大手企業が、システムをのっとられて稼働できなくさせられたうえで身代金要求という事件が相次いでいます。
近年、日本国内外で 「ランサムウェア攻撃」 による被害が急増しています。これは、企業のサーバや業務システムを不正侵入によって暗号化し、「元に戻したければ身代金を支払え」 と脅迫するサイバー犯罪です。
🧠 背景
- 攻撃者は主に「ランサムウェア」というマルウェアを使います。
- 感染経路は、メール添付ファイル、VPN脆弱性、リモートデスクトップ(RDP)の乗っ取りなど。
- 目的は金銭ですが、近年は「二重脅迫」が主流で、
① データを暗号化して使用不能にし、
② さらに盗み出した情報を公開すると脅す
という手口です。
🏢 日本でも実際に起きている主な事例
| 年 | 企業・団体 | 影響内容 |
|---|---|---|
| 2022年 | トヨタ関連企業(部品メーカー) | システム停止により全工場が一時停止 |
| 2023年 | 港湾物流システム | コンテナ出入管理が停止し物流が滞る |
| 2024年 | 医療機関・自治体 | 電子カルテや行政システムが使用不能に |
| 2025年 | 製造・建設業を中心に被害拡大 | 生産ライン停止・請求業務停止など重大被害 |
🔒 被害の特徴
業務停止期間が長期化(数日〜数週間)
バックアップも暗号化されるケースが多い
情報流出による取引先・顧客への二次被害
復旧費用や賠償費用が莫大(数億円規模も)
🛡 対策の方向性
多層防御の徹底
- OS・ソフト更新、脆弱性対応
- 多要素認証(MFA)の導入
- 不要なリモート接続の遮断
バックアップ体制の強化
- オフラインまたはクラウドに隔離保存
- 定期的な復元テスト
メール・ダウンロード監視
- 添付ファイル・リンクの検査
- EDR(Endpoint Detection & Response)の導入
インシデント対応計画の整備
- 万一の際の連絡経路、法的対応、広報対応を明確に
- 警察(サイバー犯罪対策課)・NISCへの通報ルート確保
社員教育
- 「不審メールを開かない」「USBを差さない」など基本動作の徹底
そして、いま現在、被害が発生したままの大きな事案が2つあります。
アスクル株式会社(以下「アスクル」)およびアサヒグループホールディングス株式会社(以下「アサヒGHD」)のサイバー攻撃/ランサムウェア被害です。
アサヒグループホールディングス(アサヒGHD)の事案
概要
- 2025年9月29日、アサヒGHDは「サイバー攻撃を受け、国内グループ会社のシステム障害が発生した」と発表。 INTERNET Watch+1
- 同日、国内の受注・出荷業務およびコールセンターなどの顧客対応業務を停止。 テレ朝NEWS+1
- 復旧の目処は発表時点では立っておらず、原因や侵入経路についても「調査中」とされていました。 セキュリティネクスト+1
- 後続報で、攻撃は「ランサムウェア」の可能性が高いと報じられています。 城咲子|情報システム部セキュリティ担当のつぶやき(ぼやき)+1
- また、一部流出の可能性がある取引先情報の存在も確認され始めています。 サイバーセキュリティナビ+1
影響範囲・状況
- 酒類・飲料・食品の国内グループ会社で受注・出荷が停止したため、スーパーや飲食店で商品の欠品・納入遅延が生じています。 テレ朝NEWS+1
- 新商品発表会が中止になった等の影響も報じられています。 FNNプライムオンライン
- 個人情報の大規模流出は公式には確認されていないものの、完全に否定されておらず調査が継続中です。 INTERNET Watch+1
ポイント・考察
- 製造・流通を担う大企業がターゲットとなった典型例で、「物流・受注・出荷」など“業務の根幹”に影響が出ています。
- 復旧に時間がかかるタイプの攻撃と見られ、時間経過とともに被害範囲が明らかになる可能性があります。
- 取引先・サプライチェーンにも波及しており、単一企業の被害に留まらない連鎖リスクがあります。
