日後に大規模な不正アクセス被害を受け、同年9月30日にサービスを終了した。被害総額は約3,800万円、被害者数は808人に上った。日本最大のコンビニチェーンが直面したデジタルトランスフォーメーションの限界を象徴する事件として、日本のビジネス史に刻まれている。

← 墓碑一覧に戻る