9月、10月と国内大手企業のサイバー攻撃被害が頻発した。アサヒグループホールディングス（以下、アサヒHD）とアスクルの事例は、ともにランサムウェア攻撃によるものと発表されている。立て続けに発生しているので、攻撃に関連性や特別な意図があるのでは、などと考えがちだが、ここは冷静に被害状況や原因を分析したほうがいい。

緻密な生産システム・サプライチェーンほど被害大きく

アサヒHDは、9月29日にサイバー攻撃による被害の第1報を発表した。一時は商品の出荷停止、キャンペーンの中止など業務に大きな影響を与えた。10月8日時点の第3報では、国内6工場での製造は10月2日から再開され、一部銘柄の出荷再開、再開調整中とし、14日付の第4報で個人情報が流出した可能性について公表した。



同社の発表によれば、攻撃はランサムウェアによるもので国内のシステム障害につながった。業務システムのみの障害だが、システムエラーが実際の業務を止めることは、いまや珍しくない。サプライチェーンも緻密に制御されムダがない分、一カ所でも想定外の動きをするだけで影響は全体に及ぶ。

アサヒビールは、鮮度や特殊な製法の製品にこだわった銘柄が多いので、独自の出荷システム、ロジスティックス（「フレッシュマネジメント活動」による生産計画から物流までの統合管理により製造から出荷までの日数短縮を目指している）を持っている。このことも被害を大きくした要因だろう。

実は、同様の事例は自動車業界でも起きている。2022年トヨタグループの主要サプライヤーの1つがランサムウェアの被害に遭った。樹脂製品を作るサプライヤーへの攻撃で発注システムが被害を受け、出荷伝票が発行できなくなった。

この障害によって、連携する取引先にデータが届かないことになる。サプライチェーン上のシステムデータ、在庫情報、決済データの整合がとれなくなり、システム全体が止まる。工場の製造ラインや物流トラックなどは無傷なのに、トヨタ本体の完成車組み立て工場まで影響が及び、生産全体が止まった。

アスクルの場合もランサムウェアによるシステム障害から、ECサイトのサービスが止まっている。第1報は10月19日付、続く22日付の第2報では物流システムに障害を確認し物流センターが止まっていると発表した。そして29日付の第3報で手運用による出荷スキームを構築し、東京・大阪の2拠点で出荷業務のトライアル運用を開始したと公表している。



影響はアスクル以外にも及んだ。配送事業をアスクルに委託していた良品計画も同20日付で「無印良品」ネットストアの受注停止を発表するなど、こちらの影響は他社のサプライチェーンにまで広がっている。

時代にあわせて進化するランサムウェア

ITシステムやクラウドは、もはや社会インフラの1つであり、トラブルや障害による連鎖は予測不能なまでに拡大するという認識が必要である。現代のサイバー攻撃では、攻撃側もこの状況を見透かして、より効果的な手法を進化させてきている。ランサムウェアも例外ではなく、むしろその典型例と言ってもよい。

世界初のランサムウェアは1989年に確認された「AIDS Trojan」と言われている。このウイルスは、HIV/AIDSに関する国際会議の出席者に、フロッピーディスクの形で送られた。感染後、PCが90回起動されると、ハードディスクの中身を暗号化し、「ライセンス料」を要求するものだった。ちなみに犯人側の要求では「ライセンス料はAIDS治療薬開発に寄付する」となっていた。

同様のウイルスやマルウェアは、その後しばらく確認されなかったが、2010年ごろから、ハードディスクを暗号化し、復号のための身代金を要求する、ランサムウェアが急激に増え始めた。このときは、PCなどに感染したら、即暗号化を始めてすぐに画面に警告文を表示させてPCをロックしていた。被害も個人のPCや業務用のPCにとどまっていた。

攻撃者はさらにランサムウェアを強化してくる。標的は個人や単体のPCから企業システム、サーバーを狙うようになった。そのほうが高額の身代金を要求できるからだ。

10年代後半から20年代になると、ランサムウェア攻撃は、もっぱら企業向けの事例が多くなっていった。標的は、金融機関や病院、インフラ事業者など身代金による脅しが効果的なところに集中しだす。いつの時代も犯罪者は時代の変化に敏感であり柔軟に対応してくるものだ。

暗号化さえ不要とする暴露型ランサムウェアの台頭

攻撃者はさらに凶悪化する。暗号化によるシステムダウン、業務停止だけでは満足せず、標的の重要データを盗み出し、文字どおり人質として身代金を要求するようになった。

いわゆる「暴露型」「二重脅迫型」と呼ばれるランサムウェアの台頭だ。この変化が意味するところは、ランサムウェアは、標的のデータをすぐに暗号化するのではなく、警告を発する前に、侵入先のシステム内部を探索して重要なデータを盗み出しているということだ。

初期侵入は社員のPCなど（主にフィッシングメールが入り口）だが、その後外部との通信路（バックドア）を確保し、侵入したシステムに有効な武器（マルウェア）をダウンロードし、業務サーバーへと感染を広げる（横展開）。標的の財務データや機密情報、顧客名簿や取引情報など「金目」のものを抜き出したあと、データの暗号化を行い、脅迫に移る。

このような動きは、脅迫する部分を除くと、これまでAPTと呼ばれる高度な標的型攻撃（多くは国が関与するサイバー攻撃）に用いられていた手法だ。しかもこの攻撃では、重要データの窃取がポイントであり、暗号化は標的を動揺させるためのデモンストレーションでしかなくなっている。

