ビール大手のアサヒは、2025年9月に発生した大規模なサイバー攻撃により、約200万人の個人情報が流出した可能性があると発表しました。
11月27日に公開された新たなアドバイザリーで、アサヒは9月と10月に一時的な業務停止を引き起こしたサイバー攻撃の調査初期結果を共有しました。
調査の結果、約191万4千人分の個人情報(うち152万5千人が顧客)が流出、または流出した可能性があることが判明しました。残りの被害者には、アサヒグループホールディングスの現・元従業員、その家族、および「同社から祝電・弔電を受け取った外部関係者」が含まれます。
流出した可能性がある情報は以下の通りです:
- 氏名
- 性別
- 生年月日
- 住所
- メールアドレス
- 電話番号
アサヒは、クレジットカード情報は流出していないことを確認しました。
今後も業務への影響が予想される
アサヒは、侵害の根本原因分析や整合性チェックを含む2か月間の調査、ランサムウェアの封じ込め、システムの復旧、今後の再発防止に向けたセキュリティ強化を行ったと述べました。
アサヒグループホールディングスの社長兼グループCEOの勝木敦志氏は、業務の混乱によって生じたご迷惑について公に謝罪しました。
「グループ全体で再発防止策の実施と情報セキュリティの強化を図りつつ、できるだけ早期のシステム完全復旧に全力を尽くしています。製品供給については、システム復旧の進捗に応じて順次出荷を再開しています」と付け加えました。
Immersiveのサイバー部門シニアマネージャー、ケビン・マリオット氏は、顧客データの窃取は「アサヒチームが直面しているプレッシャーをさらに高めており、業務が2月まで完全復旧しない可能性もある」と強調しました。
アサヒの2025年収益への影響も懸念
アサヒグループホールディングスは、アサヒブランドのビール、イタリアのペローニ、チェコのピルスナーウルケル、ハンガリーのドレーアなど複数ブランドを所有する巨大ビール企業です。
同グループは2024年の世界売上高を2兆9394億円(1880億ドル)と公表しており、2023年比で2.1%増加しています。
今回の事件が2025年度のアサヒの業績に与える影響については現在精査中です。
ManageEngineの英国・アイルランド責任者シャンカール・ハリダス氏は、アサヒがすでに2024年のレポートで、このような攻撃が事業を中断させる可能性があることを認識し、セキュリティ体制を見直していたことに言及しました。
「これは、企業がかつてないほどデジタル防御に投資しているにもかかわらず、攻撃者がサプライチェーンの弱点や信頼されたパートナー経由で侵入し、依然として先を行っているという現実を反映しています」と同氏は付け加えました。
Qilinランサムウェアグループがサイバー攻撃を主張
アサヒは9月下旬、「システム障害」により日本国内の業務を一時停止しました。混乱は受注・出荷、コールセンター、カスタマーサービス窓口などに及びました。
その後、ビール大手はこの事件がランサムウェア攻撃によるものであり、サーバーから「不正なデータ転送」が発生したことを確認しました。
10月に入っても業務の混乱は続き、同社はまた、10月発売予定だった新商品の発売延期も発表しました。
10月7日、消費者向けウェブサイトComparitechが明らかにしたところによると、Qilinランサムウェアグループがアサヒをデータリークサイトに掲載し、同社から27GBのファイルを盗んだと主張しています。
Qilinは、二重脅迫型攻撃で知られており、被害者からの支払いがなかった場合にデータを公開します。
「したがって、顧客は今後の状況の変化に注意し、今後数か月間、身に覚えのない連絡には十分警戒してください」とImmersiveのマリオット氏は警告しました。
Avanadeのグローバルセキュリティプラクティステクノロジーリード、ジェイソン・レヴィル氏は、アサヒのサイバー攻撃は「OT(運用技術)/IT(情報技術)カバレッジネットワークにおけるリスクの高まりを浮き彫りにしており、規模や業種を問わず、すべての組織にゼロトラスト原則が不可欠である理由を示しています」と述べました。
「侵害は、ある拠点のネットワーク機器から始まり、OT環境に影響を与え、ITシステムに拡大して顧客データが流出した可能性があります」と同氏は説明しました。
写真クレジット: Tom Eversley / Hendrick Wu / Shutterstock
翻訳元: https://www.infosecurity-magazine.com/news/asahi-15-million-customers/