アスクル株式会社(アスクル) の事案
概要
- 2025年10月19日、アスクルは「ランサムウェア感染によるシステム障害が発生した」と公表しました。 Impress Watch+1
- 受注・出荷業務を停止し、法人向け通販「ASKUL」、個人向け「LOHACO」、購買支援サービス「ソロエルアリーナ」など複数のサービスに影響が出ています。 セキュリティネクスト+1
- また、物流子会社である ASKUL LOGIST株式会社 による物流業務も停止。これにより提携先(例:無印良品)のオンラインストアにも影響が出ています。 Acronis+1
- 復旧の明確な時期は未定。影響範囲(顧客データ流出など)についても現在調査中。 サイバーセキュリティ総研+1
影響範囲・状況
- 注文済みの品も、出荷できないため「キャンセル扱い」となるという発表があります。 ITmedia+1
- サプライチェーンとして、自社だけでなく提携小売・物流網にも影響が波及しています。 Acronis+1
- 顧客・取引先に対して影響の説明、影響範囲の公表が進んでおり“経営責任・説明責任”が問われる局面です。
ポイント・考察
- Eコマース・物流を主軸にした企業構造が、今回の攻撃で脆弱性として露呈しました。
- 組織外部(物流委託・提携先)との連携があるため、自分のところで止まっていても“被害の波及”を制御しづらいことが明らかになりました。
- 復旧が遅れると、企業ブランド・信頼にも影響が出るため、情報公開・対策実装の迅速性が重要です。
3. 両事件に共通/対策観点からの示唆
- どちらも「ランサムウェアまたはそれに準ずる攻撃」が原因と見られています。
- 業務の根幹(受注・出荷・物流・生産)に影響が出ており、単なるIT部門の障害では済まない事態となっています。
- サプライチェーン上で関連企業・委託先に影響が波及しており、自社だけでなく「取引先・委託先」のセキュリティも重要です。
- 復旧・原因究明・公表が時間を要しており、企業としてのガバナンス・危機管理能力が問われています。
アサヒGHD(Asahi) と アスクル(Askul) に関する、現時点で公表・報道されている事実を踏まえた 攻撃手法(TTP:手口)・想定される脅威グループ・影響範囲の詳細分析 と 今後の見通し(短〜中期) です。
1) 攻撃手法(TTP:戦術・手順) — 共通点と個別留意点
共通の典型的手口(報道・脅威情報から推定)
- 侵入経路:フィッシング/認証情報窃取/VPN・RDPの不正利⽤
- ランサムウェア被害の多くはメールの標的型フィッシングや、公開されたリモート接続サービス(RDP/VPN)の脆弱性・認証突破から始まることが多い。今回の報道でも初期侵入手段は調査中だが、典型的な経路が疑われる。サイバートラスト株式会社
- 横移動と特権取得
- 一度ネットワーク内に侵入すると、Active Directoryやドメイン管理権限を狙って横展開、バックアップや管理サーバへ到達して暗号化する。これによりバックアップまで破壊・暗号化されるケースが散見される。サイバートラスト株式会社
- データの窃取(外部持ち出し)+二重脅迫(double extortion)
- 単にファイル暗号化するだけではなく、先にデータを抜き取り(Rclone等のツールが多用される)、公開をちらつかせる二重脅迫が主流。アサヒではネット上に流出痕跡が確認されたとの報告がある。アサヒグループホールディングス+1
- ランサムウェアの配布・暗号化
- 最終段階でランサムウェアを展開し、業務系ファイルや受注システム等を暗号化。結果として受注・出荷やコールセンター機能が停止する。両社とも業務基盤が機能停止した。ASKUL+1
アサヒ個別のポイント
- 攻撃グループ「Qilin」が名乗りをあげているという情報があり、同グループが「データ窃取」→「公開(あるいは身代金要求)」を行う傾向があると指摘されている。流出したファイルの量や種類(財務、従業員ID、契約書等)が報告されている報道もある。Check Point Research+1
