アサヒグループホールディングスの侵害調査で190万人への影響が判明、Qilinランサムウェアが2025年の攻撃情勢を席巻

要点（BLUF）：日本の飲料大手アサヒグループホールディングスは、9月に発生した壊滅的なランサムウェア攻撃に関する2か月間の調査を完了し、生産を30工場で麻痺させたQilinランサムウェア攻撃により、約190万人分の個人情報が流出した可能性があることを確認した。この攻撃により、全国的な製品不足や受注処理の手作業化が発生したことは、ロシア、香港、制裁対象ネットワークにまたがる高度なバレットプルーフ・ホスティング基盤を背景に、Qilinが2025年で最も活発なランサムウェアグループとして台頭していることを浮き彫りにしている。今年だけで105件以上の攻撃が確認されている。

調査結果：被害封じ込めまでに2か月

2025年11月27日、アサヒグループホールディングスは、9月29日から業務を混乱させたランサムウェア攻撃に関する社内調査の最終結果を公表した。侵害の範囲は、当初懸念されていたよりも大幅に大きいことが判明した。

影響を受けた可能性のある個人：

アサヒのお客様相談室などに問い合わせを行った顧客 152万5,000人
現職および元従業員 10万7,000人
従業員の家族 16万8,000人
社外関係者（取引先および企業コミュニケーションの受信者）11万4,000人

潜在的な流出対象の合計：191万4,000人

注目すべき点として、従業員関連の情報が実際に侵害されたと確定しているケースは18件にとどまり、またクレジットカード情報には一切アクセスされていないとアサヒは強調している。流出した可能性があるデータは、氏名、住所、性別、電話番号、メールアドレスが中心だ。

攻撃のタイムライン：4時間遅かった封じ込め

アサヒのフォレンジック分析によると、この攻撃は2025年9月29日に極めて短時間で進行した。

日本時間午前7時： アサヒのデータセンターの一つでシステム障害が発生し、ネットワーク全体で暗号化されたファイルが発見される。

4時間以内： ネットワークの分離とデータセンターの切り離しを開始。

しかし既に手遅れ： 攻撃者は別拠点のアサヒ設備を侵害してネットワークに侵入済みであり、複数のサーバーと接続PCにランサムウェアを展開していた。

フォレンジック調査の結果、脅威アクターは別施設の侵害された機器を足掛かりにネットワークへ侵入し、その後ランサムウェアのペイロードを展開していたことが判明した。これは、現代のランサムウェア攻撃を壊滅的なものにしている高度なラテラルムーブメント（横移動）能力を示している。

業務の大混乱：デジタルから手作業へ

この攻撃により、アサヒは日本全国で危機対応モードを余儀なくされた。

30工場でデジタルワークフローの管理が一時的に不能
全国的な製品不足：小売店や飲食店でアサヒ製品の品切れが報告
受注処理の手作業化：供給維持のため、電話・FAX・手書き伝票による注文対応を実施
新製品12品目の発売がシステム障害により延期
通期決算発表を復旧対応に集中するため延期

10月初旬までに、6つのビール工場で手作業プロセスによる生産が段階的に再開され、同社は攻撃の封じ込め、システム復旧、ネットワーク基盤の再構築にほぼ2か月を費やした。

CEO「身代金交渉は一切行わず」と明言

攻撃後初めて公の場に姿を見せた勝木敦志社長は、11月27日の記者会見で明確な姿勢を示した。

「攻撃者とは一切連絡を取っていません。仮に身代金の要求があったとしても、支払うことはありません。」

勝木氏は、この攻撃について「想像を超えるもの」「高度で狡猾な攻撃」と表現し、同社としてはこのような事態を防ぐために「必要かつ十分な対策を講じていた」と認識していたと述べた。この発言は、2025年を通じて複数の日本企業がランサムウェアやデータ恐喝の被害に遭っているという日本のサイバーセキュリティ危機の深刻化に対する懸念の高まりとも重なる。

同氏は顧客や取引先に謝罪するとともに、業務システムの復旧に伴い製品出荷が徐々に再開していることを確認した。電子受発注システムは12月初旬から復旧を開始し、2026年2月までにほぼ通常運転に戻すことを目標としている。

Qilinによるデータ恐喝：27GBと1,000万ドルの値札

2025年10月7日、Qilinランサムウェアグループは、データリークサイト「WikiLeaksV2」にアサヒを掲載し、同社への攻撃を公式に主張した。同グループは、以下を含む27GBの機密データを窃取したと主張している。

