アサヒグループを襲ったQilinランサムウェア攻撃の衝撃
2025年9月29日、アサヒグループホールディングスがサイバー攻撃を受け、システム障害が発生しました。この攻撃により、国内のビール工場6か所すべてが一時操業停止に追い込まれ、主力商品「アサヒスーパードライ」の生産にも大きな影響が出ました。
攻撃から約1週間後の10月8日、ロシア系ハッカー集団「Qilin(チーリン、キーリン)」がダークウェブ上で犯行声明を発表。約9300件のファイル、27ギガバイト分のデータを窃取したと主張し、社内文書や社員の個人情報29枚を公開しました。
Qilinランサムウェアの巧妙な攻撃手法を解剖
今回の攻撃で注目すべきは、その侵入経路の巧妙さです。Qilin集団は以下のような手順で攻撃を実行したとみられます:
1. 社員PCを踏み台にした内部侵入
犯行声明によると、攻撃者はアサヒが社員に貸与したパソコンをまず乗っ取り、そこから社内ネットワークに侵入しました。これは典型的な「ラテラルムーブメント」と呼ばれる手法で、一度内部に入り込んだ後、権限を拡大しながら重要なサーバーやデータベースにアクセスしていきます。
2. 二重脅迫による身代金要求
Qilinは単純にデータを暗号化するだけでなく、事前に機密情報を窃取する「二重脅迫」を実行しました。これにより、企業が身代金を支払わない場合でも、盗んだ情報を公開すると脅迫できるわけです。
実際に公開された情報には以下が含まれています:
– 財務関係書類
– 予算書類と契約書
– 事業計画や開発予測
– 社員の運転免許証
– マイナンバーカード
企業のフォレンジック調査で見えた真実
私が過去に担当したランサムウェア事件の調査では、多くの企業で共通する脆弱性が発見されています。アサヒグループのケースも例外ではありません。
エンドポイントセキュリティの重要性
今回の攻撃では社員のPCが侵入口となりましたが、これは決して珍しいことではありません。実際、私が調査した中小企業の事例では、以下のようなケースが頻発しています:
– **製造業A社(従業員200名)の場合**:営業担当者のノートPCがマルウェアに感染し、そこから社内の生産管理システムまで被害が拡大。復旧に3週間と約2000万円の費用が発生。
– **流通業B社(従業員50名)の場合**:経理部のPCが攻撃され、顧客情報約8000件が流出。損害賠償と信用失墜により、翌年の売上が30%減少。
これらの事例に共通するのは、従来のアンチウイルスソフト
だけでは防げない高度な攻撃手法が使われていることです。
Qilinランサムウェアグループの背景と手口
2022年から急成長したサイバー犯罪組織
Qilinは2022年半ばから活動を開始し、これまでに十数か国、100社以上を攻撃してきました。特に注目すべきは、2024年に英国の病院や検査機関を攻撃し、約76億円の身代金を要求した事件です。
RaaS(Ransomware as a Service)モデルの採用
Qilinは「RaaS」と呼ばれるビジネスモデルを採用しています。これは、ランサムウェアのソフトウェアとインフラを他の犯罪者に「サービス」として提供し、収益を分け合う仕組みです。このため、攻撃の規模と頻度が急激に増加しています。
日本企業を標的とした攻撃の急増
米インテリジェンス調査チーム「シスコ タロス」のリポートによると、2024年1-6月に日本で確認されたランサムウェア被害は68件で、前年の1.4倍に増加しています。月平均11件のペースで被害が発生しており、特に製造業が18%と最多を占めています。
この背景には、以下の要因があります:
1. 日本企業のデジタル化の遅れ
多くの日本企業では、まだレガシーシステムが稼働しており、最新のセキュリティ対策が十分に導入されていません。
2. リモートワークの普及による攻撃面の拡大
コロナ禍以降、VPN
接続やリモートデスクトップの利用が増加し、新たな攻撃経路が生まれています。
3. サプライチェーンの複雑化
企業間のシステム連携が進む中、一社の被害が関連企業にも波及するリスクが高まっています。