アスクル個別のポイント
- 物流・EC・受注・子会社の物流拠点まで影響し、注文のキャンセルや出荷停止等、サプライチェーン全体へ波及。既に一部流出(問い合わせデータ等)を同社が確認しており、なりすましメール等の二次被害リスクが想定される。ASKUL+1
2) 想定される脅威グループ(誰がやったか)
- アサヒ:Qilin(キリン)を名乗るグループがクレームを出しているという脅威情報・報道が複数出ている。Qilinは2025年以降に活動を活発化させたランサムウェアグループとして報告されている。企業側は常に「自称」の主張を慎重に検証しているため、最終的な確証は調査結果次第。Check Point Research+1
- アスクル:報道では“ロシア系のハッカー集団”と示唆する記事もあるが、公式は調査中。ランサムウェアの犯行声明や流出データ上の手掛かり(暗号化に使われたバイナリ・要求ファイルの文面等)が解析されれば、特定が進む。The Japan Times+1
注:脅威グループ名の“名乗り”はしばしば行われるが、実際は「複数のグループが同じツールを使う」「仲介者(affiliate)モデル」などで混乱することが多く、正式な結論はフォレンジック結果待ちになります。
2) 想定される脅威グループ(誰がやったか)
- アサヒ:Qilin(キリン)を名乗るグループがクレームを出しているという脅威情報・報道が複数出ている。Qilinは2025年以降に活動を活発化させたランサムウェアグループとして報告されている。企業側は常に「自称」の主張を慎重に検証しているため、最終的な確証は調査結果次第。Check Point Research+1
- アスクル:報道では“ロシア系のハッカー集団”と示唆する記事もあるが、公式は調査中。ランサムウェアの犯行声明や流出データ上の手掛かり(暗号化に使われたバイナリ・要求ファイルの文面等)が解析されれば、特定が進む。The Japan Times+1
注:脅威グループ名の“名乗り”はしばしば行われるが、実際は「複数のグループが同じツールを使う」「仲介者(affiliate)モデル」などで混乱することが多く、正式な結論はフォレンジック結果待ちになります。
3) 影響範囲の詳細(実被害・波及リスク)
直接影響(公表されたもの)
- 受注・出荷システム停止 → 注文処理不能、出荷停止、出荷トライアルで段階的復旧へ。アサヒは一部の工場で生産再開報告あり。アスクルは一部の顧客・サービスでキャンセル処理。アサヒグループホールディングス+1
- 顧客・取引先情報の外部流出確認(アスクルは問い合わせデータなど一部情報の流出を公表)。アサヒも流出ファイルがネット上に確認されたとする報道あり。ASKUL+1
二次的・波及被害
- サプライチェーン(小売、流通、提携メーカー)への影響:出荷停止により店舗での欠品、代替調達コスト増大。特に年末商戦・繁忙期にタイミングが合えば売上・ブランドに大きなダメージ。ウォール・ストリート・ジャーナル+1
- フィッシングや不正利用:流出情報を使ったなりすまし攻撃や不正ログイン、二次被害が発生する可能性。アスクルはユーザーへの注意喚起を実施。ASKUL
- 法的・規制対応/開示コスト:個人情報保護委員会等への報告、顧客補償、訴訟リスク、サイバー保険の引き上げ。ASKUL
4) 技術的な特徴・痕跡(フォレンジックで注目すべき点)
- 初期アクセスの痕跡(VPNログ、RDP接続ログ、メールのリンクアクセスログ)をまず洗い出す。
- 横移動ログと特権昇格の痕跡(Kerberos/ADイベント、管理イベント、sudo/privilege use)を調査。
- **外部への大量ファイル転送(Rclone, scp, cloud storage)**の通信痕跡。暗号化前にデータが抜かれているかどうかを判断するために重要。サイバートラスト株式会社