アサヒHDやアスクルの事例は、業務データや機密データが一部流出したという情報もあり、詳細を各社・当局が調査をしている。おそらく暴露型ランサムウェアによる攻撃だったはずだ。ランサムウェア攻撃は新しい局面に入っているのである。

アサヒHDの攻撃では「Qilin」というランサムウェアグループが攻撃を行ったとされる。Qilinは麒麟の中国語読み（チーリン）のことだが、グループはロシア系とされる。このグループ、またはQilinランサムウェアによる攻撃は2025年9月以降だけでも世界中で被害が報告されている。

特定のグループが日本を集中的に攻撃している可能性を指摘する声もある。また、7月にSAP（ERPの世界的大手SIer）が脆弱性情報を公開したことを受けて、その脆弱性を利用した攻撃ではないかと分析する専門家もいる。

現時点では詳細は不明だが、原稿執筆時点で2社への攻撃の関連性を断定できる情報はない。日本で大規模な被害が連続した状況が特殊かというと、これもそうでもない。

まず、25年に入ってQilinの活動が活発化しており、被害報告が増えているのは事実だ。だが、Qilinはランサムウェアの名前として使われることもあれば、Qilinランサムウェアを利用するグループを指す言葉としても使われる。

現在のランサムウェア攻撃は、RaaS（Ransomware as a Service）と呼ばれるプラットフォームによって行われる。実際の攻撃はプラットフォーム利用者が行い、身代金をプラットフォームとシェアする形が主流だ。

したがって、Qilinランサムウェアの被害を受けたからといって、同じ攻撃者、攻撃グループによるものとは限らない。

次に、このようなRaaSによる攻撃は世界レベルで見ると、悲しいかな日常茶飯であり、日本だけ特別に被害が増えているとはいいがたい。アメリカのセキュリティ企業CYFIRMAの8月のレポートでは、25年は2月にランサムウェア攻撃のピークがあり、その後8月まで500件以上の前年比で高い数字の推移を記録している。

9月の主立った企業だけでもジャガー・ランドローバー、Collins Aerospaceなどが大きな被害を発生させている。Collins Aerospaceは、ヒースロー空港の発券システムに影響が及び大きな混乱を招いた。

このように、視点をグローバルに向ければ、アサヒHDやアスクルのような事例が、特殊とはいえない。同様の攻撃は各地で発生している。被害が大きくなったのは、前述したとおり、現在の企業システムやインフラが複雑化しているためである。特定の組織やグループが日本企業を狙ったというより、無数の攻撃アクターやアフィリエイトの攻撃が9〜10月に日本で2件連続して成功したと判断するほうが自然だ。

「見えない敵を正しく怖れて」対策を

暴露型・二重脅迫型のランサムウェアの攻撃では、脅迫に使うデータの存在や対処も重要だ。

攻撃者は、脅迫を極大化させるため、窃取した情報の一部を公開しつつ、標的を動揺させる。たとえは適切でないかもしれないが、誘拐した人質の指や歯を送りつけるようなものだ。

また、情報の一部公開や犯行声明などで世論や大衆を扇動する。ニュース報道やネットの情報を見た一般人が、興味本位で被害や公開された情報を拡散するのは、まさに攻撃者が想定するシナリオだ。騒ぎが大きくなるほど、被害者は身代金交渉で不利な立場に立たされる。

だが、攻撃者側が絶対的に有利とは限らない。脅迫がはったりではないことを示すためには、被害者には重要なデータを持っていると認識させる必要がある。そのため小出しに情報をリークしていくことがあるが、ひょっとすると、それ以上のデータを持っていない可能性さえある。隠し玉がどこまであるのかは交渉での探り合いになる。

ランサムウェア攻撃では、脅迫相手のペースに乗らないこと。見えない敵を正しく怖れる態度が求められる。

ここで重要になるのは、システムの実際の侵害状況の把握だ。攻撃者がいつからシステム内の探索を行っていたかの特定は難しい（APT攻撃では侵入から発覚まで数カ月から1年以上が普通である）。また、どのデータがコピーされたのかの特定も簡単ではない。

確実な基準は、リークサイトやアンダーグラウンドマーケットを調べて、自社のデータがあれば漏洩したことになるが、見つからなければ漏洩していないとは、言い切れない。

それでも、ログ情報や外部情報を丹念に調べて、持ち出された可能性のあるファイルをどこまで絞れるかがカギとなる。

異常検知機能の強化が対策の基本

漏洩した、盗まれたとされるデータのサイズだけで、実際の被害インパクトの断定はできない。犯人側の主張や情報に惑わされないのは、被害企業だけでなく一般消費者にとっても欠かせない。

以前のランサムウェア対策は、システムやデータのバックアップが大原則だった。バックアップはシステム復旧に今でも有効だが、暴露型・二重脅迫型では、漏洩データの保護には関係がない。

持ち出されたデータを、インターネット、アンダーグラウンドから消すことは不可能だ。身代金を払ったとして、それが削除される保証はない。実際、身代金の「おかわり」を請求される被害企業も存在する。

漏洩したデータについて、回収が不可能とするなら、事後にできることはそれらの情報を使えなくする、価値をなくすくらいのことしかできない。IDやパスワードならそれらを刷新する。認証システムや業務システムをそっくり入れ替える。といった対応が考えられる。

またランサムウェア攻撃の入り口は、フィッシングメールやリモートワークのためのシステム（VPN装置やリモートデスクトップ環境）がほとんどとされている。そのため、フィッシングメールや不審な外部通信の検知機能を強化するのが対策の基本となる。

（中尾 真二 ： ITジャーナリスト・ライター）