今すぐ実践すべきランサムウェア対策
1. エンドポイントセキュリティの強化
従来のアンチウイルスソフト
に加え、EDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)の導入を検討してください。これらのソリューションは、従来のシグネチャベースの検知では発見できない未知の脅威も検出できます。
2. 多層防御の構築
– **ネットワーク層**:ファイアウォールとIPS/IDSの導入
– **アプリケーション層**:Webサイト脆弱性診断サービス
の実施
– **データ層**:暗号化とアクセス制御の強化
– **ユーザー層**:定期的なセキュリティ教育の実施
3. バックアップ戦略の見直し
「3-2-1ルール」を基本として、以下を実践してください:
– データのコピーを3つ作成
– 異なる媒体2つに保存
– そのうち1つはオフサイトに保管
4. インシデント対応計画の策定
攻撃を受けた場合の対応手順を明文化し、定期的に訓練を実施してください。特に重要なのは:
– 初動対応の迅速化
– 関係機関への報告手順
– 復旧プロセスの標準化
5. ゼロトラスト・セキュリティの導入
「何も信頼しない、すべてを検証する」という原則に基づき、以下を実装してください:
– 多要素認証(MFA)の義務化
– 最小権限の原則の徹底
– 継続的なアクセス監視
中小企業でも実践可能な現実的な対策
大企業と異なり、中小企業では予算と人的リソースが限られています。しかし、以下の対策であれば比較的低コストで実践可能です:
1. クラウドベースのセキュリティサービス活用
オンプレミスでの導入が困難な場合、SaaS型のセキュリティサービスを活用することで、初期投資を抑えながら高度な保護機能を利用できます。
2. 従業員教育の徹底
技術的な対策と同じく重要なのが、従業員のセキュリティ意識向上です。特に以下の点を重点的に教育してください:
– 不審なメールの見分け方
– パスワード管理のベストプラクティス
– ソフトウェアアップデートの重要性
3. 段階的な導入アプローチ
一度にすべての対策を実施するのではなく、リスクの高い部分から段階的に対策を講じることが現実的です。
フォレンジック調査から見る被害企業の共通点
私が調査してきた被害企業には、いくつかの共通点があります:
1. セキュリティ投資の先送り
「うちは狙われない」という楽観的な認識により、必要なセキュリティ投資を先送りしている企業が多く見られます。
2. システムの可視性不足
自社のITシステムの全体像を把握できておらず、攻撃を受けても被害範囲の特定に時間がかかるケースが頻発しています。
3. インシデント対応体制の未整備
攻撃を受けた際の対応手順が明確でなく、初動対応の遅れが被害拡大を招いています。
ランサムウェア攻撃を受けた場合の対応
万が一攻撃を受けた場合は、以下の手順で対応してください:
即座に実行すべきこと
1. 感染端末をネットワークから即座に切断
2. インシデント対応チームの招集
3. 法執行機関への報告
4. サイバーセキュリティ専門家への相談
5. 保険会社への連絡
やってはいけないこと
– 身代金の支払い(違法行為になる可能性)
– 証拠の破棄
– 単独での復旧作業
– SNSでの情報発信
まとめ:予防こそ最善の防御策
アサヒグループの事例は、どれほど大企業であってもサイバー攻撃の脅威から逃れられないことを示しています。特にQilinのような高度な攻撃集団は、従来のセキュリティ対策では防げない手法を次々と開発しています。
重要なのは、攻撃を受けてから対応するのではなく、事前の予防策を講じることです。完璧なセキュリティは存在しませんが、適切な対策を講じることで、攻撃のリスクを大幅に軽減できます。
特に中小企業の経営者の方々には、セキュリティ投資を「コスト」ではなく「投資」として捉え、段階的でも良いので継続的に対策を強化していただきたいと思います。あなたの企業が次の標的にならないよう、今すぐ行動を起こしてください。
