サイバー攻撃から2ヶ月。アサヒGHDは｢社員の驚くべき頑張り｣で12月にEOS復旧

2025-12-01

アサヒグループホールディングス（以下、アサヒGHD）は2025年11月27日（火）、9月29日（月）に発生した同社へのサイバー攻撃によるシステム障害について、調査結果の説明会を開催しました。

ネットワーク侵入は障害発生の約10日前

説明会では、まずアサヒGHD取締役兼代表執行役社長 Group CEOの勝木敦志（かつき・あつし）氏から、今回のインシデントの経緯、原因、情報漏えいの可能性について、現時点で調査が完了ているという内容と範囲の説明が行われました。

同社システムにおいて障害の発生が認識されたのはで9月29日（月）の午前7時頃。暗号化されたファイルがあることを確認した同社は7時から11時のあいだに順次工場の稼働を停止し、11時頃には被害を最小限にとどめるためネットワークを遮断、データセンターの隔離措置を講じたとしています。

その後の調査によると、その障害発生の約10日前に、外部攻撃者が同社グループ内の拠点にあるネットワーク機器を経由してグループのネットワークに侵入したことが分かったそう。同社の主要なデータセンターに入り込んだ攻撃者はパスワードの脆弱性を突いて管理者権限を奪取し、アカウントを不正利用してネットワーク内を探索、主に業務時間外に複数のサーバーへの侵入と偵察を繰り返したと見ています。

そして9月29日（月）の早朝、侵入されたサーバーから、データを使用不可にしたうえで復元のために対価（身代金）を要求するランサムウエアが一斉に実行され、ネットワークの接続範囲で、起動中の複数サーバーや一部パソコン端末のデータが暗号化されたことが判明したとしています。その結果、データセンターを通じ、従業員に貸与している一部パソコン端末のデータが流出したことが分かったとのこと。一方で、データセンターのサーバーに保管されていた個人情報は、流出の可能性はあるものの、11月27日現時点ではインターネット上に公開された事実は確認されていないとしています。また、今回のサイバー攻撃による影響は日本で管理しているシステムに限られるほか、攻撃者からアサヒGHDに対する接触も一切なく、脅迫もなければ身代金も支払っていないとしています。

191万4,000件に情報漏えいのおそれ

今回のインシデントによる、情報漏えいの発生、またはそのおそれがある個人情報は以下の通り（11月27日時点）。

情報漏えいのおそれがある対象者について、同社は11月27日以降、個人情報保護法に則って個別に通知を開始したほか、顧客や関係先からの問い合わせに対応すべくアサヒグループ個人情報お問い合わせ窓口も開設しました。

来年2月には物量業務全体の正常化を

今回のサイバー攻撃を受けてから約2カ月にわたり、アサヒGHDはランサムウエア攻撃の封じ込め対応、システムの復元作業、再発防止を目的としたセキュリティー強化を進めており、フォレンジック調査（※）や、健全性検査および追加のセキュリティー対策を経て、安全性が確認されたシステムや端末から段階的に復旧を進めているとのこと。「2ヶ月と、復旧までに時間がかかったのは否めないが、社内外で万が一にも被害が拡大するリスクを避けなければいけないと、慎重に慎重を重ねて復旧手順を踏んだ」（勝木社長）としています。

工場のオペレーションシステムは当初から無傷で通常に稼働できていたそうですが、受注および出荷に関するシステムが活用できなかったために品目等の制限が発生。受注システムが停止を余儀なくされ、これまではFAXやEXCELを使った手作業で対応を続けてきましたが、電子データによる受注管理システム（EOS：Electronic Ordering System）を使った受注および出荷業務は12月から再開を予定しているとのことです。アサヒビールとアサヒ飲料ではEOSによる受注を12月3日から再開予定で、これに伴い、今まで大型車やパレット単位となっていた受注制限も解除する方針としています。

このほか、引き続き制限が残る配送のリードタイムについては2026年2月までに通常化させ、物量業務全体の正常化を目指すというアサヒGHD。同じく制限が残るSKU数も、2月までに全商品の再開には至らないものの、EOS再開後の受注出荷状況を確認しつつ順次拡大していく方針とのこと。同社としては、今後とも継続した監視と改善と追加のセキュリティー対策の強化を行うことでえ、再発防止と安全な運用維持に努めるとしています。

