第77回
アサヒGHDを襲ったサイバー攻撃とその影響
私たちの生活にも関わる問題
今年9月末、アサヒグループホールディングス(GHD)が大規模なサイバー攻撃を受けました。受発注や配送、コールセンター、人事や会計といった会社の基幹システムが一斉に止まり、事実上業務がストップする事態になったのです。その後、攻撃が「ランサムウェア」と呼ばれるものであることが公表されました。システムの一部が暗号化され、動かせなくなったのです。すぐには復旧できず、供給が止まるのではという不安が広がったため、アサヒは「生産は再開している」と発表しました。これは消費者や取引先に安心してもらうためのメッセージでもありました。実際、工場や配送網そのものは壊れていないため、応急的な運用を組み合わせ、主力商品だけでも出荷を続ける動きが取られていると考えられます。
今回の出来事は、ここ数年相次いでいる大企業へのサイバー攻撃の一つです。KADOKAWA、カシオ計算機、HOYAなども被害に遭っており、企業は対策を強化しています。しかし、どれだけ厳重な防御をしても「100%安全」という状態は存在しません。攻撃者はまだ見つかっていない脆弱性を突いたり、人のちょっとした操作ミスや不注意を利用したりして侵入します。つまり、技術と人の両面が狙われるのです。
だからこそ大切なのは、「攻撃されるかもしれない」という前提に立った備えです。バックアップを取るのは当然ですが、それだけでは不十分です。企業が継続して活動できるように、復旧計画(BCP)を現実的に整えておく必要があります。そして机上の計画で終わらせず、実際に動く仕組みかどうか、定期的に点検や訓練をすることが欠かせません。
今回復旧が難航している理由の一つは、アサヒが使っている「ERP」と呼ばれる基幹システムの仕組みにあります。ERPは受注から在庫、出荷、会計、人事までを一元管理する便利なシステムですが、一部が壊れると全体に影響が出てしまいます。昨年も食品大手グリコが同じような障害で出荷停止に追い込まれ、復旧に数週間を要した例がありました。便利さと引き換えに、リスクが集中してしまうのです。
さらに今回は「情報漏えいの可能性」も取り沙汰されました。アサヒが被害を公表すると、「Qilin(キリン)」というランサムウェア集団が関与を名乗り出ました。9,300ファイル、約27ギガバイトのデータを盗んだと主張し、ファイルの一部とされる画像も公開したのです。ただし、これは攻撃者が「交渉材料」として脅迫に使う可能性が高く、真偽の検証が必要です。偶然にも、この名前が競合のキリンホールディングスと同じであるため、混乱を招きやすく、消費者や投資家に誤解を与えるリスクすらあります。
同時期には海外でもサイバー攻撃が相次ぎました。オープンソース事業で有名なレッドハットのサーバが狙われ、犯行グループ「Crimson Collective」が570GBものデータを盗んだと主張しました。しかしレッドハットは「機密性の高い情報は含まれない」と説明し、被害を限定的だとしています。攻撃者の言葉をそのまま信じることはできず、誇張やデータ捏造の可能性もあります。
こうした状況を踏まえれば、アサヒが攻撃元などの詳細を公表していないのは妥当な判断だといえます。拙速な発表は新たな脅迫や虚偽情報の拡散を招き、かえって被害を広げる危険があるからです。重要なのは「供給計画」など消費者や取引先に関わる情報を正しく伝える一方で、攻撃経路や被害範囲の詳細は慎重に扱うことです。
サイバー攻撃は技術だけでなく、情報をめぐる駆け引きでもあります。今回のアサヒの件は、私たちの生活に直結する商品供給の不安を通じて、サイバー攻撃がいかに身近で深刻な問題かを示しました。便利なデジタル社会に暮らす私たちにとっても、これは決して他人事ではないのです。