アサヒグループのサイバー攻撃

10月8日のアサヒグループHDの第3報は、ランサムウェア攻撃によるシステム障害の継続と、インターネット上で同社由来と疑われる情報の確認、さらに国内システムへの影響・工場再開の状況を公式に伝えた。製造・出荷の一部再開にこぎつけたとはいえ、国内の生産・サプライに実害が及んだ事実は重い。

攻撃者はRaaS再編、そして連合化

では、なぜ今“怖さ”が増しているのか。攻撃者の側で構造変化が起きているからだ。10月上旬、複数の脅威研究者がLockBit・Qilin・DragonForceの“連合（cartel／coalition）”表明を相次いで観測し、原文スクショを添えて公開した。研究者のX投稿には、協調・休戦・情報共有を示す原文や訳が掲載されている。
これは、リークサイトやTelegram上の一次投稿をソースにした準一次情報で、手口・資源・インフラの共有をうかがわせる内容だ。連合は攻撃速度の加速／多言語展開／交渉圧力の増大に直結し得る。これは「一強」ではなく、ゆるく結節した複数勢力が“市場”を押し広げる局面に入ったことを意味する。

今から始める「個人」と「企業」の防御策

個人ができる4つの基本対策

1. パスワードの強化と使い回しの禁止: 推測されにくい複雑なパスワードを設定し、サービスごとに違うものを使用しましょう。パスワード管理ツールの利用も有効です。
2. 多要素認証（MFA）の設定: IDとパスワードだけでなく、スマートフォンアプリなど複数の要素で本人確認を行う設定です。不正ログイン対策に絶大な効果があります。
3. 不審なメールやSMSを開かない: 「お荷物のお届け」「緊急の確認」といった件名のメールに記載されたリンクや添付ファイルは、安易に開かないようにしましょう。
4. OSやソフトウェアのアップデート: 利用しているPCやスマートフォンのOS、アプリは常に最新の状態に保ち、脆弱性を放置しないことが重要です。

企業が取るべき5つのセキュリティ対策

1. 従業員へのセキュリティ教育：不審なメールへの対処法など、全従業員のセキュリティ意識を高める定期的な教育が不可欠です。
2. 脆弱性管理と迅速なアップデート：社内で使用しているシステムやソフトウェアの脆弱性を常に把握し、修正プログラムが公開されたら速やかに適用する体制を構築します。
3. バックアップの取得と復旧テスト：データが暗号化されても事業を継続できるよう、重要なデータのバックアップを定期的に取得し、実際に復旧できるかテストしておくことが重要です。
4. EDR/XDRの導入：従来のウイルス対策ソフト（EPP）に加え、侵入後の不審な挙動を検知・対応するEDR（Endpoint Detection and Response）や、より広範囲を監視するXDRの導入を検討しましょう。
5. インシデント対応計画の策定：万が一、サイバー攻撃を受けた場合に誰が何をするのか、連絡体制や初動対応などを定めた計画を事前に準備しておくことが被害を最小限に抑える鍵となります。

企業が今すぐ着手できる更なる実務アクション

1. 外向き資産の“閉じ方”を決める

• • MFT／ファイル転送・共有系は外部公開を最小化。既知重大脆弱性（例：GoAnywhere系など）の適用状況と露出を棚卸し。WAFやZTNA越しに限定し、特権アカウントの使い回し禁止。関連ログの暗号化前挙動（大量圧縮・外転送・権限昇格）をEDRで監視。
  • ERP／ID基盤（SSO/IdP）は管理画面のインターネット直晒しを禁止。MFA強制とIP制限、認証器のフィッシング耐性（FIDO2）を優先。
  • SaaS連携はAPIキー／OAuthトークンの棚卸しとローテーション。委託先・連携先の**セキュリティ条項に“リーク時の通知義務”**を明記。

2. “二次被害”の止め方を準備する（運用）

• • 脅迫を受けても“支払わない”判断を支える体制（法務・広報・CS・個人情報保護）。通知文テンプレ、FAQ、パスワード・キーの一斉リセット計画を事前に整備。
  • リークサイト／SNS監視を“広報KPI”にも組み込む（技術KPIだけにしない）。被害主張の真偽確認→監督官庁・関係先連絡のプレイブック化。
  • バックアップの分離／復旧訓練を四半期で回す。暗号化よりも窃取→恐喝→二次詐欺の流れが多い前提で、訓練シナリオを更新。

3. “経営の時間軸”で備える（ガバナンス）

• • CIO／CISOとサプライチェーン責任者の合同レビューを月例化（SaaS権限・キー・共有リンクの棚卸し含む）。
  • 取締役会向けKPIは“ツール導入数”ではなく、露出資産の削減率／復旧RTO／通知初動SLAなど“結果指標”に転換。
  • 地域要因の読み替え：日本語圏でも海外RaaSの多言語化は進む。国内だけを想定した備えは通用しない。

まとめ

“見えにくいIT資産”が最大の弱点だ。攻撃者は、露出したMFTやERP、脆弱な認証ゲート、権限管理の穴、そして取引先SaaSの連携トークンを足がかりにする。ここを閉じないかぎり、ビジネス継続は運任せになる。では、何を“今日から”変えるべきか。

---

参考・出典

本記事は、以下の資料を基に作成しました。

• アサヒグループホールディングス（https://www.asahigroup-holdings.com/）：サイバー攻撃によるシステム障害発生について（第3報） (2025年10月08日)（アクセス日：2025年10月10日）
  https://www.asahigroup-holdings.com/newsroom/detail/20251008-0101.html
• NHKニュース（Xアカウント）：【サイバー攻撃で犯行声明】 (2025年10月08日)（アクセス日：2025年10月07日）
  https://x.com/nhk_news/status/1975768861267141114
• club1337（Xアカウント）：DragonForce proposed creating a “coalition, cartel” with LockBit and Qilin, suggesting in advance “clear, understandable agreements for everyone.” (2025年09月06日)（アクセス日：2025年10月10日）
  https://x.com/club31337/status/1964018417159336185?utm_source=chatgpt.com
• vx-underground（Xアカウント）：Lockbit ransomware group, Dragonforce ransomware group, and Qilin ransomware group, have established a truce and are all best friends now (2025年09月06日)（アクセス日：2025年10月10日）
  https://x.com/vxunderground/status/1967553858558971912?utm_source=chatgpt.com

---

AI利用について

本記事はAIツールの支援を受けて作成されております。 内容は人間によって確認および編集しておりますが、詳細につきましてはこちらをご確認ください。