- ランサムウェアバイナリのハッシュ/ドロッパー/C2通信をキャプチャして既知の脅威インテリジェンスと照合。
5) 今後の見通し(短期〜中期)
- 短期(数週間)
- いくつかのサービス/工場は段階的復旧するが、完全復旧には時間がかかる。メーカー流通業では年末商戦前の在庫調整が課題。ウォール・ストリート・ジャーナル
- 流出情報を使ったフィッシング等二次被害が増える可能性が高い(アスクルが既に警告)。ASKUL
- 中期(数か月)
- 被害企業は調査・補償・対策強化でコスト増。サプライチェーン把握や委託先へのセキュリティ要求が強まる。
- サイバー保険料の上昇、保険適用条件の厳格化、監査・外部評価の頻度増加が予測される。
- 戦略的トレンド
- 二重脅迫型ランサムウェアが引き続き主流で、重要インフラ・流通・製造が狙われやすい。Check Point Research
- 攻撃者は「サプライチェーンの弱点」を突くため、委託先/外部ベンダーの脆弱性を悪用するケース増。これにより被害が減りにくくなる。
6) 企業(経営・CISO・現場)への具体的な示唆(優先順)
- 即時対応(緊急)
- 重要業務の手作業代替フロー(受注→ピッキング→出荷)を確立し、事業継続を優先。
- 全従業員に対して流出情報を悪用したフィッシング警戒を通達。ASKUL
- 短期(技術)
- 外部接続(RDP/VPN/管理ポータル)を最小化し、MFAを全てのリモート管理に強制。
- EDR・ログ収集・SIEMで横移動・異常ファイル転送を即検出できる体制を整備。サイバートラスト株式会社
- 中期(体制)
- 復旧可能なバックアップを “オフサイト/オフライン” で保持、定期的に復元テスト。
- サプライチェーン/ベンダー評価の強化(アクセス権限最小化、監査/MFA/脆弱性管理)。
- 広報・法務
- 被害対応に関する透明性ある情報公開、関係機関(警察・個人情報保護委員会等)との連携。既に各社が通報・公表している。アサヒグループホールディングス+1
参考(主要ソース — 重要主張に紐づく出典)
- アサヒGHD公式:サイバー攻撃発表・その後の更新(システム障害・データ流出調査)。アサヒグループホールディングス+1
- 脅威インテリジェンス報告(Qilin がアサヒを名乗った件、流出ファイルの報告等)。Check Point Research+1
- アスクル公式:ランサムウェア感染による受注・出荷停止、外部流出の公表。ASKUL+1
- 報道系まとめ(Business Insider / The Guardian / WSJ 等)による影響報道(出荷停止、在庫逼迫リスク、部分復旧報道)。Business Insider Japan+2
セキュリティが大きく取り上げられる中、実際に事故、事件が発生するところの根本的な部分にある要素としてはアカウントとパスワードという古典的な部分にあります。ここからは私の想像の部分や考えになりますが、報じられている内容から推測するに何らかの手段で、おそらくフィッシングなどでパソコンの情報を取得され、そのなかにVPNへのログイン情報を取得し、そのあとは段階的に権限のあるアカウント情報が盗まれていったと考えます。
[1] フィッシング→初期侵入:攻撃者は人を狙うことで最も容易に境界を突破できます(悪意ある添付/URL、正規アプリを装ったマクロなど)。
[2] VPN/RDPなど外部アクセスポイントは“長い棒”のように社内に直通するため、ここを奪われると内部ネットワークへ急速に侵入できる。
[3] そこからは横展開(Active Directory の認証情報・サービスアカウント奪取)→バックアップや管理サーバを破壊/暗号化→業務停止、という流れが一般的。
この「端末情報(資格情報・セッション情報)が奪われる→それでVPNログイン→権限昇格・横移動」は現実に良くある典型的な攻撃チェーンです。
そして、まさか、こんなことが起こることなんて想定してないし、始めて対応することになった人が、やるしかないと思えるのだろうか?と、すぐやるべき初動について考えていこう。
