ransom被害

PR セキュリティ

アサヒGHDのランサム被害に学ぶ|“形だけのセキュリティ”が生む危険と中小企業が取るべき対策

2025年秋に発生したアサヒグループホールディングス(アサヒGHD)へのランサムウェア攻撃は、国内でも大きなニュースとして取り上げられました。

グループ全体でネットワークを停止し、事業の一部が影響を受けるなど、企業にとってランサム攻撃がどれだけ深刻なリスクなのか、あらためて認識させられる出来事でした。飲料・食品の大手企業がここまでの被害を受けたことは、多くの人にとって「他人事ではない」と強い印象を残したのではないでしょうか。

今回の事件は、ランサムウェア(身代金要求型ウイルス)による攻撃でした。これは企業のサーバーに侵入し、データを暗号化して使えなくする攻撃手法で、「元に戻したければ身代金を払え」と迫るものです。

近年、世界的にこの手口は増加していますが、日本の大企業がここまで大規模な被害を受ける例は珍しく、その影響の大きさは社会にも経済にも広く広がりました。

本記事では以下の4つを、なるべくやさしく解説します。

1)アサヒGHDに何が起きたのか
2)公開情報をもとにした“推測ベース”の弱点
3)「形だけのセキュリティ」と「実効性のあるセキュリティ」の違い
4)中小企業が今すぐ取り組める改善策

アサヒGHDで起きたランサム被害

2025年9月、アサヒGHDは外部からの不正アクセスを受け、グループ会社を含むネットワークが侵害され、ランサムウェアによってファイルが暗号化される被害が発生しました。

異常の検知後、同社は以下の対策を実施しています。

  • ネットワークの遮断
  • 一部システムの停止
  • 専門機関によるフォレンジック調査(データ分析し、証拠を収集する調査)
  • 事業継続のための復旧作業

調査の結果、ランサム攻撃の被害を直接受けたのは数台のサーバーと端末だったようです。

しかし、ここからの復旧作業というのは、単に「壊れたところを直す」作業ではありません。安全性と整合性を確認しながら、設定やデータを戻す作業、あるいはセキュリティ設計を見直してシステムを再構築する作業などが必要となり、全面的な復旧には長い期間と費用を必要としました。

また、「情報漏えいの可能性」についても調査を継続しており、約191万件におよぶ顧客・社員関連情報が漏えいした恐れがあるとの見方が示されています。

ただし、多くの人が知りたい、以下のような“技術的な原因”については、現時点では公表されていません。

  • どのルートから侵入されたのか
  • どの脆弱性が悪用されたのか
  • 社内でどんな運用ミスがあったのか

「形ばかりになっていた」発言が意味するもの

注目されたアサヒGHDの社長の発言として「形ばかりになっていた」という言葉がありました。この言葉はおそらく、多くのセキュリティ関係者が強いリアリティをもって受け止めました。これは単なる反省の一言ではなく、多くの日本企業が抱える現実を表す、とても象徴的なコメントといえるかもしれません。

アサヒGHDの被害の原因は公表されていませんので、ここでは、一般的に起こり得る“形式的なセキュリティ”の例を整理します。

推測1:規定だけ作って、実運用が追いついていない状態

日本企業でもよくありそうなケースがこれです。

  • 立派なセキュリティ規程がある
  • 既定の内容は国際規格(ISOなど)を“きれいに翻訳しただけ”
  • 現場は忙しく、規定の通りに動くことが難しい
  • 書類が揃っていれば監査は通ってしまい、実態は改善されない

国際規格などを取得している企業の中には、“規格を取ること”が目的化しまい、日常運用がおざなりになるケースがあります。

国際的なセキュリティ規格では本来、「運用している証拠(記録、ログ、点検記録、改善履歴)」を求めます。しかし、日本の監査は「文書が揃っているか」を重視しがちで、実際の運用が置き去りになりやすいのです。

推測2:棚卸し・監査が“年1回の儀式”になっていた

運用においても、陥りがちなケースがあります。

  • PCやアカウントの棚卸し → 年1回だけ
  • システムの脆弱性チェック → 年1回のレポートで満足
  • 監査 → 書類審査中心で、現場の実態までは踏み込まない
  • 問題点 → 「改善予定」と書いて終わり

