アサヒグループへのサイバー攻撃でビールが飲めなくなった。その多大なる影響と今後
コンビニからスーパードライが消えてから、2週間以上が経ちました。
あの時、何が起きていたのか。そして今、どうなっているのか。
何が起きたのか
2025年9月29日の未明、アサヒグループホールディングスは社内システムに異常を検知しました。
すぐに調査を開始したところ、これがサイバー攻撃によるものだと判明します。同社は被害拡大を防ぐため、影響を受けたシステムをネットワークから遮断しました。この判断は正しかったのですが、結果として基幹システムが停止することになります。
10月3日、アサヒは攻撃が身代金要求型ウイルス「ランサムウェア」によるものだと公式に発表しました。緊急事態対策本部を立ち上げ、外部の専門家も交えて対応に当たります。
その後、ロシアに拠点があるとされるハッカー集団「Qilin(キリン)」が犯行声明を出しました。従業員の個人情報や財務関連の文書など、約27ギガバイトものデータを盗んだと主張しています。
Qilinの手口:二重の脅迫
Qilin(キリン)はなぜわざわざ「私達が犯人です」ということを言うのかが疑問に残ります。言えば捕まる可能性が高まるのに。
それは捕まらない自信の表れでもありますが、「二重恐喝」と呼ばれる悪質な手法を使うためです。
まず、企業のネットワークに侵入して重要なデータを盗み出します。その後、システム内のデータを暗号化して業務を停止させます。
そして、二段階で脅迫してきます。第一の脅迫は「データを返してほしければ金を払え」です。暗号化されたデータを元に戻すための復号キーと引き換えに、暗号資産での身代金を要求します。
第二の脅迫は「盗んだデータを公開されたくなければ金を払え」です。たとえバックアップからデータを復旧できたとしても、「支払いに応じなければ、事前に盗んだ機密情報や顧客情報をダークウェブで公開する」と脅してくるのです。
警察庁やNISCなどの公的機関は、身代金を支払わないよう強く推奨しています。支払ってもデータが戻る保証はないし、一度支払うと「お金を払う企業」としてリストに載り、再び標的にされるリスクが高まるからです。
アサヒは、情報漏洩の可能性を示す痕跡が確認されたとして、現在も漏洩した情報の範囲や内容を調査中です。
ビールを作れない。お店がアサヒビールを注文できない
サイバー攻撃だから社内のシステムがおかしくなったんでしょ?ぐらいに思うかもしれませんが、その影響はそれだけでなくさまざまな方面に影響を与えてしまっています。
受注や生産、出荷を管理する基幹システムが停止したことで、国内のビール全6工場を含む30の工場で生産・出荷が止まりました。「アサヒスーパードライ」などの主力商品が店頭から消え、全国の小売店や飲食店で欠品や品薄状態が発生したのです。
影響は製造だけではありません。お客様相談室などのコールセンター業務も停止し、顧客や取引先とのコミュニケーションにも支障が出ました。社外との電子メールの一部機能も使えなくなりました。
さらに、10月に予定されていた新商品や限定ラベル商品の発売が延期され、新ブランドの発表会も中止となりました。11月1日から予定されていた国産ウイスキーなどの値上げも延期せざるを得なくなりました。
サプライチェーン全体への波及
アサヒだけの問題では終わりませんでした。
アサヒ製品の供給が止まったことで、キリン、サッポロ、サントリーといった他のビール大手も一部商品で出荷を制限する事態になったのです。アサヒからの切り替えによる想定を超える受注に対応するためでした。
ビール業界全体を巻き込む騒動に発展したわけです。売上を集計するシステムも停止したため、10月10日に予定されていた9月度のビール類販売実績の発表も延期されました。
現在の状況(10月13日時点)
アサヒグループは、システムの完全復旧を待たずに、代替手段で事業を再開させる道を選びました。
10月2日から国内のビール全工場で製造を再開しています。ただし、受注システムが停止しているため、手作業で受注を行っている状態です。
10月6日からは「スーパードライ」など一部商品の出荷を順次再開しました。10月15日からは「アサヒ生ビール」など他の主力商品の出荷も一部再開する予定です。
しかし、全社的なシステムの完全な復旧には至っておらず、10月上旬時点でもまだ見通しは立っていません。
なぜ代替システムで動かせないのか
「予備のシステムに切り替えればいいじゃないか」と思いませんか。
実は、そう簡単にはいかないんです。一番の悪夢は、ウイルスに感染したバックアップデータから復旧してしまうことです。攻撃者は数週間から数ヶ月間システムに潜伏し、じっくり情報を盗んだり、感染を広げたりします。最近のランサムウェアは賢く、ネットワークで繋がっているバックアップサーバーまで探し出して暗号化してしまうのです。
だから、復旧作業の第一歩は「どこまで汚染されているのか」という被害範囲の特定になります。安全が確認されるまで、うかつにバックアップを戻すことはできません。
