2025.11.30
2025.11.29 23:32
●この記事のポイント
・アサヒGHDはランサム攻撃でVPN脆弱性を突かれたが、全バックアップが無事だったため身代金を払わずに対応。攻撃される前提で「被害を制御する力」が企業の生死を分けることが明らかになった。
・他社が長期障害に陥った背景には、バックアップ破壊や復旧困難など“構造的弱点”があった。アサヒの事例は、細分化されたバックアップ設計、権限管理、出口対策など「攻撃後に効く防御」の重要性を示した。
・サイバー攻撃はもはや防げず、経営判断が最も重くなる時代。アサヒ会見は、交渉しない方針の明確化、復旧の透明性、ゼロトラスト移行など、企業が今後備えるべき危機管理の実践的モデルを提供した。
2024~2025年、日本の大企業はランサムウェア攻撃を相次いで受けた。KADOKAWA、ラスクル、アスクル、パン・パシフィック・インターナショナルホールディングス(PPIH)、アルフレッサホールディングス(HD)、そしてアサヒグループホールディングス(GHD)。かつては「大手なら万全の対策があるはずだ」と信じられていたが、いまや攻撃の対象は規模や業界を選ばない。
11月27日に開かれたアサヒの初会見では、次の事実が改めて示された。
「攻撃者と交渉していない」
「身代金は払っていない」
「すべてのバックアップが無事だった」
これ自体はポジティブな情報であり、「対応は適切だった」と評価する声も出ている。しかし今回の会見は、もっと重要な事実を浮き彫りにした。
“攻撃は防げない。では、いかに被害を最小限に抑え、企業を倒さないか”というものだ。ここにこそ、経営者が学ぶべき本質がある。アサヒの会見から読み取れることをITジャーナリストの小平貴裕氏に分析してもらった。
●目次
- アサヒと他の被害企業、「被害の差」を生んだ最大の違い
- 高度な防御をしていたのに、なぜ破られたのか
- では、どうすれば“被害を最小限に抑えられる”のか
- アサヒの会見から学べる“企業の危機管理5原則”
- 攻撃されても倒れない企業とは、“被害を制御できる企業”
アサヒと他の被害企業、「被害の差」を生んだ最大の違い
まず、KADOKAWAやラスクルなど過去の被害企業と、アサヒの事例を比較すると、決定的な違いが3つある。
① データのバックアップ完全性
アサヒ:全バックアップが健全。復旧可能
他社:一部のバックアップが暗号化・破壊され、復旧が困難なケースが多い
KADOKAWAはバックアップ破壊により復旧が非常に難しく、長期障害につながった。アスクルも一時は「復旧の見通しが立たない」と説明された。
ランサム攻撃の本質は「データを人質に取る」ことだ。バックアップが生きていれば、人質は成立しない。ここが最大の分岐点である。
② 攻撃者と交渉しない姿勢を明確にした点
多くの企業は「交渉の有無も明かさない」。これはこれで合理的だ。しかしアサヒはあえて、「交渉していない」「身代金を払わない」と明言した。これは欧米企業が取り始めた“透明性の高いポリシー公開型”の対応に近い。
理由は後述するが、これは 「企業としての対外コミットメント」として極めて重要 である。
③ 攻撃経路(VPN脆弱性)を開示した点
アサヒは、攻撃者Quilinの「VPN脆弱性を突く常とう手段」によって侵入されたと説明した。技術的には“典型的なパターン”だが、これを明確に説明した大企業は実は多くない。
これにより、他社は対策の優先順位をより明確にできる。同業界企業へ大きな示唆を与える一歩となった。
高度な防御をしていたのに、なぜ破られたのか
会見によれば、アサヒは以下の先進的な対策をすでに導入していた。
・NIST CSFに基づく診断
・ホワイトハッカーによる侵入テスト
・ゼロトラストモデルの導入
・EDR(高度な侵入検知システム)の全社配備
それでも破られた。これは「対策が不十分だった」というよりも、現代のサイバー攻撃がそれほど高度化しているという事実の反映だ。
●VPNは“最後の弱点”
VPNは外部から社内に入るための入り口である。ゼロトラストへの移行が進んでも、VPNが残っている限り、攻撃者に狙われる。
いま最も攻撃されているのはファイアウォールでもメールでもない。VPNだ。VPNの脆弱性を突かれれば、ほぼ確実に侵入される。
●管理者権限を奪われると「詰み」
EDRなどの防御は、管理者権限を奪われた瞬間に無効化される。アンチウイルスの無効化、ログ削除、検知機能の停止……など、ほとんどのセキュリティが突破されてしまう。
