アスクル・アサヒビールで相次ぐ大規模サイバー攻撃｜原因・影響・企業が取るべき対策まとめ

１．はじめに

2025年9月2日早朝に発生した、我が国を代表する飲料・食品製造業であるアサヒグループホールディングスに対するサイバー攻撃によって引き起こされた大規模なシステム障害は、約194万件の個人情報の流出と決算発表の遅延につながりました。また、本稿執筆時点でも完全な復旧はなされておらず、年末年始の商戦に大きな影響が及んでいます。また、約半月後となる10月19日には、業務用品の通信販売サイトを運営するアスクルでも同様にサイバー攻撃による大規模なシステム障害が発生して受注・出荷業務が停止させられました。

眼を海外に転じると、英国のジャガー・ランドローバー社が8月末にサイバー攻撃によってグローバルITインフラが停止に追い込まれ、生産が全面停止しました。

このように、2025年になって、サイバー攻撃による大規模被害が国内外で相次いで発生しています。そこで、今号では、これらの大規模被害に注目し、そのサイバー攻撃そのものと被害規模および影響を紹介するとともに、大規模被害の要因を探り、有効な対策を推奨したいと思います。

２．大規模被害の概要

最初に、これらの大規模被害の概要を見ていきます。具体的には、タイムライン、攻撃者、侵入経路、被害内容・規模について、公開情報の範囲で概要をまとめていきます。

アサヒグループホールディングス

アサヒグループホールディングス（以下「アサヒグループ」）に対するサイバー攻撃被害は、2025年9月28日～29日に発覚し、2ヶ月を経過した本稿執筆の時点でも完全復旧には至っていません。

以下は、2025年11月27日に公表された調査報告（以下「調査報告」）に基づくものですが、攻撃そのもの及び被害の実態については、ほぼ全貌が明らかになったと言って良いと思われます。

タイムライン：アサヒグループホールディングス

攻撃者

この度の攻撃には、ロシアを拠点とするRaaS（Ransomware-as-a-Service）オペレーターであるQilinが本件に関与したとされています。2025年において最も活発かつ危険な脅威アクターの一つとして認識されています。

侵入経路

調査報告では、攻撃者が「グループ内拠点にあるネットワーク機器を経由してデータセンターのネットワークに侵入した」と結論付けています。ネットワーク機器経由の侵入は、2020年代に入ってから急速に増加しており、語弊を恐れずに書くと「流行りの手法で侵入された」ことになります。

なお、調査報告には具体的な機器の名称や種類は記載されていませんが、VPN装置（SSL-VPN）やファイアウォール、ロードバランサーといった「境界防御デバイス」が侵入経路になったと思われます。そして、侵入手段は、以下のいずれか、あるいは複合的な手法がとられたと考えられます。

01 既知の脆弱性の悪用
Fortinet、Ivanti（旧PulseSecure）、Citrixなどの主要ネットワーク機器には、過去数年間で深刻なRCE（リモートコード実行）脆弱性が多数発見されている。パッチ適用が遅れた機器、あるいはEOL（サポート終了）機器が残存していた場合、攻撃者は認証なしで内部ネットワークへのアクセス権を獲得できる。

02 認証情報の悪用
フィッシングやダークウェブ上で売買される認証情報を使用し、正規のVPNユーザーになりすましてログインする手法である。多要素認証（MFA）が未導入あるいはMFA疲労攻撃（MFA Bombing）によって突破された場合、正規のトンネルを通じて堂々と侵入を許すことになる。

被害内容・規模

被害は、大きく分けて、広範囲な暗号化とそれに伴う受発注と出荷業務の全面停止、個人情報漏洩、そして、暗号化による決算発表の遅延です。

POINT
つまり、システムやデータを暗号化されただけでなく、多数の個人情報が漏洩したことで被害が拡大しています。

なお、漏洩した個人情報は、下記の約194万人です。

• 顧客個人情報（キャンペーン応募者情報など）：約152万件
• 取引先関係者：約11万件
• 従業員・退職者・家族：約27万件

アスクル

アスクルに対するサイバー攻撃被害は、本稿執筆時点でも完全復旧には至っておらず、以下は、2025年11月28日現在の情報に基づくものです。今後、更なる被害が明らかになる可能性も有りますので注視が必要です。

タイムライン

攻撃者

サイバー犯罪集団「RansomHouse」が犯行声明を出しています。彼らは2021年末に出現した比較的新しい脅威アクターであり、暗号化は行わず、データの窃盗のみを行って、それを公開すると脅す手法を好む点が特徴として挙げられています。

