ランサムウェア被害のアサヒグループ、再発防止策を発表--情報セキュリティを管轄する独立組織を設置

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [ランサムウェア被害のアサヒグループ、再発防止策を発表--情報セキュリティを管轄する独立組織を設置](https://japan.zdnet.com/article/35244121/)【ZDNET JAPAN】(2026年02月20日) --- > [!NOTE] この記事の要約（箇条書き） - 2025年9月にサイバー攻撃を受けたアサヒグループホールディングス（HD）は、2026年2月18日にシステム障害の経緯、原因、情報漏洩の可能性、再発防止策を発表した。 - 攻撃はシステム障害発生の約10日前に始まり、ネットワーク機器を経由して侵入、パスワードの脆弱性を突いて管理者権限を奪取された。 - 2025年9月29日にランサムウェアが実行され、複数のサーバーや一部のクライアント端末のデータが暗号化された。 - 従業員貸与の一部クライアント端末からデータが流出し、データセンター内の個人情報も流出の可能性があるが、インターネット上での公開は確認されていない。 - 被害拡大防止のため、リモートアクセスVPN、拠点接続ネットワーク、クラウド間接続回線、インターネット回線などを遮断し、データセンターを隔離した。 - 商品供給に関わる受注・出荷システムは停止したが、手作業での対応と電子受発注システムの再開を経て、2026年2月までに物流業務全体は正常化した。 - 再発防止策として、IT資産管理の徹底、EDRを含むセキュリティツールの最新化・高度化、全従業員への情報管理規程の周知徹底を図る。 - ガバナンス体制も強化され、情報セキュリティを管轄する独立組織と専任役員の設置、情報セキュリティ委員会の設置、取締役会による監視・監督機能の強化などを行う。 - 具体的な取り組みには、リモートアクセスVPN装置の全面廃止、ゼロトラストモデル対応の専用クライアント端末への完全移行、EDRの設定強化、継続的なペネトレーションテスト、ログ分析システム導入、権限管理の強化などが含まれる。 - 人的対策として、従業員向けセキュリティ教育の強化と最新の攻撃手法に備えた実践的なセキュリティ訓練を継続的に実施する。 > [!NOTE] 要約おわり --- - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35244121%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35244121%2F&hashtags=ZDNET) - - 印刷する - - メールで送る - テキスト - HTML - 電子書籍 - PDF - - ダウンロード - テキスト - 電子書籍 - PDF - - クリップした記事をMyページから読むことができます　2025年9月にサイバー攻撃を受けたアサヒグループホールディングス（HD）は、システム障害の経緯、原因の特定、情報漏洩の可能性について調査を進めてきた。調査が完了した内容や範囲、ガバナンス体制の強化を含む再発防止策を2026年2月18日に発表した。　2025年9月29日午前7時頃、システムに障害が発生し、調査を進める中で暗号化されたファイルがあることを確認。同日午前11頃、被害を最小限にとどめるためにネットワークを遮断し、データセンターの隔離措置を講じた。　その後の調査で、具体的な日時は特定できないが、システム障害発生の約10日前に外部の攻撃者がアサヒグループ内の拠点にあるネットワーク機器を経由して、アサヒグループのネットワークに侵入したことが判明している。　主要なデータセンターに入り込み、パスワードの脆弱性を突いて管理者権限を奪取、奪取したアカウントを利用してネットワーク内部を探索し、主に業務時間外に複数のサーバーへの侵入と偵察を繰り返したとみられている。　9月29日にランサムウェアがいっせいに実行され、ネットワークに接続する範囲で起動中の複数のサーバーや一部のクライアント端末のデータが暗号化された。攻撃を受けたシステムを中心に影響する範囲や内容の調査を進める中で従業員に貸与している一部のクライアント端末のデータが流出していることが判明している。　データセンターにあるサーバー内に保管されていた個人情報については、流出の可能性があるものの、インターネット上に公開された事実は確認されていないという。今回の攻撃の影響は日本で管理しているシステムに限られている。　システムの被害として、複数のサーバーに加えて、ゼロトラストモデルに移行する前の一部の従業員用クライアント端末が暗号化されている。ゼロトラストモデルへの移行前のクライアント端末にある情報の一部が窃取されたことを確認している。　被害防止拡大策として、リモートアクセス用VPN、約300の拠点を接続するネットワーク、クラウド間接続用の専用通信回線の全てを遮断。他のシステムへの感染を防止するための緊急措置としてインターネット回線を遮断してデータセンターを完全に隔離した。　データセンターの全システムを停止させたことで業務システムにアクセスできなくなった。バックアップデータの健全性を保持するために、バックアップシステムを一時停止させている。　外部専門機関によるフォレンジック調査を実施。