ランサム攻撃、なぜ長期化？アサヒ、アスクルの復旧を阻む“見えない破壊”とは

●この記事のポイント
・アスクルとアサヒが相次いでランサム攻撃を受け、アスクルは一部復旧したもののアサヒは再開の見通しが立たず、影響はビール各社のお歳暮ギフト停止にも拡大した。
・復旧が長期化するのは、基幹システムやバックアップが同時に破壊される高度化した攻撃手口による可能性が高く、企業間連携の強い業界ほど影響が連鎖しやすい。
・ランサムウェアは暗号化と恐喝を組み合わせた二重脅迫型が主流で、企業は侵入前提で「復旧速度」を高める対策が不可欠となり、サプライチェーン全体の防御が求められる。

　ここ数カ月のあいだに、日本の大企業が相次いでランサムウェア攻撃を受けた。その象徴的な例が、通販大手アスクルとアサヒグループホールディングス（アサヒGHD）だ。

　アスクルはサイバー攻撃の影響で基幹システムが停止し、受注や出荷に大きな支障が出た。ようやく、12月上旬から事業者向け（BtoB）の受注を再開すると発表したものの、一般向けサービスは全面復旧に至っておらず、まだ制限が残る。

　一方のアサヒGHDは、グループの情報システムがランサムウェアと見られる攻撃を受け、生産・物流・受注に関わるシステムの広い範囲で障害が発生したと報じられている。
現時点でも「全面再開の見込みが立たない」状況が続き、影響は社外にも大きく波及している。

　特にわかりやすいのが、ビール各社のお歳暮ギフトだ。アサヒのシステム障害の影響を受け、サッポロ、キリン、サントリーといった競合他社にまで波及し、一部のビールギフトについて百貨店や通販サイトでの新規受注を停止・見合わせるケースが相次いだ。
「アサヒのトラブルなのに、なぜ他社のギフトまで買えなくなるのか？」という利用者の戸惑いの声も出ている。

　一連の混乱は、いまのサプライチェーンが、複数企業が同じ物流・情報システムに依存していること、またその“共有インフラ”が一度止まると、業界全体に domino（ドミノ）式に影響が広がることを、はっきりと浮き彫りにした。

　では、なぜここまで被害が長期化し、再開が極めて困難になるのか。被害企業は詳細を公表していないため、以下はあくまでサイバーセキュリティコンサルタントの新實傑氏の知見をベースにした合理的な推測にすぎないが、この機会にランサムウェアの仕組みと、企業がとるべき対策を整理しておきたい。

●目次

• なぜ「被害状況非開示」なのか
• アスクルは一部復旧、アサヒは見通し立たず…何が違うのか
• なぜ復旧はここまで長期化するのか
• ランサムウェアとは何か──“二重・三重脅迫”の時代
• ランサムウェア以外にもある、企業が警戒すべき攻撃
• 企業は何をすべきか──“防ぐ”より「いかに早く立ち上がるか」
• SNSで議論すべき“本質的な問い”

なぜ「被害状況非開示」なのか

　サイバー攻撃を受けた企業が、被害内容を細かく公表しないのには理由がある。主なポイントは次の3つだ。

（1）攻撃者への“ヒント”を与えないため
　ネットワーク構成や侵入経路の詳細を公表すると、攻撃者に「ここが弱点」「この対策はまだできていない」といったヒントを与えてしまう。模倣犯や第2波・第3波の攻撃を呼び込むリスクがあるため、企業はどうしても慎重にならざるを得ない。

（2）株主・取引先・消費者の混乱を避けるため
「個人情報がどこまで流出したのか」「どのシステムが止まっているのか」が精査途中の段階で中途半端に情報を出すと、風評被害を助長するおそれがある。決算や株価への影響も大きいため、企業は“言えること”と“まだ言えないこと”を線引きせざるを得ない。

（3）法的リスクの存在
　個人情報保護法や各国のデータ保護規制に抵触していないか、監督官庁への報告や、被害を受けた顧客への通知の範囲をどうするか。ここを誤ると、サイバー攻撃とは別の法的リスクを抱えることになる。

　そのため、外から見える情報は「サービスが止まっている」「一部再開した」といった表層的なものに限られる。だが、今回のアスクルやアサヒGHDのように、復旧が数カ月単位で長期化している事例からは、裏側で何が起きているのか、おおよその構造を推測することができる。