財務資料および予算書
契約書および開発計画
従業員の個人情報および身分証関連情報
社内の企画・計画レポート

Qilinが公開したサンプルスクリーンショットにより、これらの主張には一定の裏付けがあると見られている。Qilinのオペレーターと非公開で接触したResecurityのHUNTER調査チームによると、脅威アクターは窃取したアサヒのデータを地下市場で1,000万米ドルで販売しようとしている。

調査終了時点で、アサヒは「盗まれたデータがオンライン上で公開されたという確証は得られていない」としているが、今後流出する可能性は残っている。

Qilinの台頭：2025年で最も多産なランサムウェア作戦

アサヒへの攻撃は、Qilinが2025年に展開した前例のないキャンペーンの一部に過ぎない。ロシア語圏のRansomware-as-a-Service（RaaS）オペレーションである同グループは、今年を代表する脅威アクターとして浮上している。

2025年の攻撃件数：

105件以上の攻撃が被害企業によって公表済み
473件の未確認主張（まだ検証されていないもの）
当社の2025年8月の脅威分析で詳述した通り、2025年第2四半期および第3四半期に連続して最も活動的なグループとして記録
2025年10月：15か国で50社以上の新たな被害企業を主張

比較として、Qilinが2024年に主張した被害企業は186社だった。2025年の最初の6か月だけで、他の主要ランサムウェアグループ数社を合わせたよりも多くの被害企業を主張している。

最近の著名な被害企業：

フォルクスワーゲン・グループ・フランス（2025年10月）
スペイン税務庁（Agencia Tributaria、2025年10月）
韓国の資産運用会社28社（2025年9月、「Korean Leaks」キャンペーン）
米国の複数の電力協同組合（San BernardおよびKarnesなど）
Globelink International（2025年9月、22GB流出）
Habib Bank AG Zurich（2025年11月、2.5TB流出）

バレットプルーフ・ホスティングという背骨

Resecurityが2025年10月に公表した最近の調査により、Qilinの世界的な活動を支える重要インフラが明らかになった。それは、法執行機関の介入を受けにくい法域をまたぎ、「ほとんど、あるいは全く監視を受けない」形で運営されるバレットプルーフ・ホスティング（BPH）プロバイダの高度なネットワークである。

「ゴーストネットワーク」：

Qilinのインフラは、ロシア、香港、キプロス、UAEの事業体にまたがり、ペーパーカンパニーや制裁対象ネットワークを介した複雑な企業構造で結びついている。

主要なBPHプロバイダ：

Cat Technologies Co. Limited（香港）
Chang Way Technologies（香港）
Starcrecium Limited（キプロス）
Hostway.ru / OOO「Information Technologies」（ロシア・サンクトペテルブルク）
Red Bytes LLC（ロシア）
BEARHOST Servers（別名 Underground, Voodoo Servers）

これらの事業体は、共通の取締役、共有IPアドレス、重複する所在地などを通じて相互に関連している。企業登記情報によれば、Lenar Davletshinが複数の法域にまたがる多数のホスティング関連企業の取締役を務めていることが判明している。

制裁対象インフラ：

米国財務省は2025年7月、サイバー犯罪者向けにバレットプルーフ・ホスティングサービスを提供し、特に以下を支援していたとしてAeza Groupを制裁対象に指定した。

BianLianなどのランサムウェアグループ
MeduzaやLummaなどのインフォスティーラー
BlackSprutのようなダークウェブのドラッグマーケット
親クレムリン系の情報操作（Doppelgängerキャンペーン）

Qilinの一部インフラはAeza関連ネットワークとの重複が確認されており、共通のバックエンド基盤を利用している可能性が示唆されている。制裁およびアビューズ報告を受け、BEARHOSTは2024年12月末に「プライベートモード」への移行を発表し、既存顧客からの紹介や審査を通過した新規顧客のみを受け入れる方針に転換した。これは、オランダ警察による数千台のサーバー押収を伴うOperation Endgameによるバレットプルーフ・ホスティング網の摘発でも見られたように、法執行機関からの露出を最小限に抑えようとする地下ベンダーに共通するパターンである。

RaaSビジネスモデル：アフィリエイトへの80〜85％コミッション

Qilinは、手厚い利益分配によって優秀なアフィリエイトを惹きつける高度なRansomware-as-a-Service（RaaS）プラットフォームを運営している。