それに、アサヒの基幹システムは、受注、生産管理、在庫管理、出荷システムが毛細血管のように複雑に連携しています。一部だけを古いデータで復旧させると、全体のつじつまが合わなくなり、大混乱を引き起こします。
メインシステムと寸分違わぬ完璧な予備を常に動かし続ける方法もありますが、これはコストが2倍以上かかります。銀行のオンラインシステムなど、1秒でも止まると社会的な大混乱を招くような、ごく一部の最重要インフラに限られます。
なぜ大企業のセキュリティが破られるのか
「アサヒのような大企業なら、セキュリティは強固なんじゃないの?」
その疑問はもっともです。でも、100%安全なセキュリティは存在しないというのが現実なんです。
大企業は自社のセキュリティをガチガチに固めています。そこで攻撃者が狙うのは、セキュリティが比較的甘い関連会社や取引先です。部品メーカーや物流会社、海外の子会社などをまず乗っ取り、そこを踏み台にして本丸に侵入します。テレワークの普及で、社員が自宅で使うパソコンやWi-Fiルーターも新たな入口になってしまいます。
それに、攻撃者の武器が進化しすぎています。OSやソフトウェアにまだ知られていない脆弱性を突く「ゼロデイ攻撃」は、事前に防ぐことがほぼ不可能です。AIが悪用され、本物そっくりの偽メールも増えています。
そして、一番の弱点は「人」です。どんなに高性能なシステムを導入しても、それを使うのは人間です。つい怪しいメールの添付ファイルを開いてしまった、簡単なパスワードを使いまわしていた。たった一人の従業員のうっかりミスが、組織全体のシステムを危険にさらす突破口になり得ます。
サイバーセキュリティは、城の防衛のようなものです。防御側は360度すべてを24時間365日完璧に守らなければなりません。でも攻撃側は、たった一か所、一番弱い部分を見つけて突破すれば勝利です。この構造的な不公平さがあるため、どれだけ防御を固めても、攻撃側に有利な状況は変わりません。
失われる信頼、戻らない顧客
損害額は週に数十億円規模にのぼる可能性も指摘されています。でも、それ以上に深刻なのが「取引先との信頼関係」という経営の根幹が揺らいでいることです。
飲食店や小売店にとって、注文した商品が当たり前に確実に届くことはビジネスの生命線です。一度でも「スーパードライが品切れです」という事態が起きれば、お店は顧客を失うリスクを負います。
多くの飲食店では、他社のビールに切り替える対応に追われました。メニューを書き換え、発注システムを変更し、場合によってはサーバーの機材を入れ替えるなど、多大な手間とコストがかかっています。一度その手間をかけてしまうと、「またアサヒに戻す」という作業をためらうのは当然です。
それに、「アサヒと付き合っていると自社のシステムにも影響をくらいそう」という不安も現実的です。取引先の情報が漏洩する可能性も報じられています。もし取引先の受発注データなどが流出していた場合、信頼関係は完全に崩壊します。
「また起こるのでは?」という疑念も残ります。アサヒがどれだけ強固な再発防止策を講じたとしても、その安全性を100%証明することは不可能です。ビジネスの安定を最優先する経営者であれば、よりリスクの低い選択肢を選ぶ動機になります。
この事件が教えてくれること
今回の事件は、企業のデジタル化が進む一方で、その根幹を揺るがしかねないサイバーセキュリティの脅威を改めて浮き彫りにしました。
アサヒグループは効率化のために業務システムを統合していました。これは正しい経営判断だったのですが、同時に「一箇所が止まれば全体が止まる」というリスクも抱えていたことになります。
最近のセキュリティ対策は「侵入を防ぐ」だけでなく、「侵入されることを前提に、いかに早く検知し、被害を最小限に食い止め、復旧するか」という考え方にシフトしています。
事業継続計画(BCP)の重要性
「もしサイバー攻撃を受けたら、どうするか」
この問いに対する答えを、事前に準備しておく必要があります。それが事業継続計画(BCP)です。
システムが止まっても、手作業でどこまで対応できるのか。代替手段はあるのか。復旧にはどれくらいの時間がかかるのか。
ただし、多くの企業は数日程度の停止を想定した応急処置しか準備していません。今回のように数週間以上もシステムが麻痺する事態は、多くの企業の想定をはるかに超えているのです。
他人事ではない。自社でもできること
「うちは大企業じゃないから大丈夫」
そう思っていませんか。
実は、ランサムウェア攻撃は企業規模を問わずに行われています。2025年に入ってからも、保険ショップ、テーマパーク運営会社、スーパーマーケット、クリニックなど、様々な規模の企業が被害に遭っています。
もはや、いつ自社が攻撃を受けてもおかしくない状況なのです。
ですので、自社でできる対策はとっておいた方が良いですね。多大なお金をかけることはできないので、パスワードを強固にする、人的ミスにならないようにチェックシートを強化する、もし事が起こった時にどうするかを決めておくなど、できることはあります。
敏感になりすぎて本業に影響するのも良くないですが、企業としての「最低限の準備」は必要ですね。
