アサヒグループ、サイバー攻撃で個人情報191万件漏洩の恐れ勝木社長が謝罪

アサヒグループホールディングスは11月27日、サイバー攻撃によるシステム障害の調査結果を発表し、傘下のアサヒビール、アサヒ飲料、アサヒグループ食品などへ問い合わせをした顧客や社員らの個人情報が計191万4000件漏洩した恐れがあることを明らかにしました。東京都内で開かれた記者会見で、勝木敦志社長は「多くのお客様や関係先に多大なるご迷惑をおかけしていることを心よりお詫び申し上げます」と謝罪しました。システム障害が発生した9月29日以降、経営陣が公の場で説明するのは今回が初めてとなります。

同社の発表によると、漏洩の恐れがある個人情報の内訳は、お客様相談室に問い合わせをした顧客の氏名、性別、住所、電話番号、メールアドレスが152万5000件と最も多く、全体の約8割を占めています。そのほか、祝電や弔電などの慶弔対応を実施した社外関係先の情報が11万4000件、従業員（退職者含む）の情報が10万7000件、従業員の家族の情報が16万8000件となっています。従業員に貸与していた一部のPC端末からはデータ流出が確認されましたが、インターネット上で公開された事実は現時点で確認されていないとしています。

調査の結果、システム障害発生の約10日前に外部の攻撃者がグループ内拠点のネットワーク機器を経由してアサヒグループのネットワークに侵入し、パスワードの脆弱性をついて管理者権限を奪取していたことが判明しました。攻撃者は主に業務時間外に複数のサーバーへの侵入と偵察を繰り返し、9月29日早朝に一斉にランサムウェア（身代金要求型ウイルス）を実行したとみられています。この攻撃に関しては、ロシア拠点のハッカー集団「Qilin（キリン）」がインターネット上に犯行声明を掲載しており、財務情報や事業計画書、従業員の個人情報など27GB以上のデータを盗んだと主張しています。

勝木社長は会見で、攻撃者とは接触しておらず身代金は支払っていないことを明言しました。同社は被害拡大を防ぐことを最優先とし、「封じ込めも含めて安全な通信を確保しつつ、専門家の知見や支援も得ながら、丁寧に慎重にシステム復旧を進めてきた」と説明しています。セキュリティ対策について勝木社長は「十分なセキュリティー対策を保持していると考えていたが、それを超える巧妙な攻撃を受けた」と述べ、より強固な対策を取る考えを示しました。

12月からシステム復旧を開始、完全回復は来年2月以降の見通し

今回のシステム障害により、アサヒグループは国内の受注・出荷業務が停止し、多くの工場で生産を一時停止する事態に陥りました。障害発生後は電話やファクスを使った手作業での受注対応を余儀なくされ、ビールや飲料の出荷に大きな影響が出ています。

勝木社長は会見で、物流関連のシステムによる受注・出荷業務を12月から再開すると発表しました。具体的には、アサヒグループ食品では12月2日からEOS（電子受発注システム）による受注を再開し、12月11日以降に納品を開始します。アサヒビールとアサヒ飲料は12月3日からEOSによる受注を再開し、12月8日以降に納品を行う予定です。ただし、出荷できる商品やリードタイムには制限が残り、物流業務全体の正常化は2026年2月までを目指すとしています。完全に元の状態に戻るのは2月以降になるとの見通しも示されました。

業績への影響について、勝木社長は「通期業績の悪化は避けられない」と述べました。同社は2025年12月期第3四半期決算について、当初11月12日に予定していた発表を延期しており、2025年12月期連結決算の発表時期も未定となっています。日本国内主要3社の10月単月の売上収益は、アサヒビールが前年比9割超、アサヒ飲料が前年比6割程度、アサヒグループ食品が前年比7割超にとどまっており、システム障害の影響が顕著に表れています。ただし、欧州やアジアパシフィック事業への影響は日本で管理しているシステムに限られるため、これらの地域ではほぼ計画通りに進捗しているとしています。

同社は11月27日から、情報漏洩の恐れがある対象者への個別通知を開始したほか、「アサヒグループ個人情報問い合わせ窓口」（電話：0120-235-923、受付時間9時〜17時、土日祝除く）を開設しています。今後は通信経路やセキュリティの監視方法、事業継続計画などを見直し、ゼロトラストの概念に従ったネットワーク再構築を2026年2月までに完了する方針を示しています。