2025年9月下旬、アサヒグループホールディングスがランサムウェアによる大規模なサイバー攻撃を受け、受注や出荷システムが停止しました。犯行を名乗ったのはロシア系とみられるハッカーグループ「Qilin(キリン)」。現在も全面復旧のめどは立っておらず、飲料だけでなく、粉ミルクやサプリメントなど多岐にわたる事業に影響が出ています。
この記事では、攻撃の経緯、Qilinという組織の特徴、ランサムウェア(二重脅迫型)の手口、VPN経由の侵入リスク、過去の類似被害(KADOKAWAなど)、復旧が長引く理由、企業・個人が取るべき対策をわかりやすく解説します。
アサヒグループHDへのサイバー攻撃の経緯
● 発生日:2024年9月29日頃
● 原因:ランサムウェアによるシステム侵入
● 被害内容:受注・出荷システムの停止、生産ラインの混乱、値上げ延期
● 対応:国内すべての出荷・受注業務を一時停止後、手作業で一部再開
ウイスキーなどの10月の値上げを延期するなど、サプライチェーン全体に影響が及びました。食品・飲料だけでなく、育児用品(粉ミルク・ベビーフードなど)にも遅延が生じています。
さらに、Qilin側は「9300件以上の内部文書・データを盗んだ」と主張し、監査資料や従業員情報の一部とされる画像を公開。アサヒ側は情報の内容・範囲を調査中ですが、身代金の要求額などはまだ明らかになっていません。
犯行グループ「Qilin(キリン)」とは?
Qilinは2022年頃から活動しているランサムウェア集団で別名「Agenda」、拠点はロシア圏とみられています。2025年だけで世界600件近い被害を出しており、医療機関・製造業・大学・自治体など標的は多岐にわたります。
特徴は以下の3点です:
- 二重脅迫型ランサムウェアを使用
- データの暗号化+持ち出しを併用
- 支払い拒否企業のデータをダークウェブや専用サイトで公開
世界中の企業、特に製造業や医療機関などを標的とし、日本国内でも被害が確認されています。アサヒへの攻撃翌日以降も、「新たな標的を攻撃した」という声明をほぼ毎日のように発信しており、活発な動きを見せています。
飲料メーカーの「キリンホールディングス」や「キリンビール」との間に、組織的な関係は一切ありません。
ランサムウェアとは?従来型と二重脅迫型の違い
ランサムウェアは、侵入したコンピュータ内のファイルを暗号化し、「解除するなら金を払え」と脅迫するマルウェアです。近年は従来型よりも悪質化した「二重脅迫型」が主流となっています。
従来型
- データを暗号化
- 復元のための“復号キー”を販売する形で身代金要求
二重脅迫型(Qilinが採用)
- データを暗号化
- さらに盗み出し、公開をチラつかせて脅迫
- 暗号化を解除できても、流出リスクが残る
企業側が身代金を払っても、データが完全に復旧する保証はなく、流出済みの情報が拡散する可能性もあります。
過去の被害事例:角川・Pマーク企業・自治体など
ランサムウェアによる大規模被害は増え続けており、日本国内でも複数の重大事例があります。
KADOKAWA(2024年6月)
- 子会社KADOKAWA Connected経由で侵入
- ニコニコ動画や自社サーバーが停止
- システム復旧まで約1か月、完全復旧に3か月以上
- 個人情報流出の可能性あり
大阪急性期・総合医療センター(2022年)
- 電子カルテ停止
- 診療制限・救急患者受け入れ停止
その他事例
- ベネッセ系企業
- 学校法人・大学
- 複数の自治体・医療機関
共通するのは、「バックアップの不備」「外部接続セキュリティの脆弱性」「VPN経由の侵入」などです。
VPNからの侵入リスクとは?「VPNなら安全」は過去の話
VPN(仮想プライベートネットワーク)は、本来「外部からの安全な接続」を目的とした仕組みですが、以下の理由から侵入経路として悪用されるケースが増えています。
- 脆弱なVPN機器を狙われる
VPN機器やソフトのセキュリティパッチを怠ると、そこが突破口に。 - パスワード流出・使い回し
