アサヒ グループホールディングス、2025年12月期決算を発表-純利益37%減、サイバー攻撃の影響は370億円弱

セキュリティニュース

投稿日時: 更新日時:

アサヒ グループホールディングス、2025年12月期決算を発表-純利益37%減、サイバー攻撃の影響は370億円弱

アサヒグループホールディングスは2026年7月8日、当初予定から約5カ月遅れとなる2025年12月期の連結決算を発表しました。純利益は前期比37%減の1,215億円、2025年9月に発生したランサムウェアによるサイバー攻撃が営業利益ベースで400億円弱の減益要因になったことが明らかになっています。当サイトでは攻撃発生直後のシステム障害の発生から、約191.4万件の個人情報漏洩の可能性最終調査結果と再発防止策の公表業績下方修正まで約10カ月にわたりこの事案を継続して報じてきました。本稿では、攻撃発生から今回の決算確定までの全経緯と、実際に公表された財務インパクトの詳細を整理します。

サマリー

  • アサヒグループホールディングスは2026年7月8日、サイバー攻撃の影響で延期していた2025年12月期(2025年1〜12月)の連結決算を発表した
  • 純利益は前期比37%減の1,215億円、売上収益は前期比1.5%減(為替一定で1.4%減)の2兆8,946億円、事業利益は前期比8%減の2,629億円、営業利益は前期比31%減の1,858億円だった
  • サイバー攻撃の影響は営業利益ベースで400億円弱の減益要因となり、内訳は商品供給の一時停止による事業利益ベースでの影響が約200億円、システム障害関連費用(棚卸資産の廃棄・評価損、システム復旧の人件費、広告キャンセル費用等)が約170億円とされている
  • 発端は2025年9月29日、ランサムウェアグループQilinによるものとみられる攻撃で、データセンターと接続する複数サーバー・PC端末が暗号化され、受注・出荷・コールセンター業務が全面停止した
  • 出荷停止の影響は競合他社にも波及し、キリンビールはお歳暮ギフト全商品を休売、サントリー・サッポロも一部商品の販売を休止したほか、プロ野球優勝時のビールかけ実施にも支障が出るなど、業界・社会全体に及ぶ異例の事態となった
  • その後、2025年11月27日には約191.4万件の個人情報漏洩の可能性が公表され、2026年2月18日の最終調査結果では約11万5,000件の漏洩が確認された
  • 全品出荷の再開は2026年4月7日、決算発表は当初予定の2月ごろから約5カ月遅れの2026年7月8日となり、あわせて9月9日に臨時株主総会を開催する
  • 2026年12月期の業績予想は増収増益を見込んでおり、決算発表を受けて同社株価は一時前日比6%高の1,709円50銭まで上昇した
  • NIST CSF準拠のセキュリティ診断やEDR監視を実施していたにもかかわらず侵入を許した今回の事案は、生成AIによって攻撃側の技術的なハードルが下がり続けている潮流を踏まえ、侵入防止一辺倒ではなくレジリエンス強化への転換が必要であることを示す事例でもある
項目 内容
決算発表日 2026年7月8日(当初予定の2月ごろから約5カ月遅延)
サイバー攻撃発生日 2025年9月29日
攻撃者 ランサムウェアグループQilin(ダークウェブ上で犯行を主張)
純利益 1,215億円(前期比37%減)
売上収益 2兆8,946億円(前期比1.5%減)
事業利益 2,629億円(前期比8%減)
営業利益 1,858億円(前期比31%減)
サイバー攻撃による営業減益影響 400億円弱
うちシステム障害関連費用 約170億円
うち商品供給停止の影響(事業利益ベース) 約200億円
個人情報漏洩(2026年2月18日確認時点) 約11万5,000件(従業員・取引先等)
全商品出荷再開 2026年4月7日
臨時株主総会 2026年9月9日(東京都内)
2026年12月期業績予想 売上収益+11.2%、事業利益+10.6%の増収増益見込み

