アサヒグループホールディングスは11月27日、サイバー攻撃による情報漏洩に関する記者会見を開催した。
同社は9月29日付でランサムウェア攻撃によるシステム障害発生を公表、その後、個人情報が流出した可能性を発表していた。調査が完了したとして、11月26日、個人情報保護委員会に報告を行ったという。
会見には、アサヒグループホールディングス 取締役 兼 代表執行役社長 Group CEO 勝木敦志氏、アサヒグループホールディングス 取締役 兼 執行役 Group CFO 﨑田薫氏、アサヒグループジャパン 代表取締役社長 兼 CEO 濱田賢司氏が参加した。
-
左から、アサヒグループジャパン 代表取締役社長 兼 CEO 濱田賢司氏、アサヒグループホールディングス 取締役 兼 代表執行役社長 Group CEO 勝木敦志氏、アサヒグループジャパン 代表取締役社長 兼 CEO 濱田賢司氏
被害状況
調査の結果、攻撃者は同社グループ内の拠点にあるネットワーク機器を経由してデータセンターのネットワークに侵入し、ランサムウェアが実行され、ネットワークに接続する範囲で起動中の複数のサーバや一部のパソコンのデータが暗号化されたことが明らかになった。被害に遭ったPCの台数は37台だという。
侵入経路は「リスクになるので公開できない」としながらも、「これまでVPNを使っていたが、廃止した」と勝木氏は語った。
データセンター内のサーバに保管されていた個人情報は流出の可能性があるが、インターネット上に公開された事実は確認されていない。情報漏えいが発生またはそのおそれがある個人情報の内訳は以下の通り。
| 対象者 | 内容 | 件数 |
|---|---|---|
| アサヒビール・アサヒ飲料・アサヒグループ食品のお客様相談室に問い合わせした人 | 氏名、性別、住所、電話番号、メールアドレス | 152.5万件 |
| 祝電や弔電などの慶弔対応を実施した社外の関係先 | 氏名、住所、電話番号 | 11.4万件 |
| 従業員(退職者を含む) | 氏名、生年月日、性別、住所、電話番号、メールアドレスなど | 10.7万件 |
| 従業員(退職者を含む)の家族 | 氏名、生年月日、性別 | 16.8万件 |
情報漏洩が確認された人、情報漏洩の恐れがある人に対しては、法に従って順次通知を行う。
ランサムウェア攻撃と言えば、暗号化したデータを復号するために身代金を要求されるケースが多いが、勝木氏は「攻撃者と接触していないので、身代金の交渉は行っていない」と語った。
-
アサヒグループホールディングス 取締役 兼 代表執行役社長 Group CEO 勝木敦志氏
システムの復旧状況
同社はサイバー攻撃を受けてから約2カ月にわたり、ランサムウェア攻撃の封じ込め、システムの復元作業および再発防止を目的としたセキュリティ強化に取り組んできたという。
外部専門機関によるフォレンジック調査や健全性検査、追加のセキュリティ対策を経て、安全性が確認されたシステム・端末から段階的に復旧する計画だ。
勝木氏は、ランサムウェアの被害から普及できた要因として、バックアップがあったことを挙げた。ただ、バックアップがあってもすぐにそのデータを戻すことはできず、フォレンジックの結果に基づき、普及を進めたとのこと。
工場で稼働しているシステムは無傷だったため、工場は稼働しているが、出荷に関わるシステムが復旧していない。現在、Excelなどを活用して人力で受発注、出荷を行っているが、12月から物流関連のシステム復旧に伴い、システムによる受注・出荷を再開する予定。
アサヒグループ食品は12月2日より受注を再開、11日以降の納品分から対応し、アサヒビールとアサヒ飲料は12月3日から受注を再開し、12月8日以降の納品分から対応する。全商品の出荷再開は2月まで難しいという。勝木氏は「システムを使ってできるようになることで、劇的に変わると見ている」と述べた。
なぜ、調査結果の公表に時間がかかったのか?
攻撃が明らかになってからこんかいの会見まで約2カ月。これだけの時間がかかった理由について、勝木氏は「社内、社外に被害が拡大しないことを最優先に慎重に対応した。封じ込めを行い、安全な通信を確保しつつ、専門家の意見を得て丁寧にシステムを復旧してきた。手順を踏んだので時間がかかった」と説明した。
ちなみに、調査を遅らせるボトルネックが特にあったわけではなく、「慎重に対応した結果」として、勝木氏は慎重な対応を行ったことを強調していた。
また、勝木氏は「不確かな段階で、ネットワークの安全性が確保されていない状態で、情報を開示することはリスクがあると考えていた。サイバー攻撃の状況を公開すると、攻撃者に手の内を明かすことになる。社会に対する影響を考える必要もあった」とも語っていた。
今回、できる対応がすべて完了し、復旧の目途が立ったので、会見を開き報告を行うことにしたという。
これまでのセキュリティ対策、BCPは甘かったのか?
アサヒGHDほどの規模の企業なら、セキュリティ対策もそれなりに講じていたはずだ。にもかかわらず、被害は拡大してしまったのか。
勝木氏は、これまでのセキュリティ対策について、「NISTのサイバーセキュリティフレームワークを用いて診断し、一定レベルのアセスメントができていたので、十分な対策ができていると考えていた。また、模擬攻撃も実施してリスクにも対策を講じていた」と説明した。
そして、「今回の攻撃は、われわれの認識を超えた巧妙な攻撃だった。これは反省点。安全性を高めることに限界はないので、より高度なセキュリティを確保できるよう今後に生かす」と、同氏は述べた。
また、10日前から侵入を受けていたにもかかわらず、検知できなかったことについては、「EDRを導入していたが、攻撃者が巧妙かつ高度だったので、検知できなかった。EDRのレベルを上げることが課題」とした。
勝木氏は、再発防止策について、ゼロトラストの概念に従って安全なネットワークを構築すること、EDRなどを強化して攻撃検知の精度を向上させることを紹介した。
BCPについては、「手作業で出荷できた点で機能した」と勝木氏は語った。9月29日にシステムの障害が発生しながらも、10月2日には出荷を開始した。ただ、「復旧までに時間がかかったので、BCPがよかったとは思っていない。改善が必要と考えている。今後、ゼロトラストに移行する中で、迅速に復旧できるようにする」と、同氏は今後のBCPの在り方を示した。
セキュリティ対策に終わりはないと言われるが、アサヒGHDの発表からもそのことがうかがえた。EDRを導入し、バックアップがあっても、復旧に数カ月かかってしまう。これからもサイバー攻撃が止むことは考えられず、改めて自社のセキュリティ対策を再点検したいところだ。
なお、勝木氏は「お客様の暖かな言葉やお叱りを通じて、われわれの商品やサービスがおいしさ、喜び、うるおいを届けていたことを実感した。時間はかかったが、復旧のめどがたったのは社員の頑張りがあったからであり、社員がいかに頼もしいかを実感した。月並みではあるが、社員を誇りに思った。不適切な表現ではあるが、経営者冥利に尽きる」と語っていた。AI時代といえど、最後に踏ん張りがきくのはやはり人なのだろう。
GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応
