アサヒ グループホールディングス、サイバー攻撃で11万超の個人情報漏洩-再発防止策を発表

セキュリティニュース

投稿日時: 更新日時:

アサヒ グループホールディングス、サイバー攻撃の再発防止策を発表

アサヒグループホールディングスは2026年2月18日、2025年9月29日に発生したサイバー攻撃によるシステム障害について、発生経緯や原因、個人情報への影響範囲、復旧状況、再発防止策およびガバナンス体制の強化策を取りまとめ、公表しました。

侵入の原因-障害発生の約10日前か 管理者権限を奪取

同社によれば、2025年9月29日午前7時ごろにシステム障害が発生し、調査の過程で暗号化されたファイルを確認しました。同日午前11時ごろには被害最小化のためネットワークを遮断し、データセンターの隔離措置を実施しています。

その後の調査で、具体的な侵入日時の特定には至らないものの、障害発生の約10日前に、外部攻撃者がグループ拠点のVPN(ネットワーク機器)を経由してアサヒグループのネットワークへ侵入したことが判明したと説明しました。

※VPNのメーカー名は非公表。

主要データセンターに入り込み、パスワードの脆弱性を突いて管理者権限を奪取した後、奪取したアカウントを不正利用して内部を探索し、主に業務時間外に複数サーバーへの侵入と偵察を繰り返した可能性があるとしています。

ランサムウェア「Qilin」名乗る犯行声明:攻撃を主張

ランサムウェアグループ「Qilin(キリン/キーリン)」が2025年10月7日、ダークウェブ上のリークサイトでアサヒグループHDへのサイバー攻撃と不正アクセスを主張しています。

Qilinは約27GBのデータ窃取を主張し、サンプルとして「マイナンバーのコピー」「監査報告書のサンプル」「赴任に関する申請書類」「英語版損益計算書の一部」などが挙げられています(ただし、サンプルの範囲は限定的で、顧客の個人情報は確認されていないとの整理です)。

関連:アサヒグループホールディングスへのサイバー攻撃、ランサムウェア グループ Qilinが不正アクセスを主張

サーバーと一部PC端末が暗号化、ゼロトラスト移行前端末の一部情報が窃取

被害としては、ネットワークに接続する範囲で稼働していた複数サーバーや、一部の従業員端末のデータが暗号化されたとしています。

特に、ゼロトラストモデルへの移行前の従業員用PC端末の一部情報が窃取されたことを確認したと明記しました。

封じ込め対応として、リモートアクセスVPN、約300拠点の拠点間ネットワーク、クラウド間接続の専用回線をすべて遮断し、横展開を防ぐ緊急措置としてインターネット回線も遮断してデータセンターを完全隔離しましたがこの影響でデータセンターの全システム停止や、バックアップ健全性保持のためのバックアップシステム一時停止も行ったとしています。

また外部専門機関によるフォレンジック調査を実施し、侵害有無や影響範囲を精査したうえで、健全性が確認されたバックアップデータから復旧を進め、追加のセキュリティ対策を反映しながら段階的に再開しているとしました。

物流系システムは手作業対応を継続、受注再開は2025年12月から段階的に

事業影響については、受注・出荷に関するシステムが停止し、手作業による対応を余儀なくされたと説明しました。物流関連の受注・出荷業務は、アサヒビールとアサヒ飲料が2025年12月3日から、アサヒグループ食品が同12月2日からEOS(電子受発注)による受注を再開。

配送リードタイムも2026年2月までに通常化し、物流業務全体は正常化したとしています。出荷可能な品目数は順次拡大予定としました。

個人情報、最大で「漏洩のおそれ」約190万件規模 確認済みは従業員5,117件など

個人情報への影響について、同社は2025年9月30日に個人情報保護委員会へ速報を提出し、その後も疑い情報のインターネット上での確認などに応じて続報・確報・追加報告を行ったとしています。

漏えいのおそれがある個人情報(2025年11月26日時点)

  • お客様相談室への問い合わせ者:氏名、性別、住所、電話番号、メールアドレス 152.5万件

  • 慶弔対応の社外関係者:氏名、住所、電話番号 11.4万件

  • 従業員(退職者含む):氏名、生年月日、性別、住所、電話番号、メールアドレス等 10.7万件

  • 従業員家族:氏名、生年月日、性別 16.8万件

漏えいが確認された個人情報(2026年2月18日時点)、

  • 業員(退職者含む):氏名、性別、住所、電話番号、メールアドレス等 5,117件

  • 取引先の役員・従業員、取引先個人事業主およびその従業員等:氏名、電話番号等 110,396件

を挙げ、対象者には順次通知しているとしました。

再発防止の柱は「経路排除」「ゼロトラスト完全移行」「監視自動化」「権限管理強化」 ガバナンスも刷新

再発防止策では、IT資産管理の徹底、EDRを含むセキュリティツールの最新化・高度化、全従業員への規程周知徹底に加え、ガバナンス面の強化を進めるとしています。主な内容は次の通りです。

  • 攻撃経路対策:リモートアクセスVPN装置の全面廃止、古い通信経路の排除、外部侵入リスクを抱えるデバイスの全面廃止

  • 端末・ネットワーク再設計:ゼロトラスト対応端末への完全移行、安全なネットワークエリア新設、全システムでのネットワーク分離・接続制限、EDR設定強化、クラウド環境の監視強化

  • 検知・初動の高度化:ログ分析や監視・遮断の自動化、運用体制見直しによる初動迅速化

  • 権限・認証の強化:全システムのパスワード変更、認証・権限管理強化、アカウント作成・変更・削除の自動化

  • 復旧性の強化:バックアップ仕組み強化、復旧手順の定期見直し・訓練、システム構成のスリム化

  • 人的対策:従業員教育の強化・継続、実践的訓練の継続

  • ガバナンス強化:情報セキュリティを管轄する独立組織と専任担当役員の設置、情報セキュリティ委員会の設置、規程改定と監査強化、取締役会スキルマトリックス見直し、取締役会による監視・監督機能の強化

同社は、サイバー攻撃リスクを「アサヒグループエンタープライズリスクマネジメント」における最重要リスクの一つと位置付け、継続的監視と改善を前提とした体制へ移行し、万一の事態でも影響を最小限に抑える仕組みを強化するとしています。