3) すぐにやるべき「初動(最優先)」チェックリスト(現場で即行動)
- 検知・隔離
- 侵害が疑われる端末はネットワークから即時切断(ただしフォレンジックのため電源切断は慎重に)。
- セッション無効化/資格情報の封鎖
- 該当ユーザのセッションをログオフ、VPNセッションを切断、該当アカウントのパスワードを強制リセット(ただし「全アカウント一斉変更」は障害を増やすこともあるので優先度付きで)。
- 多要素認証(MFA)強制
- 管理者・VPN・リモートアクセス全てでMFAを即強制(可能ならパスワード+MFAが無効化されているセッションは切る)。
- ログの確保
- VPNログ、ファイアウォールログ、プロキシログ、ADイベントログ、SIEM の該当時間範囲のログをすべて保全(タイムスタンプを保持)。
- バックアップの保護
- 現行バックアップを隔離(オフライン/別保管)し、暗号化済みかどうかを確認。
- 関係各所への通報
- 内部のインシデント対応チーム、外部IR(フォレンジック)ベンダー、法務、経営、必要に応じて警察(サイバー担当)へ通報。
- 外部通信遮断(必要に応じて)
- 異常なC2通信が疑われる場合はサーバ/ネットワークレベルでの遮断を検討。
- 情報共有と一次周知
- 全社向けに「不審メールを開かない」「不明なURLはクリックするな」などの緊急注意喚起を行う。
ここで「フォレンジック」
💻 ITフォレンジック(デジタルフォレンジック)とは
サイバー攻撃や情報漏えいなどの事件・事故が起きたあとに、
その原因・経路・影響範囲を科学的に調べる「デジタル調査・証拠分析」 のことです。
🧩 目的
- 何が起きたのか(発生経緯・侵入経路)
- どの情報が影響を受けたのか(被害範囲・流出の有無)
- 誰が何をしたのか(攻撃者の行動・内部関与の有無)
- 再発を防ぐために何を直すべきか(恒久対策)
これらを、法的証拠としても使えるように、ログやデータを正確に分析するのがフォレンジックです。
🔍 具体的に何をするの?
フォレンジックの専門家(またはCSIRTチーム)は、こんな作業を行います。
| フェーズ | 内容の例 |
|---|---|
| ① 証拠保全 | 改ざんされないように、PC・サーバ・ネットワーク機器のデータを丸ごとコピー(ディスクイメージ・メモリダンプ) |
| ② ログ分析 | OS・アプリ・VPN・メール・ファイアウォールなどのログから、いつ誰が何をしたかを時系列で整理 |
| ③ マルウェア解析 | 侵入に使われたプログラムやファイルを逆解析し、感染経路や通信先を特定 |
| ④ タイムライン再構成 | 「最初の侵入→横展開→暗号化→流出」までの全経路を時系列で再現 |
| ⑤ 報告書作成 | 原因・影響範囲・対策をまとめ、経営陣・警察・保険会社などへ提出 |
⚖️ 「法的に通用する」ことが重要
フォレンジックは、単なる技術調査ではなく、
- 証拠が改ざんされていないこと(真正性)
- 調査手順が再現できること(再現性)
- 分析結果が第三者にも説明できること(説明責任)
を重視します。
そのため、専門のツールや手順(Write Blocker、Hash値検証など) を使って慎重に扱います。
🧠 たとえるなら…
「警察が現場を封鎖して、指紋・防犯カメラ・足跡をすべて集めて事件を再現する」
── それを サーバやパソコンの中でやる のが「フォレンジック」です。
🚨 企業での実践例
- サイバー攻撃を受けた企業が、外部の フォレンジック専門会社(デジタルアーツ、ラック、トレンドマイクロなど) に依頼して調査。
- 復旧とは別に、「どこから侵入されたか」「何が盗まれたか」を法的責任や再発防止のために明確にする。
- 結果は、警察や個人情報保護委員会への報告、顧客への説明資料 に使われます。
フォレンジックの現場検証の具体的な手順とか、どんなコマンドたたくんだよとか気になるでしょ。これは次回