プラットフォームの特徴：

攻撃設定用のユーザーフレンドリーなWebパネル
被害企業管理および身代金交渉ツール
盗んだ情報を公開するためのTor上のデータリークサイト（DLS）
RustおよびGolangで記述されたランサムウェア亜種によるクロスプラットフォーム対応

利益分配：

アフィリエイト：身代金支払いの80〜85％
オペレーター：15〜20％のコミッション

この寛大な分配率により、実際の攻撃を実行する経験豊富なサイバー犯罪者が集まり、Qilin側はインフラ、マルウェア、サポートを提供する構図となっている。

Microsoftの脅威インテリジェンスは2025年2月、懸念すべき動向を明らかにした。北朝鮮の国家支援型脅威アクターであるMoonstone Sleetが、特定の組織に対してQilinランサムウェアを展開していることが観測されたのだ。

これは、金銭目的のサイバー犯罪と国家支援型作戦の危険な融合を意味し、国家アクターがRaaSプラットフォームを収益源として利用しつつ、関与の否認可能性を維持している可能性を示している。

2025年のランサムウェア同盟：DragonForce、Qilin、LockBit

2020年のMazeランサムウェア「カルテル」を想起させる動きとして、Qilinは他の2つの悪名高いグループと連合を形成している。

DragonForce
LockBit

この同盟により、リソース共有、インフラ協力、協調攻撃が可能になっている。この連合は2025年に顕在化し、DragonForceもまた80％超のアフィリエイトコミッションを提供していることが、世界的なサイバー犯罪摘発とランサムウェアグループの進化に関する当社の分析で確認されている。

この協力モデルは、被害データの暗号化と窃取を組み合わせて圧力を最大化する「二重恐喝」戦術を普及させたMaze同盟の歴史的な前例をなぞるものだ。

アサヒの復旧と強化されたセキュリティ対策

2か月にわたる封じ込めと復旧作業を経て、アサヒは包括的なセキュリティ強化策を実施した。

技術的対策：

ネットワーク通信制御とセグメンテーションの強化
脅威モニタリングおよび検知システムの高度化
エアギャップを伴う新たなバックアップアーキテクチャの導入
製造システム全体におけるエンドポイント保護の強化

組織的対策：

従業員向けサイバーセキュリティ研修プログラムの一層の厳格化
定期的なインシデント対応訓練およびテーブルトップ演習
外部サイバーセキュリティ監査の標準化
ガバナンスおよび監督プロセスの強化

同社は2025年11月26日、最終的な調査報告書を個人情報保護委員会に提出した。

業界専門家の警鐘：検知の「猶予時間」は縮小

ISACAのChief Global Strategy OfficerであるChris Dimitriadis氏は、加速する脅威情勢について次のように強調する。

「攻撃を検知して阻止するまでの時間的猶予は縮まっています。ランサムウェア攻撃はますます高速かつ高度になっており、AIが犯罪手口のスピードと精度を高めています。」

Dimitriadis氏は、組織がサイバーセキュリティの予防とトレーニングを中核的な経営課題として位置づけ、頻繁なインシデント対応演習と、デジタルリスクを共有する文化を醸成する必要性を訴えた。

ビジネス開発コンサルティング企業Intralinkの日本事業ディレクターであるRenata Naurzalieva氏は、文化的な課題を指摘する。

「日本はサイバーセキュリティに関して、常に少し楽観的すぎるところがあります。多くの日本企業はサイバーセキュリティ投資を検討する際、いまだに投資対効果（ROI）を正当化しようとします。しかし、本来求めるべきはROIではなく、『自社の資産を守れるか、ネットワークやデータを守れるか』という観点なのです。」

2025年6月に公表された調査では、日本企業の3分の1が何らかのサイバー攻撃を経験していることが判明しており、同地域が直面する脅威情勢の深刻さを浮き彫りにしている。

日本のサイバーセキュリティ危機：エスカレートする攻撃のパターン

アサヒの侵害は、2025年を通じて日本企業を標的とするサイバー攻撃が急増している中で発生した。10月だけでも、重要なサプライチェーンを混乱させ、数百万人分の情報を露出させる複数の深刻なインシデントが発生している。

