●この記事のポイント
・アサヒGHDを襲った大規模ランサムウェア攻撃。身代金を拒否した結果、機密情報が流出する事態となった。経営者が迫られた「払うか、流されるか」という究極の判断を検証する。
・「身代金不払い」という企業倫理は正しかったのか。専門家の視点から、支払っても解決しない現実や、ダークウェブ公開が持つ“見せしめ”の意味を読み解く。
・今回の事件は、サイバー保険では信用やブランドは守れない現実を浮き彫りにした。日本企業が学ぶべき教訓と、経営リスクとしてのサイバー対策の本質を問う。
2025年9月、国内ビール最大手のアサヒグループホールディングス(GHD)を襲った大規模サイバー攻撃は、日本企業にとって極めて重い問いを突きつけた。
同社は、ランサムウェア攻撃を仕掛けたハッカー集団からの身代金要求を明確に拒否した。その結果、盗み出されたとされる機密情報の一部がダークウェブ上に公開され、約191万件に上る個人情報流出リスクが浮上する事態となった。
「犯罪者に屈しない」という企業倫理と、「顧客情報を守る」という実利。そのどちらを優先すべきだったのか。本稿では、アサヒGHDの判断を軸に、日本企業が直面するランサムウェア時代の経営判断、そしてサイバー保険では埋められない“空白”について掘り下げる。
●目次
発端は2025年9月29日。アサヒGHDの一部システムで大規模な障害が発生し、受注や物流管理に深刻な影響が出た。国内各地のスーパーやコンビニで主力商品「スーパードライ」が品薄となり、サイバー攻撃が実体経済に直結する現実を多くの消費者が目の当たりにした。
後に明らかになった攻撃の概要は以下の通りだ。
攻撃者:ロシア系とされるランサムウェア集団「Qilin(キリン)」
手口:ネットワーク機器の脆弱性を突いて侵入し、データ暗号化と同時に情報を窃取する「ダブルエクストーション(二重脅迫)」
被害規模:従業員、取引先、顧客など最大約191万件の個人情報流出の可能性
影響:物流の完全復旧まで数カ月、決算発表の延期という異例の事態
単なる「システム障害」ではなく、事業継続(BCP)そのものを揺るがす危機だった。
今回の事件で最も注目を集めたのが、アサヒGHD経営陣による「身代金は支払わない」という明確な意思決定である。
「支払わない」という原則
勝木敦志社長は記者会見で、「身代金の支払いは犯罪組織の資金源となり、さらなる攻撃を助長する」「支払ってもデータが完全に戻る保証はない」と述べた。これは警察庁や内閣サイバーセキュリティセンター(NISC)が示す原則に沿った対応だ。
サイバーセキュリティコンサルタントの新實傑氏は次のように指摘する。
「原則論としては“身代金は支払うべきではない”というのが、日本政府や警察当局の公式見解だ。ただ、現場で経営者と向き合っている立場から言えば、その判断は決して机上の空論では済まない。実際には、『払わなければ数百万件の個人情報が即日公開される』『主要事業が数週間止まる』といった極限状況で、数十億円規模の事業価値と数億円の身代金を天秤にかけることになる。
アサヒGHDの判断は、企業倫理と長期的視点を優先したものだが、同じ判断をすべての企業が下せるかと言えば、正直かなり厳しい」
それでも存在する「支払う」という現実解
一方、現実の企業経営では話は単純ではない。海外ではもちろん、日本国内でも水面下で身代金を支払い、事態の沈静化を図るケースは存在する。
特に、顧客の個人情報や技術機密が人質に取られた場合、「情報流出を防ぐ」ことを最優先し、経営判断として支払いを選ぶ例もある。
同氏はこう続ける。
「誤解されがちだが、身代金を払ったからといって“元通り”になるケースはほとんどない。一部の攻撃者は復号ツールを渡すが、データの一部が破損していたり、復旧に数カ月かかったりすることも多い。さらに深刻なのは、データが本当に削除されたかを確認する術が一切ない点だ。
むしろ『一度払った企業』は、“金を出す前例がある”として再攻撃の対象になりやすい。短期的な延命策が、長期的なリスクを増幅させることもある」
アサヒGHDは、情報流出のリスクを承知の上で、コンプライアンスと企業倫理を優先したといえる。
アサヒ側が身代金要求を拒否すると、Qilinは次の一手に出た。盗み出したと主張する約27GB分のデータを、ダークウェブ上のリークサイトに公開したのである。
公開されたとされる内容には、財務関連資料、契約書、社内文書、従業員の個人情報などが含まれるという。
これは単なる報復ではない。「身代金を払わなければ、こうなる」という他企業への見せしめの意味合いが強い。
結果論で見れば、アサヒGHDは「情報を流される」という最悪のシナリオを現実にした。しかし、仮に身代金を支払っていたとしても、データが本当に削除された保証はなく、再度脅迫されるリスクも残っていた。
「今回のように、身代金拒否後にデータを公開するのは、アサヒGHD個社への報復というより、“次はお前たちだ”という業界全体へのメッセージだ。ランサムウェア集団は企業名とブランド力をよく見ている。知名度が高い企業ほど、“見せしめ効果”が大きいからだ。
そういう意味で、アサヒGHDは非常に厳しい立場に置かれたが、日本企業全体の将来を考えれば、誰かが引き受けざるを得ない役回りだったとも言える」
多くの企業がサイバー攻撃対策として加入しているのが「サイバー保険」だ。しかし、今回の事例は、その限界を浮き彫りにした。
保険でカバーできるもの
・フォレンジック調査費用
・弁護士費用、危機管理対応費用
・コールセンター設置費用
・損害賠償請求への対応費用
・システム停止による逸失利益(特約)
カバーできないもの
・身代金そのもの(多くの保険で対象外、または非推奨)
・失われた信用・ブランド価値
・流出した情報の完全回収
前出の新實氏は断言する。
「サイバー保険に入っているから大丈夫、という考え方は非常に危険だ。保険がカバーするのは、あくまで事故後の処理コストにすぎない。
ブランドの毀損、顧客からの信頼低下、取引先との関係悪化といった“目に見えない損失”は、どんな保険でも補償できない。経営者が本当に守るべきなのは、システムではなく“信用”だという点を、今回の事例ははっきり示している」
アサヒGHDの事例は、日本企業に三つの厳しい教訓を突きつけている。
第一に、侵入を防ぐ以外に本質的な解決策はないという現実だ。VPN機器やネットワーク機器の脆弱性対策は、もはや「ITコスト」ではなく「経営防衛投資」である。
第二に、身代金を拒否するなら“流出前提”の危機管理が不可欠だ。広報対応、顧客説明、補償まで含めたシナリオを事前に用意しておく必要がある。
第三に、サプライチェーン全体の統制である。子会社や海外拠点が弱点となり、そこから侵入されるケースは後を絶たない。
「ランサムウェア対策で最も重要なのは、“侵入されないこと”に尽きる。身代金を払うかどうかを議論する時点で、すでに最悪の局面に追い込まれている。VPN機器の更新や権限管理、子会社・海外拠点を含めた統制は、もはやIT部門任せにしていい話ではない。
今回のアサヒGHDのケースは、『サイバー攻撃は経営リスクそのものだ』という事実を、日本企業全体に突きつけた事件だと思う」
アサヒGHDの判断は、企業倫理としては正しかった。しかし、その痛みはあまりに大きい。ランサムウェア時代において、日本企業は「払うか、流されるか」という二者択一の前に立たされている。その現実から目を背けないことこそが、次の被害を防ぐ第一歩となる。
(文=BUSINESS JOURNAL編集部)