アサヒグループホールディングス(GHD)は2025年11月27日、同年9月に受けたサイバー攻撃を巡り初めてとなる記者会見を開いた。同社の勝木敦志社長と﨑田薫取締役兼執行役 Group CFO(最高財務責任者)、アサヒグループジャパンの濱田賢司社長の3人が登壇し、サイバー攻撃の詳細や被害状況を説明した。
会見からは今回のサイバー攻撃について、技術的観点から重要な3つの盲点が明らかになった。それらから浮かび上がるのは、万全を期していてもなお不正侵入の糸口を完全にふさぐのは容易でなく、アサヒGHDの対策をすり抜ける攻撃者の巧妙さも相まって、結果として大きな被害につながってしまった構図だ。
盲点(1)VPN経由の侵入を示唆、脆弱性突かれ被害後に廃止
3つの盲点の1つ目は、侵入経路としてVPN(Virtual Private Network)装置の脆弱性を突かれたとみられることだ。攻撃者は同社が出荷管理システムなどのサーバーを設置したデータセンターに不正アクセスし、複数の業務サーバーや全37台の端末のデータを暗号化したり窃取したりした。同社は「グループ内の拠点にあるネットワーク機器を経由し、データセンターのネットワークに侵入された」としているが、具体的にどういったネットワーク機器から侵入されたのかは明言していない。
ただ勝木社長は今回の被害を受け「VPN接続は廃止した」と明言した。ネットワーク機器とはVPN装置だったのか、報道陣からの質問に対して「重要なリスクにつながる情報であるため明かせない」と回答を濁したが、「(報道陣の)想像とそれほど違わないものと思う」とも語り、VPN装置が侵入経路であると事実上認めた形だ。
同社への攻撃についてダークウェブ上に犯行声明を公表していたランサム攻撃グループの「Qilin(キリン)」は、多くのケースでVPN装置の脆弱性を突いて標的のネットワークに侵入する。アサヒGHDもVPN装置の脆弱性を突かれた可能性が高い。加えて修正プログラムが未公開のゼロデイ脆弱性ではなく「既知の脆弱性だったのではないか」(勝木社長)という。
国内ではVPN装置の脆弱性を端緒として不正アクセスを許し、ランサムウエアなどによる甚大な被害を受けるケースが相次いでいる。アサヒGHDは「米国立標準技術研究所(NIST)のサイバーセキュリティーフレームワークに基づく社内システムのセキュリティー診断やホワイトハッカーによる模擬攻撃などの対策を講じていた」(勝木社長)ものの、結果として同様の被害を防ぐことができなかった。
