アサヒ、生産停止
全ては2025年9月29日に始まった。アサヒグループホールディングス(AGH)が社内システムに異常を検知し、即座にシステムを遮断したのである 1。翌30日には「サイバー攻撃」による受注・出荷停止を公式発表。10月3日には攻撃が「ランサムウェア」によるもので、「情報漏えいの可能性を示す痕跡」が確認されたと公表した。
決定的な事実は10月14日に明らかになる。AGHは、流出した疑いのある情報がインターネット上で確認されたと発表。後にランサムウェアグループ「Qilin」が犯行声明を出し、約27GBのデータを窃取したと主張した。
システムのシャットダウンは壊滅的な結果を招いた。国内グループ各社の受注、出荷、コールセンター業務が完全に停止。物流や生産指示システムが機能不全に陥り、国内約30の工場がほぼ全面的な生産停止に追い込まれた。アサヒは電話やファックスで注文を受け、紙で物流を管理するという「手作業」への回帰を余儀なくされ、処理能力は著しく低下した。
10月2日に主要6工場で「スーパードライ」など一部製品の生産が再開されたものの、それは非効率な手作業に支えられたものだった。他の主要ブランドの出荷が一部再開されたのは10月15日以降であった。
業務の混乱は財務にも直撃した。10月14日、AGHは11月12日に予定していた2025年第3四半期決算の発表延期を発表。経理関連データへのアクセスが不可能になったためである。業界データによれば、同様のインシデントにおける平均被害額は約2.2億円、事業停止による損失は週あたり数十億円規模に達する可能性もある。
市場への衝撃波
攻撃の影響は競合他社にまで波及した。アサヒ製品が店頭から消え、サントリーやサッポロへの需要が、特に年末のお歳暮商戦で急増したのである。この需要ショックは彼ら自身のサプライチェーンを直撃。サントリーとサッポロは、通常商品の安定供給を優先するため、自社のギフト商品10数種類の販売休止を余儀なくされた。キリンも需給状況を注視する事態となった。これは、一社へのサイバー攻撃が市場全体の安定性を破壊しうる「三次的影響」の現実を示している。
アスクル、「明日」が来ない日
アサヒへの攻撃から約3週間後の2025年10月19日、今度はEコマースの巨人アスクルがランサムウェア攻撃を受けた。影響は即時かつ全面的だった。B2Bサービス「ASKUL」、大企業向け「ソロエルアリーナ」、B2Cサイト「LOHACO」の3つのコアプラットフォーム全ての受注・出荷を停止した。
決定的な違いは、アサヒが手作業で対応しようとしたのに対し、アスクルはすでに受け付けた注文さえもキャンセルすると発表した点である。これは物流と注文管理システムに対する制御を完全に失ったことを意味した。「明日来る」というブランドの核となる約束は崩壊し、復旧の目途は立っていないと明言された。2024年のKADOKAWAへの攻撃が24億円の特別損失をもたらした前例は、アスクルが直面する被害規模の大きさを示唆している。
| 項目 | アサヒグループHD | アスクル |
|---|---|---|
| 攻撃検知日 | 9月29日 | 10月19日 |
| 初回公表 | 9月30日(1日後) | 10月19日(同日) |
| ランサムウェア確認 | 10月3日(4日後) | 10月19日(同日) |
| 主要な業務影響 | 生産・出荷停止、手作業へ移行 | 全ECプラットフォーム停止、受注キャンセル |
| 情報漏洩リスク公表 | 10月3日(4日後) | 10月19日(同日) |
| 財務影響の発表 | 第3四半期決算延期を10月14日に発表(15日後) | 初期段階ではなし(株価への影響は即時) |
無印良品、ドミノ倒し
アスクルが攻撃を受けた同日の10月19日夜、良品計画は無印良品のネットストアを停止すると発表した。原因は自社への攻撃ではなく、「物流障害」であった。無印良品はECサイトの配送業務の一部をアスクルに委託しており、アスクルの機能不全が、無印良品のオンライン注文を物理的に処理不可能にしたのである。この発表を受け、良品計画の株価は下落した。自社のセキュリティがいかに強固でも、パートナー企業を通じて攻撃の影響を受ける「サプライチェーン攻撃」の典型例である。