アスクル株式会社へのランサムウェア攻撃（2025年10月）：小売大手アスクルはRansomHouseの被害に遭い、攻撃者は1.1テラバイトのデータ窃取を主張した。この侵害により、3つの主要ECプラットフォーム（アスクル、LOHACO、ソロエルアリーナ）が停止し、無印良品やロフトの物流にも連鎖的な混乱が生じた。

日本経済新聞社（Nikkei Inc.）のSlack侵害（2025年9月）：日本の大手メディア企業でありFinancial Timesの親会社でもある日経は、高度なインフォスティーラー攻撃を受け、個人端末がマルウェアに感染した状態で企業のSlackワークスペースにアクセスされた結果、従業員および取引先計17,368アカウントが侵害された。

TEIN Auto Parts：本社ネットワークを麻痺させるランサムウェア攻撃を受け、関連会社を含む事業活動が停止。

佐川急便：日本有数の運送会社である同社は、不正ログイン被害を報告しており、その原因は漏えいした認証情報にあるとされている。

こうした攻撃の集中は、日本企業が組織犯罪グループにとって優先的な標的となりつつあることを示唆している。その背景には、レガシーなサイバーセキュリティ基盤の脆弱性、最新のセキュリティ対策導入の遅れ、日本の製造業およびテクノロジー企業が持つ高い価値などがあると見られる。

製造業全体への広範な攻撃

アサヒへの攻撃は、Qilinによる製造業オペレーションへの組織的な標的化の一環であり、この傾向は当社の2025年の主要サイバー攻撃に関する包括的分析でも確認されている。2025年、同グループは以下を主張している。

製造業に対する14件の確認済み攻撃
製造業全体で138件のランサムウェア攻撃（全グループ合計）

製造業が魅力的な標的となる理由：

中断に対する許容度が低いジャストインタイム生産モデル
複雑なサプライチェーン依存
しばしば旧式のOT（制御系）システムが稼働していること
生産停止に伴う高額なコスト

この攻撃は、Trinity of Chaosによるジャガー・ランドローバー（JLR）へのランサムウェア攻撃と顕著な類似点を持つ。

世界中の主要工場（英国、スロバキア、ブラジル、インド）で生産が停止
車両組立ラインが完全に停止
1日あたり7,200万ポンド（約9,700万ドル）に迫る損失が発生したと推計

アサヒも、早期の復旧が実現しなければ国内営業利益が83％減少する可能性があったとされる。

技術分析：高度なラテラルムーブメント

アサヒは初期侵入経路の詳細を公表していないものの、この攻撃には複数の高度な手法が確認されている。

想定される初期侵入手段（業界動向に基づく）：

悪意ある添付ファイルやリンクを含むフィッシングメール
公開アプリケーションの脆弱性悪用
認証情報窃取による正規アカウントの侵害
サードパーティのアクセスを通じたサプライチェーン侵害

攻撃の進行：

別拠点にあるアサヒ設備の初期侵害
ネットワークを横断して主要データセンターへラテラルムーブメント
複数のサーバーおよびエンドポイントへのランサムウェア展開
暗号化前に27GBのデータを外部へ流出
暗号化および身代金メモの生成

この攻撃は、Qilinのアフィリエイトが以下の能力を有していることを示している。

複数拠点にわたる持続的なアクセスの確立
検知されることなくネットワーク内を横移動
大量のデータを外部へ流出
最大のインパクトを狙った複数拠点同時暗号化の調整

二重恐喝のプレイブック

Qilinによるアサヒ攻撃は、同グループが標準的に用いる二重恐喝の手法に沿って実行された。

フェーズ1：ネットワーク侵入

侵害された認証情報や脆弱性を通じて初期アクセスを獲得
永続化を確立し、偵察ツールを展開
ネットワーク構成を把握し、高価値ターゲットを特定

フェーズ2：データ流出

機密データを特定し、圧縮
攻撃者が管理するインフラへ外部送信
恐喝に利用するため、データの完全性と価値を確認

フェーズ3：ランサムウェア展開

可能な限り多くのシステムにランサムウェアを展開
重要な業務データおよびオペレーションデータを暗号化
連絡先情報を記載した身代金メモを配置

フェーズ4：恐喝

被害企業をデータリークサイトに掲載し、圧力をかける
身代金未払いの場合は公開すると脅迫
アクセスを証明するため、サンプルデータを段階的に公開
データ公開量を増やしながら圧力をエスカレート

