2025年9月29日午前7時ごろ、アサヒグループホールディングスのシステムで障害が発生し、調査の過程でファイルの暗号化を確認した。同日午前11時ごろには被害拡大を防ぐためネットワークを遮断し、データセンターを隔離する措置を講じた。

その後の調査で、障害発生の約10日前に外部攻撃者がグループ内拠点のネットワーク機器を経由して侵入していたことが判明。主要データセンターに到達後、パスワードの脆弱性を悪用して管理者権限を奪取し、不正取得したアカウントで内部ネットワークを探索していたとみられる。主に業務時間外に複数サーバーへ侵入と偵察を繰り返していたという。

被害状況

• 複数サーバーおよびゼロトラスト移行前の一部従業員PCが暗号化

• ゼロトラスト移行前のPC内データの一部が窃取

• 従業員貸与PCの一部データが流出

• データセンター内サーバーに保管されていた個人情報については流出の可能性あり（インターネット上での公開は現時点で確認されていない）

なお、今回の影響は日本で管理しているシステムに限定されているとしている。

封じ込め対応

被害拡大防止のため、以下の緊急措置を実施した。

• リモートアクセスVPN、約300拠点間ネットワーク、クラウド接続専用回線を全面遮断

• 横展開防止のためインターネット回線を遮断し、データセンターを完全隔離

• データセンター内の全システムを停止

• バックアップデータ保全のためバックアップシステムを一時停止

これにより業務システムへのアクセスができない状態となった。

フォレンジック調査を実施

同社は外部専門機関によるフォレンジック調査を実施。各システムの健全性検証とともに、侵害の有無や影響範囲の特定を進めている。

引き続き原因究明と復旧対応を進めるとともに、再発防止策の強化を図る方針だ。

引用元記事：https://internet.watch.impress.co.jp/docs/news/2087007.html