アスクルは一部復旧、アサヒは見通し立たず…何が違うのか

　アスクルは、攻撃によるシステム障害を受けて大きく機能を制限したあと、優先度の高い「事業者向け（BtoB）の受注」から段階的に再開している。これは、BtoBの受発注のほうが、システム構成が比較的シンプル、取引先が限定されている、緊急度が高く企業活動への影響が大きいといった理由から、「まずここから復旧する」という判断がしやすいためだ。

　一方でアサヒGHDは、ビールを中心とする飲料事業に加え、広範囲な拠点と取引先を抱える巨大グループである。生産・在庫・物流・販売・受注が複雑に結びついているため、
どこか1カ所だけ立ち上げれば動くという構造ではない。

　アサヒのシステム障害は、結果としてサッポロ、キリン、サントリーなど競合他社のお歳暮ギフトの受注停止にもつながった。

　ビール各社は、物流や出荷の一部で共通のプラットフォームや倉庫を利用しているとみられ、その一角が止まると、他社の商品であっても、納期の見通しが立たない、在庫の正確な把握ができないといった問題から、「新規受注を受けない」という判断を迫られる。
「アサヒの障害なのに、なぜキリンのギフトも買えないのか？」という消費者の疑問は、
サプライチェーンが企業の垣根を越えて“1つの巨大システム”になっている現実を端的に示している。

　このように、一社のシステム障害が業界全体に波及する状況は、ランサムウェアの被害が「ただのITトラブル」ではなく、経営インフラそのものへの打撃であることを意味している。

なぜ復旧はここまで長期化するのか

　復旧長期化の背景には、主に2つの要因があると考えられる。

（1）基幹システムが“丸ごと”暗号化されている可能性
　ランサムウェアは、単に一部のファイルを暗号化するだけではなく、企業の基幹システムそのものを狙うのが一般的になりつつある。

　ERP（基幹業務システム）、在庫・倉庫管理システム、受注・出荷システム、請求・会計システム――こうした仕組みは密接に連動しており、どれか1つでも止まると、「受注ができても出荷ができない」「出荷できても在庫が更新されない」といった問題が発生する。

　特にアサヒのように、大量の商品を全国に配送する企業では、「出荷指示」「在庫情報」「配送計画」が1つのシステム群で管理されているケースが多い。ここが暗号化されると、どこに何があるのか、どの商品をいつまでに届けるべきか、といった“当たり前”の情報が一気に見えなくなってしまう。

（2）バックアップも事前に破壊されている可能性
　近年のランサムウェアは、「侵入 → 数週間〜数カ月潜伏 → バックアップ破壊 → 本番環境を暗号化」という手口が主流になっているとされる。

　バックアップが生きていれば、「攻撃の直前時点まで巻き戻す」ことが可能だが、バックアップ領域まで暗号化・削除されていると、どの時点のデータを基準に復旧するか、
部分的に残っているデータとの整合性をどう取るか、という作業だけで膨大な手間と時間が必要になる。

　そのうえで、システムの再構築、安全性の検証、社内外への説明と調整、まで行わなければならない。

　結果として、復旧は数日ではなく「数カ月単位」のプロジェクトになる。

ランサムウェアとは何か──“二重・三重脅迫”の時代

　あらためて、ランサムウェアの基本を整理しておきたい。

●ランサムウェア = Ransom（身代金） + Software
　コンピュータに侵入し、データを暗号化して使えなくし、「元に戻してほしければ身代金を払え」と要求する攻撃である。

　しかし、最近のランサムウェアは、もはや「暗号化して脅すだけ」の時代ではない。

●標準化した“二重脅迫”
　・データやシステムを暗号化して業務停止させる
　・盗み出したデータを「公開する」と脅す
　この二重脅迫により、「システムを復旧できたから支払わない」という選択肢を潰すのが最新の常套手段だ。

　さらに一部のグループは、取引先への“データ公開予告メール”、報道機関への情報リーク、株価への影響を狙った仕掛けなど、企業の評判や金融市場まで利用する“三重脅迫”に進化していると報告されている。

ランサムウェア以外にもある、企業が警戒すべき攻撃

　ランサムウェアは目立つが、企業にとってのサイバーリスクはそれだけではない。

1. サプライチェーン攻撃
　今回のように複数企業が同じプラットフォームやクラウド基盤を共有する構造では、取引先のベンダー、システム運用会社、共同利用のクラウドサービス、などを踏み台にして、本丸の企業へ侵入されるリスクが高い。「自社は堅牢でも、取引先の一社が破られれば終わり」という構図が生まれる。