この手法により、被害企業は業務停止だけでなく、規制上の制裁、風評被害、流出データに起因する法的責任など、複合的なリスクに直面することになる。

世界的影響：2025年のランサムウェア統計

アサヒへの攻撃は、ランサムウェア活動が世界的にエスカレートしている文脈の中で発生している。

2025年年初来：

4,441社以上がランサムウェア被害企業として公表
支払い率は約51％と推計され、約2,268件で身代金が支払われた可能性
1件あたりの身代金支払い中央値は100万ドル
Qilinの要求額：1件あたり20万〜400万ドルのレンジ

四半期トレンド（2025年第3四半期）：

1,429件の恐喝インシデント（第2四半期比で5％増）
当社の2025年サイバーセキュリティ情勢に関する包括的ブリーフィングで示した通り、記録的だった2025年第1四半期（1,961件）からは約3分の1減少

一部の専門家は、ランサムウェアによる被害コストが2031年までに2,650億ドルを超える可能性があると予測している。

組織向け推奨事項

アサヒ事案および広範な脅威情勢を踏まえ、セキュリティ専門家は以下を推奨している。

即時に取り組むべき対策：

ネットワークセグメンテーション：重要な生産システムをITネットワークから分離
多要素認証（MFA）：すべてのリモートアクセス経路にMFAを導入
バックアップ検証：復旧手順を定期的にテストし、エアギャップ付きバックアップを維持
脆弱性管理：公開アプリケーションのパッチ適用を優先
サードパーティリスク：ネットワークアクセス権を持つすべてのベンダーのセキュリティ態勢を評価

戦略的投資：

脅威検知：振る舞い分析機能を備えたEDR/XDRソリューションを導入
インシデント対応：IR計画とランブックを整備し、定期的にテスト
セキュリティ教育：定期的なフィッシング訓練と意識向上トレーニングを実施
サイバー保険：ランサムウェアおよび事業中断をカバーする保険内容を見直し
外部監査：年1回以上の第三者によるセキュリティ評価を実施

文化的変革：

経営層のコミットメント：サイバーセキュリティをIT課題ではなく経営リスクとして扱う
対応演習：経営陣を含めたテーブルトップ演習を実施
情報共有：業界ISACや脅威インテリジェンス共有の枠組みに参加
身代金不払い方針：身代金を支払わない明確なポリシーを策定
規制順守：各法域の要件を満たす侵害通知プロセスを整備

結論：重要インフラへの警鐘

アサヒグループホールディングスへのランサムウェア攻撃は、現代のランサムウェア脅威を理解する上での重要な転換点となっている。約190万人への影響の可能性、業務復旧までに要した2か月、全国的な製品不足、そして数百億円規模に達する可能性のある損失など、このインシデントは高度なランサムウェア作戦がもたらし得る壊滅的な影響を示している。

制裁対象のロシア系ネットワークや香港のペーパーカンパニーにまたがるバレットプルーフ・ホスティング基盤を背景に、Qilinが2025年の支配的なランサムウェアグループとして台頭したことは、現行の防御策の不十分さと、国際的な法執行が直面する課題を浮き彫りにしている。

製造業や重要インフラを含むあらゆる組織にとって、メッセージは明確だ。攻撃を検知・対応するまでの時間は短くなり続けており、敵対者の高度化は進み、サイバーセキュリティ対策の不備がもたらすコストはかつてないほど高まっている。

アサヒが2026年2月までの完全復旧を目指す中、このインシデントは現代の脅威情勢において、「攻撃されるかどうか」ではなく「いつ攻撃されるか」、そして「そのとき適切に対応できる準備があるかどうか」が問われているという厳しい現実を突きつけている。

関連記事：

情報源： アサヒグループホールディングス公式発表、Comparitech、Resecurity HUNTER、Bloomberg、AFP、Infosecurity Magazine、CyberInsider、Cybernews、TechRepublic、ISACA、Microsoft Threat Intelligence、米国財務省、Ransomware.live

公開日：2025年11月28日 最終更新日：2025年11月28日 著者：Security Research Team カテゴリ：ランサムウェア、データ侵害、製造業 タグ：Qilin、アサヒグループホールディングス、RaaS、バレットプルーフ・ホスティング、日本のサイバーセキュリティ、二重恐喝、製造業セキュリティ

翻訳元: https://breached.company/asahi-group-holdings-breach-investigation-reveals-1-9-million-affected-as-qilin-ransomware-dominates-2025-attack-landscape/