この事件には明確な先例がある。2022年2月、トヨタ自動車の主要部品サプライヤーである小島プレス工業がランサムウェア攻撃を受けた。部品供給システムが停止したため、トヨタは国内全14工場の稼働停止を余儀なくされ、約13,000台の生産機会を失った。単一の重要なサプライヤーの機能不全が、巨大なパートナー企業のオペレーションを完全に停止させる。この構造的脆弱性は、製造業から小売業へと形を変えて再び露呈した。
| 項目 | アサヒグループHD | アスクル | 良品計画(無印良品) |
|---|---|---|---|
| 攻撃の性質 | 直接的ランサムウェア攻撃 | 直接的ランサムウェア攻撃 | 間接的/サプライチェーンへの影響 |
| 攻撃を受けたシステム | 社内生産・物流システム | EC・物流プラットフォーム | なし(パートナーのシステムが停止) |
| 中核事業への影響 | 製造・出荷の停止 | 全ての商取引の完全停止 | ECサイトの閉鎖 |
| 主な結果 | 売上損失、市場の不安定化、決算延期 | 収益損失、ブランドイメージの毀損、顧客へのシステミックリスク | オンライン売上の損失、顧客への不便、依存リスクの露呈 |
攻撃者の正体
これらの攻撃は「二重恐喝」と呼ばれる現代的な手口で行われる。攻撃者はファイルを暗号化する前に機密データを窃取し、身代金を支払わなければデータを公開すると脅迫する。アサヒへの攻撃で犯行声明を出した「Qilin」は、ロシア語圏を拠点とするとみられるサイバー犯罪集団で、この手口を駆使する。彼らのマルウェアはGoやRustといった現代的な言語で開発され、検知が困難である。主な侵入経路はフィッシングメールや、VPN機器などネットワークの脆弱性を突くものである。
日本の弱点
これらの攻撃は氷山の一角だ。警察庁によれば、ランサムウェアの被害報告件数は過去最悪の水準で推移し、2025年上半期だけで116件に達した。復旧には半数近くが1ヶ月以上を要し、半数が1,000万円以上の費用を負担している。特に憂慮すべきは、中小企業への攻撃が37%増と急増している点である。小島プレスの事例が示すように、大企業のサプライチェーンを構成するのはこれらの中小企業であり、最も防御の弱い環が狙われている。
未来への提言
一連の事件は、伝統的な「境界型防御」がもはや時代遅れであることを証明した。今後は、攻撃者がすでに内部にいることを前提とする「ゼロトラスト」の原則が不可欠となる。多要素認証(MFA)の徹底、ネットワークのセグメント化、オフラインでのバックアップ保管が急務である。
同時に、サプライヤーのセキュリティ体制を管理する「サプライチェーン防衛」が必須となる。契約によるセキュリティ要件の明記や、定期的な監査が求められる。そして、フィッシングが依然として主要な侵入経路である以上、従業員への継続的な訓練が最後の防衛線となる。
アサヒとアスクルへの攻撃は、サイバーセキュリティがもはやIT部門の問題ではなく、事業継続そのものに関わる経営課題であることを示した。パートナーの脆弱性は自社の脆弱性である。この現実から目を背けることは、破滅への招待状に他ならない。
小売業経営者のためのランサムウェア対策・BCPチェックリスト
| カテゴリ | チェック項目 |
|---|---|
| 技術的防御 | □ 全てのリモートアクセス(VPN等)で多要素認証(MFA)が有効化されているか? |
| □ 重要なデータのバックアップは毎日/毎時実施されているか? | |
| □ バックアップはオフラインで保管され、定期的に復旧テストが行われているか? | |
| □ ネットワークはセグメント化され、一区画での攻撃が重要業務(POS、物流等)に波及しないか? | |
| サプライチェーン管理 | □ 重要サプライヤーとの契約に、サイバーセキュリティ要件が含まれているか? |
| □ 過去12ヶ月以内に、上位10社の重要サプライヤーのセキュリティ監査を実施したか? | |
| □ 重要デジタルパートナー(アスクル等)が機能不全に陥った場合の代替計画はあるか? | |
| 人材とプロセス | □ 全従業員は、四半期ごとにフィッシングシミュレーション訓練を受けているか? |
| □ 事業継続計画(BCP)は、データ漏洩を含む大規模ランサムウェア攻撃を想定しているか? | |
| □ 過去1年以内に、経営陣を交えたインシデント対応演習を実施したか? |
