お歳暮商戦が始まったが、そこに異変が生じている。例年ビール会社は歳暮用商品を発売するが、それがほとんどない。理由はアサヒグループホールディングスがサイバー攻撃で打撃を受け、それが他社にも波及したためだ。もはやサーバー攻撃は、国の経済を左右し始めた。文=ジャーナリスト/小田切 隆(雑誌『経済界』2026年1月号より)
出荷が大幅減少で決算も発表できず
9月29日、日本のビール業界の巨頭、アサヒグループホールディングス(GHD)が「サイバー攻撃によるシステム障害」を公表し、その影響の広がりが日本中の企業関係者を震撼させている。攻撃したとみられるのは、世界で猛威を振るうランサムウェア(身代金要求型ウイルス)グループ「Qilin(キリン)」。アサヒGHDは商品の受注・出荷を全面的に止め、主力工場の操業をストップする事態に追い込まれた。近年、日本企業へのサイバー攻撃は質・量ともに進化し、企業にとってはもはや単なる情報漏えいの問題ではなく、事業継続できるかの死活問題となっている。企業はどんな手を打つべきなのだろうか。
ランサムウェアによる攻撃は、企業のネットワークに侵入し、データを暗号化して使用不能にしたり情報を盗んだりした上で、データ復元や情報流出回避と引き換えに身代金を要求する手口だ。
犯行声明を出したQilinは、アサヒGHDの従業員の個人情報や財務データ、事業計画書などに関する膨大なデータを盗んだと主張。アサヒGHD自身も10月3日の発表文で、「情報漏えいの可能性を示す痕跡が確認されました。漏えいの可能性があった内容や範囲については調査中です」としている。
なお、Qilinはロシアが拠点と見られ、ここ数年、活動を活発化させてきた。世界中の企業や金融機関、医療機関などを標的として攻撃を繰り返している。
アサヒGHDの受けた影響は大きい。
システム障害によって、国内の酒類、飲料、食品の受注や出荷が不可能となり、営業担当者は、取引先からの注文を電話やファクスで受けるなど手作業を強いられることになった。処理能力は大幅に落ちた。コールセンターの業務も停止し、新商品の発売延期やイベント中止などにも追い込まれている。
10月時点で生産設備のシステムの被害は確認されていないが、出荷ができなくなったことを受け、アサヒGHDは工場の稼働を一時停止した。その後、生産は再開したものの、攻撃発覚から1カ月後の10月末時点でも、中核のアサヒビールが出荷を再開できたのは、全商品の約1割に当たる約50商品にとどまった。
ここまで影響が大きくなったのは、生産、物流、経理など複数の部門のシステムを統合していたからだと指摘する声がある。1カ所が攻撃されれば、各部門にまたがり一気にその影響が「延焼する」というわけだ。また、復旧が遅れているのは、バックアップ体制が万全でなかったからではとする声もある。
年末商戦を目前にした最悪のタイミングであり、損失がどこまで膨らむのか分からない。2025年12月期第3四半期決算の発表も延期した。中長期的にも、システムのデータ復元と再構築に膨大な時間がかかり、取引先や顧客、株主といったステークホルダーの不安はどんどん膨らんでいくだろう。売り上げ機会の損失や復旧にかかるコストの増大によって、財務面の影響も長く残り、信頼性の維持も容易ではないはずだ。
影響はアサヒGHD自身だけにとどまらず、他社にも及んだ。たとえば、アサヒGHDに資材や原料を供給している企業は供給量を減らさざるを得ない状況に追い込まれた。同業のライバル大手にも影響が出ており、アサヒGHDからの購入をやめた消費者のサントリー、サッポロ、キリンビールなどに対する注文が、想定を大きく上回って拡大。定番商品の供給を優先するため、各社は歳暮用のギフト商品の販売を一部休止するなどの対応に追われた。ビール業界全体に影響がどこまで広がり、市場のシェア変化につながるのかなども注目される。
本丸は守っても下請けが攻撃されて生産ストップ
サイバー攻撃にさらされる日本の企業や組織は後を絶たない。警察庁の調べによると、ランサムウェア型のサイバー攻撃についての被害報告だけでも、25年上半期は116件に上った。半期ベースでは22年下半期と同数で、過去最多となった。
日本のサイバーセキュリティー史で大きな転換点となったのが、15年の日本年金機構に対する標的型攻撃だ。国会でも取り上げられ、個人情報の保護強化や組織的なサイバーセキュリティーの重要性が改めて認識されるきっかけとなった。
事件の端緒は、業務関連を装ったマルウェア(悪意のあるプログラム)付きの「標的型攻撃メール」が機構に送信され、職員がファイルを開封して端末が感染したこと。ネットワークに侵入され、基礎年金番号、氏名といった年金加入者の情報約125万件が流出した。国内の公的機関からの情報流出としては史上最大の規模となった。職員が「だまされた」ことが発端だっただけに、従業員教育が企業の最初の「防御壁」であることが改めて浮き彫りになったと言える。
