ランサムウェアの攻撃を受けたアサヒビール(写真:共同通信社)
目次

(小林 啓倫:経営コンサルタント)

 2025年9月29日、日本最大のビールメーカーであるアサヒグループホールディングス(アサヒGHD)が大規模なランサムウェア攻撃を受けた。報道されている内容を総合すると、国内30工場の大半で生産が停止し、受注・出荷システムが全面的にダウンする事態に陥っており、攻撃から1週間以上が経過した10月8日現在も完全復旧の目途は立っていない。

 コンビニや飲食店での商品不足、サプライチェーン全体への波及など、企業の枠を超えた影響も続いており、株価はおよそ7%下落、財務影響は数百億円規模に達する可能性が指摘されている。

 この事件については、経済的なインパクトの大きさもさることながら、そこで使用されている攻撃手法にも注目が集まっている。

 10月7日にロシア語圏のランサムウェアグループ「Qilin(キリン)」が犯行声明を発表した際、同グループは約27GBのデータを窃取したと主張し、その中に「マイナンバーのコピー」を含む従業員の個人データが含まれていることを明示した。

 これは現代のランサムウェア攻撃における戦術的進化、すなわち「二重脅迫(Double Extortion)」と「規制遵守の武器化(Weaponization of Regulatory Compliance)」という手法の典型例だ。

 そもそもランサムウェア攻撃とは、攻撃者が被害者のPCやITシステム等をマルウェアで暗号化し(暗号化されたシステムは復号されるまで使い物にならない)、復号に必要な「鍵」が欲しければ金銭を払えと被害者を脅す手法を指す。

 暗号化されたシステムが「人質」となり、「ランサム(身代金)」を払うまで解放されないことから「ランサムウェア攻撃」と呼ばれている。

 二重脅迫とは、こうした従来の脅迫に加え、マルウェア感染の際に被害者のPCやシステムから機密データを盗み出しておき、それらを「ダークウェブなどで公開するぞ(嫌ならば金を払え)」と脅す「第2の脅迫」を組み合わせ、身代金支払いの圧力を高める手法だ。

 これは既に一般的に行われるようになった攻撃戦術だが、そこに近年加わっているのが、「規制遵守の武器化」である。

 この点について詳しく見ていく前に、まずは今回のランサムウェア攻撃についてまとめておこう。