つまり、「完全な防御」は存在しないのが現実。アサヒが破られたのは、「対策不足」ではなく「現代の攻撃のレベルが高すぎる」ためともいえる。
では、どうすれば“被害を最小限に抑えられる”のか
技術的な防御だけでは完全防御はできない。では、何が決定打になるのか。答えはシンプルだ。
侵入される前提で備え、被害を受ける範囲をいかに限定するかという点に尽きる。ここで多くの企業が見落としているポイントをまとめていく。
【見落とされがちな本質①】:バックアップは“データ”だけではなく“システムの状態”も分けて持て
アサヒはデータのバックアップが完全だったものの、「システムそのもの」の再構築に時間がかかり、復旧が遅れている。これは技術的に非常に重要なポイントだ。
●バックアップには2種類ある
①データ(ファイル・DB)
②システムイメージ(OS設定・ミドルウェア構成・アプリ)
多くの企業は①に偏りがち。しかし、暗号化されると壊れるのは「データ」ではなく “システム環境” だ。だから復旧に数カ月かかる。
アサヒの会見で示された「今後はバックアップを細かく分散する」という方針は、この問題に対する正しい気づきと言える。
【見落とされがちな本質②】:個人情報流出を防ぐには「攻撃を防ぐ」のではなく「暗号化しておく」
現代のランサム攻撃は“二重恐喝型”が当たり前だ。
①データを暗号化し利用不能にする
②データを盗み出し、公開すると脅す
つまり、バックアップがあっても流出は起きうる。ではどうすればよいか。出口対策(DLP)+データ暗号化(FPE)+権限分断が現実的な解になる。
●DLP(データ流出防止)
・怪しい外部接続を遮断
・大量データ転送を検知
●FPE(Format Preserving Encryption)
・データそのものを暗号化しておくことで、仮に盗まれても意味を持たない。
●権限分断
・個人情報にアクセスできる人間を極限まで減らす。
「攻撃を防ぐ」より、「盗まれても何も取られない状態」にしておくほうが現実的だ。
【見落とされがちな本質③】:経営陣が「交渉しない方針」を事前に決めておくと、攻撃後の混乱が減る。
アサヒの対応で最も評価された点は、実は技術ではない。“戦略としての姿勢が明確だった”点だ。
・交渉しない
・払わない
・対応方針を会見で透明化する
これは危機管理として非常に強力だ。なぜか。
攻撃者は「払う企業」を狙うからだ。攻撃者もビジネスである。成功率が高い企業を狙う。よって、「払わない企業」であることを示すことは、再攻撃の抑止力にもなる。
【見落とされがちな本質④】:サイバー攻撃は“技術の問題”ではなく“経営の意思決定”の問題
ランサム攻撃の初動対応は、技術者だけでは判断できない。
・公表のタイミング
・影響の範囲
・交渉方針
・業務継続の判断
・消費者・株主・取引先への説明
・安全が確認できるまでのシステム停止範囲
これはすべて経営判断だ。アサヒの会見は、この点を非常に丁寧に説明していた。サイバー攻撃対策とは、実はセキュリティ専門家だけの仕事ではなく、経営そのものなのだ。
アサヒの会見から学べる“企業の危機管理5原則”
① バックアップは細分化し、システム単位で持つ
データがあっても環境がなければ復旧できない。
② VPNは限りなくゼロに近づける
ゼロトラストの実装は最優先。
③ 個人情報は盗まれても読めない状態にする
暗号化とアクセス制御が鍵。
④ 経営陣は“払わない方針”を事前に決定しておく
初動対応が大きく変わる。
⑤ 攻撃後は“再侵入のリスク排除”を最優先
復旧が遅いのは「慎重だから」。レピュテーションを守るには最も重要な工程。
攻撃されても倒れない企業とは、“被害を制御できる企業”
アサヒGHDの会見は、日本企業が「攻撃は防げない」という現実を受け入れるべき時代に入ったことを象徴している。
ランサムウェア時代の企業に求められるのは、攻撃をゼロにすることではない。攻撃されてもデータを守り、事業を守り、顧客を守る力。
そのための鍵は、技術力だけでなく、バックアップ構造・データ暗号化・権限管理・経営の意思決定など多面的な体制にある。
アサヒの事例は、「完全防御は不可能」という厳しい現実とともに、「適切な備えがあれば企業は倒れない」という希望も示した。
(文=BUSINESS JOURNAL編集部、協力=小平貴裕/ITジャーナリスト)
RANKING
RELATED POSTS
ニューアングル