侵入経路

VPN機器やリモートデスクトップ（RDP）の脆弱性、あるいはフィッシングによって入手した正規の認証情報を悪用しての侵入と思われます。2025年にはWatchGuardやCiscoのVPN製品に深刻な脆弱性が多数報告されており、多要素認証（MFA）が未適用の管理者アカウントが突破口となった可能性が高いです。

被害内容・規模

社内データ1.1TBが窃盗され、公開する旨の脅迫を受けています。また、グループ会社ASKUL LOGISTが、無印良品、ロフト等のWeb販売の物流も一手に担っていたため、これら複数のブランドのWeb販売も停止しました。

ジャガー・ランドローバー

ジャガー・ランドローバー（以下「JRB」）へのサイバー攻撃被害は、2025年10月8日の生産再開を以って一応の収束を見ています。ただ、生産停止がもたらしたサプライヤーや物流事業者への被害は広い範囲に及んでおり、今後もしばらくは影響があるものと思われます。また、サイバー保険に加入していなかったことも影響を長引かせる要因になり得ます。

タイムライン

攻撃者

「ScatteredSpider」、「Lapsus$」、「ShinyHunters」といった著名なハッカー集団の名称を組み合わせた「Scattered Lapsus$ Hunters」と名乗るグループが攻撃者であるとされています。実際、過去に、これらの３つの集団が行った下記の手法を組み合わせた能力を有していると見られています。

METHOD 01 ScatteredSpiderの手法
従業員からMFAトークンやパスワードを聞き出すソーシャルエンジニアリング。

METHOD 02 Lapsus$の手法
内部ネットワークへの侵入後、ソースコードや機密データを大胆に窃取し、Telegramなどで公開・誇示。

METHOD 03 ShinyHuntersの手法
クラウドストレージやリポジトリの認証情報を狙い、大量の顧客データを販売。

JRB：詳細分析

侵入経路
サプライヤー経由、あるいは従業員の資格情報の窃盗を通じてJiraなどの内部ツールへアクセスし、そこから生産システムへ侵入した可能性が指摘されています。

被害内容・規模
生産再開までには数週間を要し、その間の損失は1億9,600万ポンドに及んだとされますが、それ以上に大きな被害は、英国経済に与えた損失です。Cyber Monitoring Centre（CMC）の報告によれば、この攻撃による英国経済への総損失額は推定16～21億ポンド（約3,200～4,100億円）に達するとされています。これは、生産停止の影響がサプライヤー網全体に波及して、部品メーカーや物流企業の収益機会を奪ったことを示しています。

JRB直接損失：£1.96億
英国経済総損失（最大）：£21億

３．大規模被害の要因

次に、これらの大規模被害の要因を見ていきます。実は、これら3件の大規模被害には被害が大きくなった共通の要因が存在します。それが下記の4点です。

国際的集団による攻撃

この度の大規模被害を引き起こしたサイバー攻撃は、いずれも、国際的に活動するサイバー攻撃集団によって行われました。これらの集団は、いずれも、主要セキュリティベンダーにその存在を知られており、継続的な監視対象になっていたところです。つまり、プロの仕事として行われたものでした。

ネットワーク・システムの結合

これら3社の公式報告では、いずれも、ネットワークが統合されていました。特に、アサヒグループとJRBにおいては、ITとOTの環境が接続されていたことが被害を大きくしたとされています。アスクルについても、単一の物流システムへの集中依存が被害を拡大したと発表されています。

これらの統合や集中依存は、近年、推進されてきたDX（Digital eXchange）の結果として成立した面も有り、後述の「マニュアル回帰不能性」と合わせてDXのリスクが顕在化したとも言えます。このことは、2021年に発生したニップンへのサイバー攻撃被害において、グループ全体のシステムやデータを破壊されながらも、OT環境がIT環境と切り離されていたために生産と出荷が継続できて売り上げの落ち込みを抑えることができた事例からも裏付けられていると言えます。

大規模被害の要因（続き）

マニュアル回帰不能性

これら3社においては、デジタルシステムによる業務の自動化・最適化が進められており、それ故に、デジタルシステムが停止した場合の手作業での対応が追い付かない現象が発生しました。

また、Just-In-Timeやそれに基づく在庫極小化は、デジタルシステム停止時のバッファを消滅させ、3社の顧客への供給停止を早い段階から引き起こす結果になりました。

BCPの不徹底

サイバー攻撃の被害は、既にBCPに織り込まれていることが一般的になりましたが、今回の3社の事例を見ていくと、事象の深刻度合いや影響範囲・レベルなどの見積もりが適切であったとは言い難い状況であったことが伺えます。

