アサヒ、アスクル「復旧長期化」の理由は「見えない破壊」
ここ数カ月のあいだに、日本の大企業が相次いでランサムウェア攻撃を受けた。その象徴的な例が、通販大手アスクルとアサヒグループホールディングス(アサヒGHD)だ。
アスクルはサイバー攻撃の影響で基幹システムが停止、受注や出荷に大きな支障が出た。ようやく、12月上旬から事業者向け(BtoB)の受注を再開すると発表したものの、一般向けサービスは全面復旧に至っておらず、まだ制限が残る。
一方のアサヒGHDは、グループの情報システムがランサムウェアと見られる攻撃を受け、生産・物流・受注に関わるシステムの広い範囲で障害が発生、現時点でも「全面再開の見込みが立たない」状況が続き、影響は社外にも大きく波及している。
特にわかりやすいのが、ビール各社のお歳暮ギフトだ。
アサヒのシステム障害の影響を受け、サッポロ、キリン、サントリーといった競合他社にまで波及し、一部のビールギフトについて百貨店や通販サイトでの新規受注を停止・見合わせるケースが相次いだ。
「アサヒのトラブルなのに、なぜ他社のギフトまで買えなくなるのか?」
一連の混乱は、いまのサプライチェーンが、複数企業が同じ物流・情報システムに依存していること、またその“共有インフラ”が一度止まると、業界全体に domino(ドミノ)式に影響が広がることを浮き彫りにした。
では、なぜここまで被害が長期化し、再開が極めて困難になるのか。
被害企業は詳細を公表していないため、以下はあくまでサイバーセキュリティコンサルタントの新實傑氏の知見をベースにした合理的な推測にすぎないが、この機会にランサムウェアの仕組みと、企業がとるべき対策を整理しておきたい。
サイバー攻撃を受けた企業が、被害内容を細かく公表しないのには理由がある。主なポイントは次の3つだ。
(1)攻撃者への“ヒント”を与えないため
(2)株主・取引先・消費者の混乱を避けるため
(3)法的リスクの存在
そのため、外から見える情報は「サービスが止まっている」「一部再開した」といった表層的なものに限られる。だが、今回のアスクルやアサヒGHDのように、復旧が数カ月単位で長期化している事例からは、裏側で何が起きているのか。
アスクルは、攻撃によるシステム障害を受けて大きく機能を制限したあと、優先度の高い「事業者向け(BtoB)の受注」から段階的に再開。
これは、BtoBの受発注のほうが、システム構成が比較的シンプル、取引先が限定されている、緊急度が高く企業活動への影響が大きいといった理由から、「まずここから復旧する」という判断がしやすいためだ。
一方でアサヒGHDは、ビールを中心とする飲料事業に加え、広範囲な拠点と取引先を抱える巨大グループである。生産・在庫・物流・販売・受注が複雑に結びついているため、
どこか1カ所だけ立ち上げれば動くという構造ではない。
ビール各社は、物流や出荷の一部で共通のプラットフォームや倉庫を利用しているとみられ、その一角が止まると、他社の商品であっても、納期の見通しが立たない、在庫の正確な把握ができないといった問題から、「新規受注を受けない」という判断を迫られる。
復旧長期化の背景には、主に2つの要因があると考えられる。
(1)基幹システムが“丸ごと”暗号化されている可能性
(2)バックアップも事前に破壊されている可能性
結果として、復旧は数日ではなく「数カ月単位」のプロジェクトになる。
あらためて「ランサムウェアとは何か」、ランサムウェアの基本を整理しておこう。
●ランサムウェア = Ransom(身代金) + Software
コンピュータに侵入し、データを暗号化して使えなくし、「元に戻してほしければ身代金を払え」と要求する攻撃。最近のランサムウェアは、もはや「暗号化して脅すだけ」の時代ではない。
●標準化した“二重脅迫”
・データやシステムを暗号化して業務停止させる
・盗み出したデータを「公開する」と脅す
この二重脅迫により、「システムを復旧できたから支払わない」という選択肢を潰すのが最新の常套手段だ。さらに一部のグループは、取引先への“データ公開予告メール”、報道機関への情報リーク、株価への影響を狙った仕掛けなど、企業の評判や金融市場まで利用する“三重脅迫”に進化していると報告されている。
企業にとってのサイバーリスクはランサムウェアだけではない。
1. サプライチェーン攻撃
2. クラウド設定ミスを狙った攻撃
3. 内部不正・内部犯行
4. ゼロデイ攻撃(ベンダーがまだ把握していない、あるいはパッチが提供されていない脆弱性を突く攻撃)
サイバーセキュリティの専門家たちは、口をそろえてこう言う。
「侵入されるかどうかではなく、“いつ侵入されるか”の世界になった」
完全に攻撃を防ぐことは、もはや現実的ではない。そのうえで重要になるのが、被害を受けたあと、どれだけ早く事業を再開できるかだ。
(1)バックアップの“物理的分離”
(2)権限管理とゼロトラスト(誰も信用しない前提)
(3)監視と検知のリアルタイム化(EDR)
(4)事業継続計画(BCP)の具体化
受注をFAX・電話で仮受付する仕組み、紙と最低限のExcelで運用できる“非常モード”、優先して復旧すべき業務のリストアップなど、IT以前のレベルまで分解した“手作業の最後の砦”を決めておくことが、結果的に復旧スピードを大きく左右する。
今回のアスクルやアサヒGHDのケースは、「どの企業が悪いのか」という犯人探しではなく、「現代のサプライチェーンは、どれだけ脆くなっているのか」を問う材料として捉えるべきだ。
本質的な論点は、おおきく次の3つ。
・基幹システムの複雑化と相互依存
・クラウド・外部委託への過度な依存
・“攻撃は必ず起きる”前提の経営になっているか
ランサムウェアは、もはやIT部門だけの問題ではない。「サービスが止まれば、商品が売れない」という意味で、経営そのものの根幹を揺るがすリスクだ。
攻撃を完全に防ぐことはできない。だからこそ、「攻撃されたあとに、どれだけ早く、どこまで立ち上がれるのか」という視点で、自社の体制を見直す必要がある。
以上、詳細はビジネスジャーナルをご覧ください。
編集者:いまトピ編集部