2025年12月期決算の内容-サイバー攻撃が業績に与えた実際の影響

2026年7月8日に発表された2025年12月期の連結決算(国際会計基準)は、純利益が前期比37%減の1,215億円となりました。売上収益にあたる売上高は前期比1.5%減(為替一定ベースで1.4%減)の2兆8,946億円、本業のもうけを示す事業利益は前期比8%減の2,629億円、営業利益は前期比31%減の1,858億円と、いずれも減収減益となっています。

同社の説明によれば、サイバー攻撃の影響は営業利益ベースで370億円弱の減益要因になりました。

この内訳として、システム障害により国内の商品供給が一時滞ったことによる事業利益ベースでの影響が約200億円、システム障害関連費用が約170億円とされています。システム障害関連費用には、出荷できなかった商品の棚卸資産の廃棄や評価損、システム復旧のための人件費、中止となった広告のキャンセル費用などが含まれています。

世界的なブランドの販売数量は、主力の「アサヒスーパードライ」が前年比15%増、「Peroni Nastro Azzurro」が同6%増と、母国市場を除く海外では堅調に推移しており、プレミアム化の進展により売上単価も前年から2.9%上昇しています。決算発表を受けて同社株価は買われ、一時前日比6%高の1,709円50銭と2月27日以来の高値を付け、終値も3%高の1,660円50銭となりました。

何が起きたか-2025年9月29日の攻撃発生から決算確定まで

事案の発端は2025年9月29日、アサヒグループホールディングスの国内システムに障害が発生したことでした。当サイトで既報の通り、攻撃者はグループ内拠点のネットワーク機器を足掛かりにデータセンターネットワークへ侵入し、同日午前7時ごろ、データセンターと接続する範囲の複数サーバーおよび一部PC端末上でランサムウェアを一斉実行、データを暗号化しました。この影響で国内グループ各社の受注・出荷業務、コールセンター業務が全面停止し、北海道工場をはじめとする国内工場の生産にも波及、10月1日に予定していたビールの新製品発表会も中止に追い込まれています。同年10月7日には、ランサムウェアグループQilin(キリン)がダークウェブ上のリークサイトでこの攻撃への関与を主張し、約27GBのデータ窃取を主張しました。

被害は生産・出荷の停止にとどまらず、プロ野球のペナントレース優勝時に恒例のビールかけが実施困難になるなど、日本社会にも広く影響が及ぶ異例の展開となりました。同社は手作業による受注・出荷への切り替えで対応を進め、2025年10月の販売概況は前年比9割程度、11月にはビールが7割台後半まで回復したことが暫定的に公表されています。個人情報については、2025年11月27日に最大で約191.4万件の漏洩の可能性が公表され、その後の詳細調査を経て、2026年2月18日の最終調査結果公表時点で従業員・取引先等約11万5,000件の漏洩が確認されました。同社は同日、攻撃の発生経緯・原因・再発防止策・ガバナンス体制の強化策を取りまとめて公表し、勝木敦志社長は今後セキュリティー水準を継続的に見直し、より実効性のある社員教育や外部監査を定期的に実施すると説明しています。

物流の正常化は2026年2月12日に発表され、全品出荷の再開は同年4月7日にずれ込みました。攻撃発生から全品出荷再開までは約6カ月、そして決算発表までは約9カ月半という長期にわたる影響が続いたことになります。この間、同社は2025年12月期第3四半期決算の発表延期(2025年10月14日公表)、通期決算発表の延期(同年11月27日公表、期末後50日超の見込み)、そして2026年5月22日には決算発表日を7月8日とする具体的な日程を公表するという、段階的な情報開示を重ねてきました。

サイバー攻撃による出荷停止がもたらした社会的な影響

今回の事案でとりわけ特徴的だったのが、出荷停止の影響が同社単体にとどまらず、業界全体、さらには日本社会にまで波及した点です。

2025年10月1日には、ビールの新製品発表会にとどまらずアサヒ飲料・アサヒグループ食品の新商品発売も延期に追い込まれました。国内6工場は同年10月2日に製造そのものは再開したものの、受注・出荷システムの停止は続いたため、手作業による受注・順次出荷という非効率な対応を長期間にわたって続けざるを得ない状況でした。

