無題
- Geronimo
URL
2025/12/01 (Mon) 10:46:33
ランサム被害、グループ拠点から侵入 アサヒ「想定上回る巧妙な手口」 出荷正常化は来年2月以降
アサヒグループホールディングス(GHD)は、ランサムウエア(身代金要求型ウイルス)によるシステム障害の調査結果を公表した。サイバー攻撃を防ぐためのセキュリティー監視機能を導入していたが、「想定を上回る巧妙な手口」でシステムの脆弱性を突かれた。システムの復元を急ぎ、2026年2月以降の正常化を目指す。
アサヒGHDの勝木敦志社長ら経営陣が11月27日に記者会見を開き、説明した。サイバー攻撃を受けてから経営陣が公の場に姿を見せるのは初めて。勝木社長は「多くのお客様、関係先の皆様に多大なるご迷惑をおかけしている」と陳謝した。
■個人情報191万件が流出の恐れ
アサヒGHDは外部有識者らの専門チームをつくり、流出した疑いのある情報を調べた。その結果、顧客や社員などの個人情報が計191万4000件流出した恐れがあることが判明。このうち社員の個人情報18件がダークウェブ(闇サイト群)に漏洩したことも確認した。
アサヒGHDのシステム障害は9月29日午前7時ごろに発覚した。調査報告によると、社員に貸与したパソコンのほか、データセンターのサーバー内から個人情報などが漏洩した可能性がある。
システム障害が発生する10日ほど前にアサヒGHDのグループ拠点のネットワークに侵入され、データセンターのパスワードや管理権限が奪われた。29日早朝にサーバーからランサムウエア攻撃が一斉に実行され、従業員のパソコン端末のデータの一部が暗号化された。
同社はパソコンなどの端末でセキュリティー上の脅威を検出するEDR(エンドポイント検知・対応)を導入していた。ただ、今回受けたサイバー攻撃については検知できなかった。勝木社長は「対策は一定のレベル以上できていた。攻撃者の手段が想定を上回って巧妙かつ高度だった」と認めた。
今回の事案では「Qilin(キリン)」を名乗るグループがダークウェブに犯行声明を公表していた。勝木社長は「攻撃者とは接触していない。バックアップが生きており、自力で復旧できると判断した」と説明している。
身代金については「支払っていない。要求があったとしても応じるつもりはなかった」と述べた。仮に支払ったとしてその事実が明らかになれば、他の攻撃者に「標的として狙われる」。追加攻撃を受けるリスクが高まると考えたという。
■バックアップデータで順次復旧へ
サイバー攻撃の影響で停止していた受発注システムは段階的に復旧させる。食品事業についてはシステムによる受注を12月2日に再開する。酒類と清涼飲料事業については3日を計画している。
出荷正常化は26年2月以降となる見通しだ。発生から約5カ月かかることになる。現在は外部専門家らを起用し、セキュリティーの再検証を進めている。安全性が確認できたシステムや端末から順次、バックアップデータを使って復旧させる。
足元では営業担当者らが電話やファクスで注文を受け付け、手作業で集計する形で事業を継続している。主力の酒類事業については11月1~20日までの月次売上高を前年同期比約2割減の落ち込みにとどめた。
今回は被害企業の情報開示姿勢も注目された。アサヒGHDはシステム障害の発生から記者会見まで約2カ月を要した。勝木社長は「社会に対する影響の大きさを考えた。個人情報の漏洩の恐れがあり、慎重に確認作業を進めていた」と説明し、「安全性が確信できない中での情報開示には相当なリスクがあった」という。
■専門家「国全体への攻撃とみて対策を」
危機管理広報に詳しい日本リスクマネジャー&コンサルタント協会副理事長の石川慶子氏は「サイバーテロに対して断固とした態度を示した点は重要だ」と評価する。その上で「業界団体や政府を巻き込み、国全体への攻撃とみて対策を強化すべきだ」と話した。
アサヒGHDは再発防止策として、通信経路やネットワーク制御を再設計するなどセキュリティー対策を見直す。今後のサイバー攻撃に備えてデータのバックアップ体制を強化するほか、事業継続計画(BCP)を再設計する方針を示した。
サイバー被害、相次ぐ解決金 防御の穴、顧客がベンダーの責任追及 過失割合 基準求める声
IT(情報技術)ベンダーが、サイバー攻撃を受けた顧客に解決金を支払う事案が相次いでいる。NTT東日本が前橋市に敗訴した前橋地裁判決をきっかけに、賠償のハードルが下がったとの指摘がある。一方、双方に過失があった場合、責任割合の判断が複雑で、考え方の基準を整備する必要があるとの声が上がる。今後、ベンダー側がリスク回避のために委託費を引き上げる可能性もある。
「相手方は解決金として9500万円を支払う義務があることを認める」。前橋市は6月、2018年の教育系ネットワークへのサイバー攻撃を巡り、システム移築を請け負ったNTT東に損害賠償を求めた訴訟で、東京高裁の和解案を受け入れることを表明した。