※ 外部専門機関による、コンピューターやネットワークで起きた不正なアクセス、ウイルス感染などの原因や経路を突き止めるための鑑識調査

VPN接続、WAN接続はすでに廃止

説明会では、すでに実施した対策を含め、再発防止策の説明も行われました。システム面では通信経路やネットワーク制御を再設計し、接続制限をさらに厳しくするほか、メール・ウェブアプリを含むインターネットを経由した外部との接続については、すでにVPN接続とWAN接続を廃止したとのこと。外部とのアクセス制限を強化するなどして、以前から進めていたという“ゼロトラスト”の概念に則ったセキュリティも、今回のインシデントを機に完了させたとしています。

また、個々のサーバーのEDR（Endpoint Detection and Response）をさらに強化するなど、セキュリティー監視の仕組みも見直して攻撃検知の精度を向上させるほか、万が一の際にも迅速に復旧できるよう、バックアップ戦略やBCP（Business Continuity Plan：事業継続計画）も再設計・実装していくとしています。そのうえで、勝木社長は「今後はセキュリティー水準を継続的に見直し、より実効性のある社員教育や外部監査を定期的に実施して、組織全体のセキュリティーガバナンスを強化していく」と語りました。

アサヒビールの10月売上は前年比9割超

説明会では、今回の事案による事業への影響についても説明が行われました。システム障害の影響がない欧州やアジアパシフィックでは、売上収益は想定をやや下回っているものの事業利益は計画ラインで進捗。一方で、日本・東アジアは9月末ぶんの影響を確定できていませんが、1-8月の累計売上収益や事業利益はほぼ計画ラインで進捗しているとのこと。また、10月単月の売上収益はアサヒビール社が前年比9割超、アサヒ飲料社が同6割程度、アサヒグループ食品社が同7割超となっており、「10月は相当なマイナスになると思っていたが、ビールは『アサヒ スーパードライ』という大きな商品が出荷できると大きな数字になる。お客様の商品に対するご信頼について、大変ありがたく感じたというのが数字を見た印象」（勝木社長）としています。

そのうえで、今後の見通しは、欧州やアジアパシフィックでは通期の売上収益が計画をやや下回る可能性があるものの、事業利益は収益構造改革の推進なども寄与しており、引き続き計画達成を目指すとしています。また、日本・東アジアでは、10月以降の売上収益が計画を下回る見込みではあるものの、各システムおよび各事業の出荷数量は少しずつ回復してきているとのこと。今回のシステム障害によって2025年通期の連結業績悪化は避けられない見込みですが、今後も中長期経営方針は変更することなく、事業ポートフォリオの強靭化や資本効率向上に向けた施策を着実に実行していくとしています。

より大きな価値を提供する強い会社へ

今回のシステム障害について経営として重大な責任を痛感しているという勝木社長は、説明会で改めて「お客様、お取引先、従業員をはじめ、あらゆる関係先の皆さまに、多大なるご迷惑をご心配をおかけしておりますことを、重ねてお詫び申し上げます」と、謝罪の言葉を述べました。

そのうえで、「今回の事案を通じて、お客様の温かなお言葉、ときにはお叱りのお言葉も頂戴した。私どもが痛感したのは、いかに私どもの商品やサービスが、“おいしさ”、“楽しさ”、“豊かさ”、“喜び”、“つながり”、“うるおい”といったものを、お届けしていたかということだった」という勝木社長。また、「社員がいかに頼もしいかも実感した。時間はかかったが、復旧の目処がここまで立ってきたのは、（関係先各位に加えて）社員の驚くべき頑張りがあったから」と、感極まり、ときおり少し言葉をつまらせつつも、社員への感謝の気持ちを述べました。「月並みな言葉だが、本当に今回は社員のことを誇りに思ったし、（現下の状況では）不適切な表現かと思うが、経営者身寄りに尽きるという経験をさせていただいた。こうした社員がいる限り、今後、さらにお客様の信頼を頂戴して、お客様と社会に、より価値を提供して強い会社になって戻ってこれると信じて疑っていない。これをお約束して最後の言葉にしたい」と、今後に向けた決意を語ってくれました。

個人情報に関するお問い合わせ窓口について

 
「アサヒグループ個人情報お問い合わせ窓口」
電話：0120-235-923（受付時間 土日祝除く9:00～17:00）