サイバー攻撃によるシステム障害が続くアサヒグループホールディングスは11月27日、記者会見を開き、システムの正常化は来年2月になるとの見通しを示した。市場の混乱を招いたサイバー攻撃のリスクは大手に限らない。EC市場の拡大、AIをはじめIT技術の進展で、サイバー攻撃による事業リスクは高まっている。

個人情報191万件漏えい恐れ

　会見で勝木敦志社長は、「多くの関係者に多大な迷惑をおかけした」と謝罪した。

　アサヒがサイバー攻撃を受けたのは今年9月末。従業員のパソコン端末からの情報漏えい、サーバー保管の個人情報漏えいのおそれを確認。そこから一部復旧に2カ月を要した。

　漏えいのおそれのある情報は、グループ3社のお客様相談室に問合せを行った顧客の氏名、住所、電話番号など約191万件。通販関連の情報は含まれていない。

　システム復旧に向けアサヒは、①ランサムウェア攻撃の封じ込め対応、②再発防止に向けたセキュリティー強化、③外部専門機関による調査と段階的なシステム復旧――を進めた。専門家は、「少し時間がかかりすぎた印象はあるが、何を優先するか。人海戦術で一定の対応が可能なめどがつき、再発防止、原因究明で説明責任を果たす判断であれば2カ月は妥当」と評価する。

　再発防止に向け、①通信経路やネットワーク制御の再設計、接続制限の強化、②メール、アプリなどネット経由の外部接続の限定、③攻撃検知の精度向上、④バックアップ戦略、事業継続計画の再設計、⑤社員教育と定期的な外部監査――により、組織全体のセキュリティーガバナンスを高める。

　これまで拠点間、従業員のネットワーク接続に使用していたVPN装置は廃止した。復旧費用は開示していないが、前出の専門家は「人件費、システム変更、対策強化を含め数十億円程度かかるのではないか」とみる。

VPNの脆弱性　外部委託で補強か

　アサヒは、攻撃者の侵入経路を明らかにしていない。システムの脆弱性を突いた攻撃が続くリスクを避けるためだ。ただ、会見の内容からVPN装置を通じ侵入したとみられる。

　拠点間等のネットワークに使われるVPNは、コロナ禍のリモートワークで導入が進んだが、もともとの設計思想から権限制御が弱い。一般的に提供会社から装置自体を購入して使用するが、専門人材による入れ替え、メンテナンスが必要なため、バージョンアップなどの遅れに伴い脆弱性が生じる。攻撃者はそこを突く。

　近年はSaaS型でVPNを提供する企業もあり、メンテナンス、保守を外部委託することでセキュリティーを担保する企業も増えている。アサヒのVPN廃止もこれを想定したものかもしれない。