例を挙げると、アサヒグループにおいては、オンラインバックアップが暗号化される事態までは想定していないかった様子が伺えますし、また、アスクルにおいても、他社の物流への影響についてはしっかりとした想定が行われていなかった様子が伺えます。そして、JRBにおいても、生産停止がサプライヤーに与える影響の大きさをどの程度想定していたかには疑問符が付く状況です。特に、JRBについては、サイバー保険に加入していなかったなど、サイバー攻撃被害を重視していた度合いに疑問符が付きます。

また、決算報告が企業の法的な存続要件であることを踏まえるとBCPの一環として対応すべきものですが、アサヒグループにおいて決算報告の遅延が発生したことを踏まえると、これらも盛り込まれていなかった様子が伺えます。

推奨対策

前記の要因を踏まえると、下記の3点が有効な対策と言えそうです。攻撃者が「プロ」であることを自覚し、攻撃を受けること、および、一定の被害が発生することを前提に対策を立てていく形が推奨されます。

ネットワーク・アプリケーションのセグメント化（細分化）

ネットワークやアプリケーションを機能別・重用度別にセグメント化して、被害の拡大を防ぎます。そして、OTとITは安易な直結を避けることが望ましいです。

理想論としては、ユーザーやデバイスからの接続に当たって常に信頼性を検証するゼロトラストネット・アーキテクチャの導入が推奨されます。

緊急用システムの検討

今回の被害を踏まえると、「システムが止まったら紙で業務を行う」という従来の対応は現実的ではなくなってきていることが伺えます。従って、システムが停止した場合でも、最低限の受発注や出荷指示を行える「緊急用サブシステム（SaaS版の簡易ERPなど）」や「コールドスタンバイ環境」の準備を検討することが推奨されます。

BCPの改善　推奨対策

決算報告をはじめとする財務・会計を重視する、および、サプライチェーンリスクをち密に想定する、形にBCPを改善することが推奨されます。具体的には、オフラインでバックアップされた財務・会計データを使って決算報告を行う、重要部材については一定の在庫を確保したり調達先を分散化する、また、同業他社との相互援助協定を結ぶことで取引先への製品・サービス提供を継続する、などの改善が推奨されます。

財務・会計データの保護

オフラインでバックアップされた財務・会計データを使って決算報告を行う体制を整備。

サプライチェーンリスク対策

重要部材については一定の在庫を確保したり調達先を分散化する。

相互援助協定

同業他社との相互援助協定を結ぶことで取引先への製品・サービス提供を継続する。

７．おわりに

今号では、2025年後半に相次いだサイバー攻撃の大規模被害に注目し、それらの要因を掘り下げ、要因を踏まえた対策を推奨しました。

なお、今回被害を受けた企業はいずれも大企業ですが、推奨した対策は企業規模や業種に関わらず有効です。むしろ、中堅以下の規模の企業にも実施を強く推奨するものでもあります。そして、既にお気づきの読者もいらっしゃると思いますが、この度の一連の被害は、経産省が進めている「サプライチェーン強化に向けたセキュリティ対策評価制度」（サイバーセキュリティによる企業格付け）が防止・軽減しようとしている事態であり、また、被害を防止するための推奨対策は要求事項を満たすことに寄与する内容になっています。従って、★３・４を目指す際にも有効です。

最後までお読みいただき、ありがとうございました。

参考記事・文献

• アサヒグループホールディングス「サイバー攻撃による情報漏えいに関する調査結果と今後の対応について」
  https://www.asahigroup-holdings.com/newsroom/detail/20251127-0104.html
• アスクル「一部報道について（ランサムウェア攻撃によるシステム障害関連・第4報）」
  https://prtimes.jp/main/html/rd/p/000000483.000021550.html
• アスクル「サービスの復旧状況について（ランサムウェア攻撃によるシステム障害関連・第11報）」
  https://prtimes.jp/main/html/rd/p/000000495.000021550.html
• Jaguar Land Rover Automotive PLC「Statement on Cyber Incident」
  https://media.jaguarlandrover.com/news/2025/10/jlr-restarts-manufacturing-and-introduces-new-financing-solution-pay-jlr-suppliers
• トレンドマイクロ「ジャガー・ランドローバーのサイバーインシデントが示す戦略的教訓」
  https://www.trendmicro.com/ja_jp/jp-security/25/k/expertview-20251106-01.html
• Cyber Monitoring Centre「Cyber Monitoring Centre Statement on the Jaguar Land Rover Cyber Incident – October 2025」
  https://cybermonitoringcentre.com/2025/10/22/cyber-monitoring-centre-statement-on-the-jaguar-land-rovercyber-incident-october-2025/
• Cyfirma「Investigation Report on Jaguar Land Rover Cyberattack」
  https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/