また、近年、破壊的な影響を生んでいるのが、サプライチェーン(供給網)に対する攻撃だ。自社ではなく、セキュリティーが手薄な取引先を攻撃の「踏み台」にする手口で、22年にはトヨタ自動車が被害を受けた。トヨタに内外装の部品を供給する小島プレス工業(愛知県豊田市)がランサムウェア攻撃を受け、システムが停止。部品の受発注ができなくなったため、トヨタは国内全14工場の操業を一時停止せざるを得なくなった。トヨタのサプライチェーンを構成する数万社のうち1社がサイバー攻撃を受けただけで、「本丸」のトヨタが機能不全に。世間に大きな衝撃を与えた。
浮き彫りになったのは、トヨタのような強力な大企業であっても、今や「自社さえ守れば良い」という考えは通用せず、協力会社の脆弱性を通じて攻撃されうる時代になったという事実だ。これは、現代の「デジタル連携社会」の盲点とも言えるだろう。
このほか、23年に名古屋港運協会が受けたランサムウェア攻撃では、コンテナターミナルを管理するシステムが停止。日本の国際物流の要衝・名古屋港という重要インフラが一時的に麻痺したことは、極めて深刻な問題であると言える。
24年にはKADOKAWAがランサムウェア攻撃を受け、動画配信サービスの提供を続けることが不可能に。今年10月には、アスクルがランサムウェア攻撃を受け、通販の受注・出荷業務を停止。アスクルに物流業務を委託している企業へも影響が広がった。
サイバー攻撃を防ぐため 心がけるべき6カ条
こうした「歴史」を振り返ると、サイバー攻撃による被害は「情報漏えい」から「業務停止・機能破壊」へとシフトしてきたことが分かる。この状況に対し、日本企業が心がけるべきことを6つ挙げたい。
1つ目は、セキュリティーをコストと見なしがちな経営層の意識を変えることだ。多くの日本企業は今も、セキュリティーは情報システム部門の仕事であり、同部門を「コストセンター」と見なす傾向がある。この結果、パソコンやスマートフォンの監視システム構築や専門家育成などの費用が削られ、システムの陳腐化や脆弱性の放置につながっているともされる。経営層はサイバーリスクを「火災や地震と同じ事業リスク」ととらえる意識を持つことが必要だろう。
2つ目は、サイバー攻撃を受けても事業をスピーディーに復旧できるバックアップ体制の構築だ。多くの企業のBCP(事業継続計画)は自然災害を念頭に置いている。まず、サイバー攻撃を想定したBCPを作ることが必要だ。バックアップのシステムについては、ネットワークにつないでいる企業が少なからずある。ランサムウェアはネットワーク内のデータを全て暗号化するため、ネットワークにつながれていれば、バックアップもろとも使用不能になる。それを防ぐには、攻撃者がアクセスできない、隔離されたオフラインでのバックアップシステムを作ることが重要だ。そして災害対策と同じく、実際にバックアップからシステムを復元する訓練を最低年1回は行い、復旧にかかる時間を短くしていくといった取り組みも必要だろう。
3つ目に心がけるべきことは従業員教育だ。過去の例の多くは、職員が標的型メールを開封するなど、「人」が最初のトリガーとなっている。サイバー攻撃に対する従業員の警戒心を高めることが不可欠と言える。
4つ目は、「侵入を完全に防ぐことは不可能」という意識を持つことだ。攻撃者は数週間から数カ月間、社内ネットワークに潜伏して最終攻撃に移るとされる。企業は侵入されることを前提とした上で、侵入された後、可能な限り素早く異常な挙動を検知する能力を高めなければならない。そのためには、自社に専門チームを作ったり外部の専門家と契約したりして、24時間365日、ネットワークを監視する体制を作り上げることが重要だ。
5つ目は、あらゆるアクセスを信用しない「ゼロトラスト」へ意識を転換することだ。多要素認証を義務化し、リモートアクセスや重要システムへのログインに関しては、パスワードだけでなく、スマホ認証などを組み合わせて徹底的に確認することが重要となる。さらにネットワークを細かく区切り、重要情報が置かれたサーバー群へのアクセス権限を厳しくする。そうすれば、一部が感染しただけで被害が全体に広がる「延焼」は防ぐことができるだろう。
そして6つ目は、自社のサプライチェーンに組み込まれている取引先のリスク管理を義務化することだ。取引先との契約書に、多要素認証の導入や脆弱性対策を行うことを盛り込むといいだろう。特に重要な取引先に関しては、セキュリティー体制を定期的に監査・評価し、リスクが高い場合には取引を見直すことも辞さない姿勢が必要だ。アサヒGHDの例でも分かるように、デジタル技術に企業活動が依存する現代では、サイバーセキュリティーこそ事業継続のカギを握る。
繰り返しになるが、企業は情報漏えいを恐れるだけではなく、可能な限りスピーディーに異常を検知し、事業を止めず、または迅速に復旧させて、サイバー攻撃を乗り切るという視点が重要だ。日本企業は未曽有の危機に直面しているといえ、改革への強い覚悟が求められる。