システムごとの健全性を検証するとともに侵害の有無や影響範囲を精査した。　商品供給に直接関係する受注や出荷のシステムは、システム障害発生以降、やむなく停止。手作業での対応を続けてきている。物流関連のシステムによる受注・出荷業務は、アサヒビールとアサヒ飲料では電子受発注システム（EOS）による受注を2025年12月3日から、アサヒグループ食品では同12月2日から再開している。　制限が残っている配送のリードタイムについても、2026年2月までに通常化したことで物流業務全体は正常化している。出荷可能な商品の品目数は順次拡大していく予定としている。 | | アサヒビール | アサヒ飲料 | アサヒグループ食品 | | --- | --- | --- | --- | | 2025年10～12月累計売上金額前年比 | 8割台前半 | 7割程度 | 9割程度 | | 2025年12月時点取り扱い品目数（売上構成比％） | 107（83％） | 350（95％） | 944（98％） | 　アサヒグループHDは、サイバー攻撃のリスクについて「アサヒグループエンタープライズリスクマネジメント」で経営上の最重要リスクの一つと位置付け、対応計画を策定して実行、モニタリングをしている。　その一環として、グループ全体で順守すべき「サイバーセキュリティ基準」を制定して、運用の徹底を図るとともに同基準で国内や海外のグループ会社のサイバー攻撃対策状況を評価して、セキュリティ体制の維持と向上、リスクが顕在化しないよう、セキュリティの改善などに努めてきたと説明。同基準でインシデント発生時の報告ルールを明示し、グループ全体でインシデント情報を集約するとともに、リスク対応を強化するなどの体制整備に取り組んできたとしている。　今回のサイバー攻撃を踏まえ今後は、取り組みを強化し、継続的な監視と改善を前提とした体制へ移行し、万一の事態が発生した場合でも影響を最小限に抑える仕組みの強化を進めていくという。　主な対策として、ネットワーク機器をはじめとするサーバーやクライアント端末などのIT資産の管理徹底、エンドポイント脅威検知対応（EDR）を含めたセキュリティツールの最新化と高度化、全従業員への情報管理規程の周知徹底などに努め、ガバナンス体制の強化により、情報管理・セキュリティ管理を高度化していくという。　ガバナンス体制の強化では、情報セキュリティを管轄する独立した組織と専任の担当役員を設置する。情報セキュリティ委員会を設置して、情報セキュリティリスクを可視化するとともに、対応策の計画、実行が実施されているかをモニタリングする。　加えて「情報管理・情報セキュリティ規程」の改定と順守・徹底の監視と監査を強化する。「取締役会スキルマトリックス」を見直すとともに取締役会と情報セキュリティ委員会、内部監査機能、外部専門家などとの連携による、取締役会によるサイバーセキュリティの監視、監督機能を強化していく。 | 攻撃経路の特定と再発防止 | - ネットワーク機器からの再侵入を防ぐためのリモートアクセスVPN装置の全面廃止 - 不正アクセスされる可能性がある古い通信経路を排除するための通信経路の再構築 - 攻撃経路の特定で明らかとなった、外部侵入リスクを抱えるデバイスの全面廃止 - クライアント端末からのデータ窃取リスク低減に向けたクラウド保管への一本化とクラウド保管データ利用時のキャッシュ非残存対策の実施 | | --- | --- | | クライアント端末、ネットワーク、システム構成の再設計 | - 攻撃された場合の他のクライアント端末への拡大を防止するための、より安全な仕組みに対応した専用クライアント端末（ゼロトラストモデル対応）への完全移行 - 不要な通信を遮断し外部との接続を分離するための、安全なネットワークエリアの新設 - 攻撃の拡大を防止するための、全システムでのネットワークの分離・接続の制限 - クライアント端末での不審な動きを検知、遮断するためのEDRの設定強化 - インターネットに接続したクラウド環境でのEDRによる監視強化 - 安全性を客観的に確認するために、第三者によるインターネットからの侵入を試行する「ペネトレーションテスト」の実施 - 安全性を維持、向上するため、ペネトレーションテストとスレットハンティングを継続的に実施 | | 監視・検知・初動対応の高度化 | - セキュリティルールと運用体制の見直しによる、異常を検知した際の初動の迅速化 - サイバー攻撃や異常を素早く検知、対処し、被害を最小化するための、ログ分析システムやセキュリティの監視・遮断の自動化 | | 権限管理・アカウントセキュリティの強化 | - 全システムでのパスワード変更と認証・権限管理の強化 - 人的作業ミスや削除漏れを防ぐためのアカウント作成・変更・削除の自動化 | | インフラとクラウド環境のセキュリティ強化 | - ネットワークの接続制限の強化、攻撃の広がりを防止するインフラ構成への改善 - クラウドのセキュリティ状況の継続的チェック・問題是正の自動化 | | 復旧性・耐障害性の強化 | - システム復元の迅速化の実現に向けたバックアップの仕組みの強化 - 迅速な復旧に向けた、復旧手順の定期的な見直し・訓練の実施 - システムやデータの整理、統合によるシステム構成のスリム化 | | 人的対策の継続的強化 | - 従業員向けセキュリティ教育の強化・継続 - 最新の攻撃手法に備えた実践的なセキュリティ訓練の継続 |