バケツの穴は一つで十分 ― アサヒとアスクルを襲ったランサムウェアの共通構造
2025年の秋、大手企業2社が立て続けにランサムウェア被害を受けました。攻撃の入口は違いますが、構造は同じです。中小企業の経営者が自分ごとにすべきポイントを整理します。
セキュリティの世界にはよく使われる比喩があります。「バケツの穴」です。バケツに穴が10個あっても、塞いだ9個は関係ない。残り1個から水は漏れます。
2025年の秋、この比喩をそのまま体現する事件が立て続けに起きました。アサヒグループホールディングス(9月)とアスクル(10月)、2社が相次いでランサムウェアに襲われました。
2社の事件を並べてみる
| アサヒグループHD | アスクル | |
|---|---|---|
| 侵入経路 | VPN機器の脆弱性 | 委託先アカウント(MFAなし) |
| 潜伏期間 | 約10日 | 約4ヶ月 |
| 業務停止 | 受注・出荷・物流が約4〜5ヶ月停止 | EC全面停止10日、Web受注再開まで約1.5ヶ月 |
| 漏洩件数 | 約191万件 | 約74万件 |
| 主な被害 | 従業員・取引先の個人情報 | 顧客・取引先・従業員の個人情報 |
攻撃の入口は違います。でも構造は同じです。どちらも「一つの穴」から入られた。
アサヒの穴:VPNと弱いパスワード
アサヒグループHDへの侵入経路は、外部接続用のVPN機器(社外から社内ネットワークに安全につなぐためのリモート接続装置)でした。そこからパスワードの脆弱性を突いて管理者権限を奪取し、ランサムウェアを展開しました。
この構造に見覚えがある方もいると思います。2021年の徳島・半田病院の事件と同じです。VPN機器の既知の脆弱性、パスワードの管理不備、責任の所在が曖昧なまま放置された機器。大企業でも、同じ穴が開いています。
アスクルの穴:MFAの「例外」
アスクルの侵入経路はより具体的です。業務委託先に付与していたアカウントに、例外的にMFA(多要素認証:パスワードに加えて別の確認手段を組み合わせる仕組み)を適用していなかった。そのアカウントのID・パスワードが漏洩し、攻撃者の入口になりました。
以前書いたMFAの記事で「ID/パスワードだけのリスク」に触れましたが、アスクルの事件はその応用編で、MFAに例外を作ったアカウントが直接の侵入口になりました。委託先だから、手間をかけたくなかったから、例外にした。結果として、最大74万件の個人情報漏洩が公表されました。
被害はアスクル単体にとどまりません。アスクルのECシステムを利用していた無印良品やロフトの通販にも影響が波及しました。BtoB・BtoCを問わず、物流インフラを担う企業がやられると、そのサプライチェーン全体が止まります。
4ヶ月間、攻撃者はすでに中にいた
アスクルの事件で特に注目すべきは、侵入から攻撃まで4ヶ月かかっていることです。
この4ヶ月間、攻撃者は何をしていたか。静かに社内を探索し、どこに何のサーバーがあるかを把握し、管理者権限を広げ、バックアップの場所を特定していました。そして準備が整った10月19日、ランサムウェアを一斉展開しバックアップも同時に削除しました。
「気づいたときにはもう手遅れ」という状態です。
ここで「イミュータブルバックアップ(削除・上書きできない設計)があれば助かったのでは」と思う方もいるかもしれません。半分正解です。攻撃当日にバックアップを消されることは防げます。ただし潜伏期間より長い期間のバックアップを保存していたか、という別の問題が残ります。
3ヶ月分しかバックアップを持っていなければ、どこまで遡っても攻撃者がすでに侵入していた期間のデータです。復元しても、感染した環境に戻るだけかもしれません。つまりバックアップは「攻撃当日を生き残る」ための手段であり、潜伏期間が長ければ長いほど、バックアップだけでは完全な復旧は難しくなります。
ではなぜ4ヶ月も気づけなかったのか。ログは取っていても、それをリアルタイムで監視する体制がなかったからだと考えられます。オンプレミス環境では、ログが存在していても誰も見ていないケースがほとんどです。
バックアップの限界を補うのが、早期検知の仕組みです。AWS などのクラウド環境には GuardDuty のような異常検知サービスがあります。通常とは異なるアクセスパターンやAPIの呼び出しを自動的に検知し、アラートを出します。潜伏期間が数週間で止まれば、バックアップから戻せる可能性は大きく上がります。
経営者が向き合うべき2つの本質的なリスク
技術的な話は続きましたが、経営者として最終的に向き合うべきはシンプルな2点だと思います。
顧客データが漏洩する。これまで信頼関係を築いてきた取引先や顧客の情報が、外部に流出します。謝罪、問い合わせ対応、場合によっては賠償。ビジネスの信頼が根こそぎ失われる可能性があります。
これまでの業務データが全て破壊される。受注履歴、契約書、財務データ、顧客とのやり取り。バックアップごと暗号化・削除されれば、それらは戻りません。事業の継続自体が危うくなります。
どちらも、大企業だけの話ではありません。
経営者が今日確認すべき3つのこと
-
委託先・外部業者のアカウントにMFAを適用しているか確認する。「面倒だから」「先方が対応できないから」という理由でMFAを外しているアカウントがあれば、そこが次のアスクルになる可能性があります。
-
バックアップを「消されない設計」にして、かつ長期間保存する。攻撃当日の削除を防ぐには、クラウドストレージの「バージョニング」機能や「イミュータブルバックアップ」の設定をITベンダーに確認してください。保存期間は長いほど有利ですが、潜伏期間が保存期間を超えると完全復旧は難しくなります。バックアップだけで安心しないことが重要です。
-
クラウドサービスを使っているなら、異常検知機能を有効にする。バックアップの限界を補うのがこれです。多くのクラウドサービスには異常アクセスを検知する機能が標準で備わっています。有効になっているか、アラートが誰に届く設定になっているか、一度確認してみてください。早期に検知できれば、バックアップが有効な範囲で止められます。
締め
アサヒもアスクルも、セキュリティを軽視していたわけではないと思います。それでもやられた。バケツの穴が一つあれば十分だからです。
完璧なセキュリティはありません。ただ、穴の数を減らすことはできます。MFAの例外をなくす、バックアップを守る、異常に気づける仕組みを持つ。この3つは、中小企業でも今日から動ける話です。