つまり、“毎日狙われているのに、年1回しか見直さない”という危険な状態になりがちなのです。

推測3:システムが老朽化し、アップデートが後回しに

これも非常によくある事例です。

  • 古いサーバーが動き続けている
  • 更新すると業務に影響が出るため放置
  • パッチ適用の判断が遅れ、脆弱性が放置される
  • 代替システムへの移行計画が進まない

攻撃者はこうした「古いままのシステム」を真っ先に狙います。

「形だけのセキュリティ」と「実効性のあるセキュリティ」の違い

これら、ふたつの違いはどのようなものでしょうか。考えてみたいと思います。

形だけのセキュリティとは?

  • 文書やマニュアルは立派
  • パスワードルールやソフト更新ルールなどルールはあるが“実際には守られていない”
  • システム更新が後回し
  • ログは取っているが誰も見ていない
  • 棚卸しや監査が「年1回のイベント」
  • 経営層が「担当者に任せっきり」

こういったセキュリティ対策は、一見、外から見れば整っていますが、中身は空洞になっている状態です。

実効性のあるセキュリティとは?

  • 毎週または毎月、更新や点検が行われる
  • ログを分析し、異常があれば早期に対応
  • ルールは現場で守れるよう最適化されている
  • 経営層が「事業リスク」として認識
  • フィッシング訓練や教育が継続的に実施
  • 外部の専門家も適切に活用

これらのセキュリティ対策は、継続的に回る仕組みとして管理されている状態といえます。

中小企業でもまず手をつけるべき対応策

中小企業では「予算も人もない」という声が必ず出ます。しかし、お金をかけずに始められる“効果の高い取り組み” がいくつもあります。

年1回の棚卸しから脱却:最低でも四半期に1回の点検へ

  • 使われていないアカウントが残っていないか
  • 古いPCやアップデートされていない端末がないか
  • 社外公開しているシステムに脆弱性がないか

「使っていないアカウントが残っていた」が原因の被害は非常に多く、これだけでリスクが大きく下がります。

“守れないルールは削る”という発想

  • 現場負荷が高すぎる
  • 運用が複雑すぎて手が回らない
  • 守る効果が薄い

こうしたルールは削減すべきです。効果のないルールを適切に“減らす”ことも立派な改善です。

より効果のある運用に力を割くこともできるようになります。

1人情シス依存の脱却:外部の常時監視(SOC)を活用

今は月数万円で利用できる中小企業向けSOCサービスもあり、ログ監視や不審な通信の検知などを外部の専門家が24時間担ってくれます。

バックアップの“分離”は必須

バックアップが同じネットワーク上にあると、ランサムウェアはバックアップも一緒に暗号化し汚染します。

「きちんとバックアップを取っていたのに使えない」は非常に多い被害例です。必ずネットワークやアクセス権を分離し、容易には到達できない別の場所にバックアップを取るようにしてください。

教育と訓練は“地味だが最重要”

セキュリティ担当者が少ない企業ほど、従業員教育の効果が非常に高いです。

  • メール添付をむやみに開かない
  • 脆弱なパスワードを使わない
  • パスワードを使い回さない
  • 不審なログイン通知に注意

こういった基本的なリテラシーを身に付けることで、攻撃成を成功させてしまう確率を大幅に下げることができます。

まとめ:アサヒGHD事件は「大企業だけの問題」ではない

今回のアサヒGHDのランサム被害は、大企業でも形だけの運用になれば攻撃を防ぎきれない、という現実を示しました。これは多くの日本企業が向き合うべきテーマです。

  • 書類が揃っている
  • 監査を通っている
  • 年1回棚卸ししている

これらは“形”であって、“実際に守られている”こととは違います。セキュリティは“見た目”ではなく、“運用が回っているかどうか”が本質です。

今回の事件を機に、中小企業も「形だけ」から脱却し、“守り続ける仕組み” へと一歩進むことが重要だといえるでしょう。

最後までお読みいただきありがとうございました。当ブログは日常のICTの困りごとを解決するためのノウハウを発信しているサイトです。トップページもご覧ください。

ICTで便利な日常 / ICTgarage

-セキュリティ