出荷停止の影響は競合他社にも及んでいます。

キリンビールはお歳暮ギフト全商品を休売とし、サントリーやサッポロも一部商品の販売を休止しました。

これは、アサヒ製品の品薄を受けて他社商品への注文が想定を超えて集中したためとみられ、1社のサイバー攻撃が業界全体の需給バランスを崩す形で波及した事例だといえます。さらに、プロ野球のペナントレース優勝時に恒例となっているビールかけについても、祝勝用のビールを十分に手当てできず実施が困難になるなど、消費者の目に触れる形での影響も生じました。

出荷状況の回復には長い時間を要しています。2025年10月の販売概況は前年比9割程度にとどまり、11月にはビールが7割台後半まで回復したことが暫定的に公表されましたが、完全復旧は当初2026年2月ごろと見込まれていました。実際には物流の正常化が2月12日、全品出荷の再開はさらに遅れて4月7日となっており、当初の想定以上に時間を要したことが分かります。

AIによるサイバー攻撃の高度化・簡易化とレジリエンス強化の必要性

アサヒグループホールディングスは、NIST CSFに準拠したセキュリティ診断やホワイトハッカーによるペネトレーションテスト、EDRによる監視体制を、攻撃発生前から整えていました。

それでも「認識を超える高度で巧妙な攻撃」によってEDRの検知をすり抜けられたと説明されている通り、一定水準以上の対策を講じていた大企業であっても、侵入を完全に防ぎきることはできませんでした。

こうした事態を今後より深刻化させかねない要因として意識しておくべきなのが、生成AIの発展によって攻撃側の技術的なハードルが下がり続けているという潮流です。

当サイトでも以前、Langflowの脆弱性を起点にエージェント型AIが自律的にランサムウェア攻撃の全工程を実行した事例JADEPUFFERや、AIコーディングエージェントに共通する構造的な欠陥をAI駆動型のツールが発見したGuardFallを取り上げましたが、いずれも攻撃・防御の両面でAIが実務レベルの役割を果たし始めていることを示す事例です。

アサヒへの攻撃で犯行を主張したQilinのようなランサムウェアグループの多くは、あらかじめ用意されたツールキットを提携者に貸し出すRaaS(Ransomware as a Service)という形態で運用されており、これ自体がすでに攻撃実行の敷居を下げる仕組みでした。ここへAIによる支援がさらに組み合わさることで、これまで高度な技術者でなければ実行できなかった水準の攻撃が、より幅広い攻撃者の手に届くようになりつつあります。

この潮流を踏まえると、侵入そのものを完全に防ぐという発想だけに頼った対策には限界があると考えるべきです。

具体的には、侵入検知後の早期封じ込め、バックアップからの迅速な復旧、そして受注・出荷・決算といった基幹業務が停止した場合の代替オペレーション体制の整備までを一体として設計しておくことが、被害の規模と復旧期間の両方を左右する重要な要素になります。

2026年の業績見通しと今後の経営課題

アサヒグループホールディングスは2026年12月期の業績予想として、売上収益が11.2%(為替一定で5.4%)の増収、事業利益が10.6%(為替一定で3.2%)の増益を見込んでいます。同社は2025年について、日本におけるシステム障害の影響を受けた一方で、グループ全体ではプレミアム戦略や収益構造改革が着実に進展したと総括しており、2026年は日本・東アジアにおける業績回復を確実に進めるとともに、欧州・アジアパシフィックでの成長投資を継続する方針を示しています。あわせて、2026年下半期にはDiageo社の東アフリカ事業の取得完了を予定しているとしており、事業ポートフォリオの拡大にも動いています。

もっとも、今回の決算発表と同時に2026年9月9日の臨時株主総会の開催も発表されており、サイバー攻撃を受けた経緯についての事業報告や計算書類の報告が行われる見込みです。約9兆円規模のグループ売上を持つ大企業において、サイバー攻撃がここまで長期にわたり経営全体の情報開示スケジュールに影響を与え続けたことは、国内企業のサイバーセキュリティを巡る議論において重要な参照事例になったといえます。

出典