2. クラウド設定ミスを狙った攻撃
　クラウドサービスの普及により、ID・アクセス権の設定ミスや、ストレージの公開設定ミスを狙った攻撃も増えている。ここでは、いわゆる“ハッキング”よりも、「人間のうっかり」「運用の穴」が主な原因になりやすい。

3. 内部不正・内部犯行
　アクセス権を持つ社員や委託先の担当者が、意図的・あるいは不注意により、機密情報を持ち出すケースも後を絶たない。特にクラウドとリモートワークが一般化した現在では、一人の端末から持ち出せるデータ量が過去とは比較にならないほど増えている。

4. ゼロデイ攻撃
　ベンダーがまだ把握していない、あるいはパッチが提供されていない脆弱性を突く攻撃だ。これに対しては、「パッチを当てる」といった従来型の対策では追いつかない場面も多い。

企業は何をすべきか──“防ぐ”より「いかに早く立ち上がるか」

　サイバーセキュリティの専門家たちは、口をそろえてこう言う。

「侵入されるかどうかではなく、“いつ侵入されるか”の世界になった」。完全に攻撃を防ぐことは、もはや現実的ではない。そのうえで重要になるのが、被害を受けたあと、どれだけ早く事業を再開できるかだ。

（1）バックアップの“物理的分離”
　クラウド上のバックアップだけでは、同じアカウントやネットワークからまとめて破壊されるリスクが高い。

　ネットワークから切り離したオフラインバックアップ、クラウドとオンプレミスの二重バックアップ、バックアップ自体へのアクセス権を極端に絞る、といった、「攻撃者がどう頑張っても届かない場所にデータを置く」設計が求められる。

（2）権限管理とゼロトラスト
「社内だから信頼する」「VPNにつながっているから安全」という発想は通用しない。

　最小限の権限のみ付与する、管理者権限を細かく分ける、重要な操作には多要素認証を必須にするといったゼロトラスト（誰も信用しない前提）の考え方が重要だ。

（3）監視と検知のリアルタイム化（EDR）
　攻撃者は、侵入後すぐに暴れるとは限らない。数週間〜数カ月潜伏し、内部調査を行ってから一斉攻撃に出るケースも多い。

　そのため、不審な通信、権限の異常な利用、データの大量コピーといった「ふるまい」を検知するEDR（Endpoint Detection and Response）のような仕組みが不可欠になっている。

（4）事業継続計画（BCP）の具体化
「システムが全部止まったときに、最低限の業務をどう回すか」というBCPがなければ、
今回のような事態では立ち往生するしかない。

　受注をFAX・電話で仮受付する仕組み、紙と最低限のExcelで運用できる“非常モード”、優先して復旧すべき業務のリストアップなど、IT以前のレベルまで分解した“手作業の最後の砦”を決めておくことが、結果的に復旧スピードを大きく左右する。

SNSで議論すべき“本質的な問い”

　今回のアスクルやアサヒGHDのケースは、「どの企業が悪いのか」という犯人探しではなく、「現代のサプライチェーンは、どれだけ脆くなっているのか」を問う材料として捉えるべきだ。

　本質的な論点は、おおきく次の3つに整理できる。

・基幹システムの複雑化と相互依存
　1社の障害が業界全体を止めうる構造になっていないか。

・クラウド・外部委託への過度な依存
　「安く・早く・便利」の裏で、リスク管理が置き去りになっていないか。

・“攻撃は必ず起きる”前提の経営になっているか
　セキュリティ対策を「コスト」ではなく、「事業継続のための投資」として位置付けているか。

　ランサムウェアは、もはやIT部門だけの問題ではない。「サービスが止まれば、商品が売れない」という意味で、経営そのものの根幹を揺るがすリスクになっている。

　アスクルやアサヒGHDの復旧が長期化している現状は、企業規模やブランド力に関係なく、日本中の企業が同じようなリスクを抱えていることを示している。

　攻撃を完全に防ぐことはできない。だからこそ、「攻撃されたあとに、どれだけ早く、どこまで立ち上がれるのか」という視点で、自社の体制を見直す必要がある。

（文＝BUSINESS JOURNAL編集部、協力＝新實傑／サイバーセキュリティコンサルタント）