市側の主張をほぼ全面的に認めた一審・前橋地裁判決は、弁護士費用を除き約1億3000万円の支払いを命じた。和解では遅延損害金などの調整金を考慮すると約4割減となった。
一審判決や検証報告書によると、攻撃者が侵入に使った脆弱性は市に管理責任があった。ただし侵入箇所と、生徒などの個人情報などを扱う重要なサーバーとの間には、通信を制限する「ファイアウオール」をNTT東が設置していた。同社は通信のブロック設定がないテスト段階のまま納入したため、攻撃者は容易にサーバーに到達できた。
NTT東は一審では、ブロック設定の状況を市は認識していたと主張し、賠償責任を否認した。このため市が脆弱性を放置したことによる過失相殺は二審から争点となった。市側の弁護団の一人は「二審判決で過失相殺が大きく認められるリスクも鑑みて和解を受け入れた」と話す。
逸失利益を加算
22年の大阪急性期・総合医療センター(大阪市)へのランサムウエア(身代金要求型ウイルス)攻撃でも25年8月、院内システムの構築・保守を統括するNECを含む契約先3社が連帯し、10億円を支払うことで和解した。解決金が膨らんだのは、十数億円以上と見積もられた逸失利益が加算されたためとみられる。
調査委員会の委員長を務めた大阪大の猪俣敦夫教授によると、センター側がベンダーとの責任分担を不明瞭にしていた一方、NECも下請け業者の監督が不十分だった。攻撃が広がりやすい脆弱なパスワード設定など多くの問題を生んだ。
猪俣教授は「病院側も適切な運用管理の体制を欠いており、予想を上回る金額だった」と話す。その上で「ベンダー側は今後、よりセキュリティーを重視し、その分が契約費に跳ね返る可能性もある」と指摘する。
立命館大の上原哲太郎教授は「クラウド移行や複数のベンダーとの契約でシステムが複雑化する中で、ベンダー1社が全体を見渡すのは難しくなっている。顧客側はベンダーに丸投げする体質を改め、専門家を内部で育成する必要がある」と説明する。
組織内にセキュリティーの知見がなければ対策や金額が適切かを判断するのも難しく、顧客側は取り組みの強化も欠かせない。
一方、ベンダー側がとるべき対策は何か。NTT東、NECは取材に対し具体的に回答しなかったが、サイバー攻撃を巡る訴訟に詳しい山岡裕明弁護士は「保守運用の責任や義務の範囲を契約書に明示したり、顧客側の役割の説明を記録に残したりするなど、訴訟に備えた証拠の準備が必要になる」と話す。
責任限定認めず
顧客側がベンダーに賠償を求めるケースは今後も続く可能性がある。
前橋市の訴訟の一審判決が提訴のハードルとなっていた「責任限定契約」を退けた影響も大きい。ベンダーの一般的な契約条項で、責任を直接的損害に限定し、返金は一定期間の契約金額を上限とするなどと定める。地裁はNTT東の対策不備を重過失と認め、条項は適用されないとした。
山岡弁護士は「交通事故のように過失割合の基準を整理し、社会的にリスクとその分担の予見可能性を高めるべきだ」と語る。これまでの訴訟はサイトの脆弱性で個人情報を盗まれるといった単純な攻撃事例が多く、ベンダー側の責任が主な議論となった。しかし、ランサム攻撃などシステム内を攻撃者が動き回る場合、複数の過失が被害を広げる形になるため、ベンダーと顧客の責任の分担の判断は難しくなる。
7月には社会保険労務士向けクラウドサービス「社労夢」への23年のランサム攻撃を巡り、社労士らが大阪地裁に集団訴訟を提起した。ベンダーのエムケイシステムに対する請求額は3億円を超える。代理人の森悟史弁護士は「人件費など幅広い項目の賠償が認められた前橋地裁判決は主張の支えになる」と語る。
社労士が顧客から契約を解除されるなどした逸失利益の損害賠償が裁判で認められるかが注目される。(寺岡篤志)
「保険でカバー」広がる
2024年にランサム攻撃を受けた情報処理サービスのイセトー(京都市)も委託元との和解を進めているもようだ。住民の個人情報が流出した愛知県豊田市にはコールセンターの設置費用など約3561万円を支払った。市の担当者は「請求の満額を受け取った」と語る。
個人情報保護委員会によると、事件で影響を受けた自治体や企業は約100に上る。ある専門家は「顧客への支払いもカバーするサイバー保険で費用を確保したのではないか」とみる。
サイバー保険は損保各社が成長分野として期待する。半面、保険ですべてを補填すればモラルハザードにつながるリスクもある。
シンクタンク、サイバーセキュリティ・イノベーション委員会の落合正人客員研究員は、所属する保険業界の経験から、失火法を参考に過失割合の基準作りを進めている。「解決金支払いの条件となり得る重過失は、判例から『故意に近い顕著な注意欠如の状態』とされる。技術者が提言した問題を経営者側が看過した場合など、様々なケースで考え方を整理していく」という。