【事件発生編】沈黙の10日間と「ビールが消えた日」
2025年9月29日、日本の飲料業界を揺るがす未曾有の事態が発生した。なぜ、あのアサヒグループのシステムは沈黙し、市場からビールが消えたのか。その裏側にあったのは、緻密に計算された「静かなる侵入」だった。
1. 衝撃の第一報:2025年9月29日、月曜日の激震
2025年9月29日、午前7時。週明けの業務が始まろうとしていたその瞬間、アサヒグループホールディングス(以下、アサヒGHD)のデータセンターで異変が検知されました。
複数のサーバーでファイルが開けなくなり、画面には「Qilin」と名乗る犯罪グループからの脅迫メッセージが表示される――。日本の飲料業界最大手が誇る巨大なデジタルインフラが、ランサムウェアによって一瞬にして「人質」に取られた瞬間でした。
そもそも「ランサムウェア」とは何か?(クリックで解説を展開)
ランサムウェア(Ransomware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、感染したコンピュータのデータを暗号化して使用不能にし、その復旧と引き換えに金銭(身代金)を要求する不正プログラムのことです。
1. データの暗号化
業務に必要な文書、画像、データベースなどを特殊な技術でロックし、開けない状態にします。
2. 二重脅迫(ダブルエクストーション)
近年主流の手口です。「データを復旧したければ払え」だけでなく、「払わなければ盗み出した機密情報をネットに公開する」と二段階で脅迫します。
3. RaaS(サービスとしてのランサムウェア)
今回のQilinのように、攻撃ツールを「パッケージ化」して提供する組織が存在し、高度な技術を持たない犯罪者でも大規模な攻撃が可能になっています。
2. 潜伏期間の恐怖:「10日前」には既に城門は破られていた
事後の調査で、衝撃の事実が判明します。攻撃が目に見える形になったのは29日でしたが、攻撃者はその**約10日前**には既に社内ネットワークへの侵入を果たしていました。
この「潜伏期間(Dwell Time)」の間、彼らは決して派手な動きはしませんでした。暗闇の中、彼らが行っていたのは以下のような「偵察」と「準備」です。
- 内部偵察: どこにバックアップがあり、どこに最重要データ(顧客情報やERP)があるかの特定。
- 権限昇格: IT管理者のアカウントを乗っ取り、システム全体を操作できる鍵を手に入れる。
- 防御の無効化: セキュリティソフトが作動しないよう、密かに設定を書き換える。
まさに、城の中に忍び込み、全員が寝静まった夜に一斉に放火する機会をうかがっていたのです。
3. 物理世界への波及:モノはあるのに「動かせない」絶望
システム停止の影響は、IT部門の部屋を飛び出し、全国の工場や物流拠点へ波及しました。主力商品「スーパードライ」をはじめとする飲料が、市場から消え始めたのです。
デジタルが止まると、トラックが止まる
工場にはビールがあり、倉庫にも在庫はある。しかし、**「どの商品を、どのトラックに、どれだけ積んで、どこへ運ぶか」**という指示データが出せない。在庫管理システムがダウンしたことで、物流網は完全に麻痺しました。
アナログBCPの限界:FAXと手書きの戦い
現場では、電話やFAXを用いた「アナログ運用」による必死の復旧試行が続けられました。しかし、通常の10%程度まで落ち込んだ出荷能力では、数千万人の需要を支えるには到底及びませんでした。
4. 二重脅迫:Qilinの要求と企業の誇り
攻撃主体となった「Qilin(麒麟)」は、単にデータをロックするだけでなく、**「金を払わなければ窃取した27GBの機密データを公開する」**という二重脅迫を仕掛けてきました。流出が懸念された個人情報は約190万件。
しかし、アサヒGHDは屈しませんでした。身代金の支払いを拒否し、たとえ復旧に時間がかかろうとも、犯罪グループとの交渉を行わないという毅然とした態度を貫きました。この決断は、後に日本企業のサイバーセキュリティの在り方に一石を投じることとなります。
次回予告:仮想化基盤の死角
なぜ、これほどまでに被害が拡大したのか。その鍵は、アサヒGHDが導入していた**「VMware ESXi」という仮想化基盤への集中攻撃**にありました。次回、攻撃の技術的な急所を深掘りします。
