Asahi Confirms 1.5 Million Customers Affected in Major Cyber-Attack
2025/11/27 InfoSecurity — 2025年9月に大規模なサイバー攻撃を受けたビール大手の Asahi Beer は、約 200万人分の個人情報が漏洩した可能性があると発表した。11月27日に発表した新たな報告で述べられたのは、9月と10月の一時的な操業停止につながった、サイバー攻撃に関する調査の初期結果である。
調査の結果として結論付けられたのは、約 191万4千人の個人情報 (顧客 152万5千人) の漏洩に関する可能性があるというものだ。顧客以外で影響を受けた個人に含まれるのは、Asahi Group Holdings の現従業員/元従業員/その家族/同社から祝電や弔電を受け取った社外関係者などである。
漏洩の可能性があるデータは以下のとおりである。
- 氏名
- 性別
- 生年月日
- 住所
- メールアドレス
- 電話番号
なお Asahi Beer は、クレジットカード情報は漏洩していないことを確認している。
さらなる業務中断の可能性
Asahi は侵害調査に2ヶ月を費やし、根本原因の分析と整合性チェックを行い、ランサムウェアの封じ込め/システムの復旧/将来のインシデント防止のためのセキュリティ強化に取り組んだとしている。
Asahi Group Holdings の President and Group CEO である Atsushi Katsuki は、今回の中断により生じた迷惑について公式に謝罪した。彼は、「再発防止策を講じ、グループ全体の情報セキュリティを強化しながら、可能な限り早期のシステム完全復旧に向けて全力を尽くしている。製品の供給については、システム復旧の進捗に伴い、段階的に出荷を再開している」と付け加えている。
Immersive の Senior Manager of Cyber である Kevin Marriott は、「顧客データの盗難により、Asahi チームが直面しているプレッシャーは増大する。業務が完全に復旧するまでには、2ヶ月を要する可能性もある」と強調している。
Asahi の 2025 年度売上高への潜在的な影響
Asahi Group Holdings は、Asahi ブランドのビールに加え、イタリアの Peroni/チェコの Pilsner/ハンガリーの Dreher といった、複数のビール・ブランドを所有する巨大コングロマリットである。
同グループの 2024年グローバル売上高は、約 2.94 兆円と予測されている。この数値は、2023年比で 2.1% 増となる。今回のインシデントが Asahi の 2025 年度決算に及ぼす潜在的な影響は、現在精査中であるとのことだ。
ManageEngine の英国/アイルランド責任者である Shankar Halidas は、このような攻撃により事業の中断の可能性があることを、すでに Asahi が 2024年度の報告書で認め、セキュリティ体制の見直しを進めていたことに言及した。
彼は、「これまで以上に、それぞれの企業がデジタル防御に投資してきたが、攻撃者たちはサプライチェーンの脆弱な部分を悪用し、信頼できるパートナーを介して侵入している。依然として、攻撃側が防御側を凌駕しているという、広く認識されている事実を反映している」と付け加えている。
Qilin ランサムウェア・グループが犯行を主張
9月下旬にシステム障害に見舞われた Asahi Beer は、日本での事業を一時停止した。この混乱に巻き込まれたのは、受注と出荷/コールセンター/カスタマー・サービスデスクなどの部門である。
その後に Asahi は、このインシデントがランサムウェア攻撃によるものであり、サーバから不正なデータ転送が行われたことを認めた。
同社における混乱は、10月を通して沈静化することはなかった。また、サイバー攻撃の影響により、10 月に発売が予定されていた新製品の発売も延期された。
10月7日にコンシューマ向け Web サイト Comparitech が明らかにしたのは、Qilin ランサムウェア・グループが自身のデータ漏洩サイトに Asahi Beer の名を掲載し、同社から 27GB のファイルを盗んだと主張していることだった。
Qilin は、被害者から金銭を受け取っていなくてもデータを漏洩する、二重恐喝攻撃で知られている。Immersive の Kevin Marriott は、「Asahi の顧客は、最新情報を確認しながら状況の進展を注視し、今後の数ヶ月間は迷惑メールに注意してほしい」と警告している。
Avanade の Global Security Practice Technology Lead である Jason Revill は、「Asahi へのサイバー攻撃が浮き彫りにするのは、運用技術 (OT)/情報技術 (IT) ネットワークにおけるリスクの増大である。規模や業種を問わず、すべての組織にとってゼロトラスト原則が重要である理由が明らかにされた」と付け加えている。
彼は、「今回の侵害は、ある拠点のネットワーク機器から始まり、OT 環境に影響を与え、IT システムにまで拡大し、顧客データの漏洩へと至った可能性がある」と締め括っている。
Asahi Beer が受けたサイバー攻撃において、何が攻撃者に悪用されたのでしょうか。ネットワーク機器から侵入され、OT から IT まで影響が広がったとされますが、組織内の境界が曖昧になりやすい構造にリスクがあったのかもしれません。サプライチェーンや信頼するパートナー経由で侵入される可能性にも触れられており、防御の多層化が必要になることを、この記事は促しているように思えます。なお、文中では触れられていませんが、Qilin は BPH (bullet proof hosting) を利用しているという説もあります。
IoT OT Security News 
You must be logged in to post a comment.