従業員のID/パスワードが漏れると、VPN経由で内部ネットワークに侵入される可能性が高まります。 - 多要素認証(MFA)の未導入
ID+パスワードのみのVPNは特に狙われやすい状況です。 - ゼロトラスト未対応
「一度VPNで入れれば社内資産に自由アクセスできる」構造だと、侵入後の被害が拡大します。
企業ではリモートワーク拡大によりVPN利用が増えた結果、脆弱性を突かれやすくなっているという指摘も多数あります。
なぜ復旧が長引く?「金を払えば解決」は誤解
Qilinのような二重脅迫型の場合、復旧が数か月に及ぶ理由はいくつかあります。
- システム全再構築が必要
暗号化されたサーバーやネットワーク全体の再構築・検証に時間がかかります。 - 流出データの確認・法的対応
個人情報保護法や取引企業への説明も含めて調査・報告が発生。 - 身代金を払っても解除されない例が多い
支払ってもデータが戻らない・要求がエスカレートする・データ拡散が止まらないなどの問題があります。 - バックアップが破壊されているケース
攻撃者はバックアップサーバーを先に破壊することもあります。
KADOKAWAもアサヒも復旧めどが数か月単位になる可能性が指摘されています。
今後の見通し
アサヒグループHDのケースを含め、最近のランサムウェア被害は「数週間〜数ヶ月の長期化」が標準化しています。
以下の観点から、完全復旧には時間がかかる可能性が高いです。
1〜2週間での復旧は困難
- 感染源の切り分けが最優先
- VPN経由の侵入経路再評価
- 社内外システムの連携見直し
1〜3ヶ月で段階的復旧が現実的
- 一部サーバー・部門単位から再稼働
- 代替システムや手作業対応
- 海外拠点やサプライチェーンへの影響調整
完全復旧は「再発防止+刷新」型が主流に
阪急阪神HD・角川・自治体・病院などの事例では、最長6ヶ月以上かかった例もあり、
「もとの状態に戻す」より「新体制で再構築する」方向へ進む企業が増えています。
今後の企業・個人が取るべき対策
個人も企業も、まず「怪しいと思ったらクリックしない」を徹底。企業は多要素認証(MFA)を導入し、従業員は最新の手口を学ぶ訓練(模擬メール訓練など)を継続的に受けてください。技術と意識の両面で防御を固めることが不可欠です。
【企業】
- VPNのアクセス制限・ゼロトラスト導入
- 多要素認証(MFA)の義務化
- 定期的なパッチ適用と脆弱性管理
- オフラインバックアップの確保
- 権限分離・ネットワーク分割
- サイバー保険・インシデント対応体制の整備
【個人】
- 見慣れないSMS・メール・添付の開封禁止
- フリーWi-Fi使用時のVPN活用は最新アプリで
- スマホやPCのOSアップデートを怠らない
- クラウド・外付けへのバックアップ習慣
- 不審なポップアップや警告画面に注意
スマートフォンも標的になりつつあり、写真・連絡先・銀行アプリなどが盗まれる事例も増えています。
サイバー保険ではカバーしきれない現実
サイバー攻撃には保険があるものの、現実には十分ではないケースがほとんどです。
補償対象外になりやすい例
- 身代金(暗号資産)そのもの
- 社内対応人件費
- 再構築のためのIT投資
- 顧客・取引先への補償
- 信用失墜による売上損失
- サプライチェーン停止の影響
- 海外拠点との調整費用
そもそも契約していない企業も多い
- 保険料が高額
- 審査・条件が厳しい
- 従業員50人以下は対象外なども
- 「VPNがあるから大丈夫」という過信から未加入
結果として「保険で解決」は幻想に近く、自費負担+長期対応が現実です。
まとめ:誰もが被害者になり得る時代へ
アサヒグループHDを攻撃したQilinは、世界中で急速に活動を拡大する危険な組織です。ランサムウェアは「感染さえすれば誰でも被害者」になる脅威であり、大企業でも防ぎきれないケースが増加しています。
VPNなど従来の防御策だけでは不十分となりつつあり、ゼロトラストやバックアップ体制、権限管理、教育など総合的な対策が不可欠です。
「自分は関係ない」と考える時代は終わりました。
企業も個人も、“侵入される前提”で備えることが、今もっとも重要です。
