アサヒ サイバー 攻撃 犯人はQilinランサムウェアグループ：2025年9月下旬発生の被害詳細と企業対策

2025年秋、日本酒類大手のアサヒグループホールディングスが一夜にして操業停止に追い込まれた。犯行声明を出したのは名を馳せたロシア系ランサムウェアグループ「Qilin」。攻撃の実態と、同社の対応がいかなるものだったのか。その全貌を追った。

犯人グループ: Qilin · 攻撃時期: 2025年9月下旬 · 影響範囲: 国内業務システム障害 · 身代金要求: なし · 犯行主張: データ窃取公表

以下は被害企業と攻撃グループの概要を整理した表である。

アサヒビールはサイバー攻撃を受けたのかどうなったのか？

攻撃の確認と概要

2025年9月29日午前7時ごろ、アサヒグループホールディングスがサイバー攻撃によるシステム障害に見舞われた (SSK関西)。同日午前11時ごろには対象システムのネットワークを遮断し、データセンターに対して隔離措置が実施された (SSK関西)。この攻撃の影響は限定的ではなく、受注・出荷業務にも支障をきたした。

被害の詳細

攻撃は日本国内のシステムに影響を与えており、海外のシステムが影響を受けた事実は現時点では確認されていない (CyberTrust)。犯人側からの接触はなく、身代金の支払いも行っていない (ITmedia)。

この被害件数は日本全体のランサムウェア被害の高止まりを示すものであり、個別の企業セキュリティ対策だけでは十分とは言えない状況を示唆している。

アサヒのサイバー攻撃の犯人は誰か？

Qilinランサムウェアグループの犯行声明

2025年10月7日、ロシア系ランサムウェアグループ「Qilin」がダークウェブ上で犯行声明を出した (Wikipedia)。Qilinは窃取したデータを保有すると主張し、身代金不払いの場合はデータ公開すると脅迫した (ITmedia)。

Qilinによる二重脅迫（ダブルエクストーション）攻撃では、第1弾の機密データ漏洩が起こり、アサヒ社が被害公表と身代金不払宣言をした結果、第2弾のデータ公開が行われた (ITmedia)。

攻撃発信源

Qilinはロシア語圏限定のフォーラムRAMP（Ransom Anon Market Place）で宣伝されている (CyberTrust)。ロシア語話者が中心となっているグループと考えられている (CyberTrust)。SQATによると、Qilinはアサヒグループピュアの攻撃で、LockBitやDragonForceと連携して攻撃を行った (SQAT)。

この急増は地域全体のセキュリティ態勢に対する警鐘であり、日本企業への攻撃がさらに激化する可能性がある。

アサヒグループHDが受けたサイバー攻撃の概要は？

攻撃時期と経緯

2025年9月29日午前7時ごろ、アサヒグループピュアがサイバー攻撃によるシステム障害を受けた (SSK関西)。同日午前11時ごろには対象システムのネットワークを遮断し、データセンターに対して隔離措置が実施された (SSK関西)。10月7日にQilinが犯行声明を出した (Wikipedia)。

現在の状況

犯人側からの接触はなく、身代金の支払いも行っていない (ITmedia)。ただし、Qilinは窃取データの公開を続けており (ITmedia)、業務回復は進行中と見られる。

データ公開の継続は被害の拡大を示唆しており、完全回復にはまだ時間を要する可能性が高い。

Qilinサイバー攻撃グループとは？

グループの特徴

Qilinは2022年7月ごろから観測され、活動を行っている (Cisco Japan Blog)。2022年10月に活動開始が確認されたランサムウェアグループでもある (Cybereason Japan)。Qilinは別名「Agenda」ランサムウェアグループとも呼ばれている (CyberTrust)。2025年に700件超の攻撃を確認され、被害最多のランサムウェアグループとなっている (SQAT)。

Qilinは「RaaS（Ransomware as a Service）」ビジネスモデルを採用している (Cybereason Japan)。RaaSオペレーター（Qilinなど）は攻撃ツールや交渉サイトをSaaSとして提供し、身代金の手数料15～20%を収益とする (Cybereason Japan)。一方、アフィリエイト（実行者）がツールを用いて実際の侵入や暗号化、二重脅迫を行い、身代金の80～85%を報酬として受け取る (Cybereason Japan)。

過去の活動

Qilinは直近151件の攻撃を仕掛け、複数の国で医療、建設、食品加工など様々な業界を標的としている (CyberTrust)。2023年後半に仲間を募っている様子が確認されている (CyberTrust)。

正規ツールの悪用は検知を困難にし、被害拡大の原因となるため、特別な監視体制が求められる。

Qilinの攻撃手口は？

侵入から実行までの流れ

Qilinは窃取された認証情報を使用してVPNへの多数のNTLM認証試行を行い、侵入に成功する (Cisco Japan Blog)。侵害されたVPNからドメインコントローラーおよび最初に侵入されたホストに対してRDP接続を実行する (Cisco Japan Blog)。ランサムウェア実行前に、ユーザーが正規に使用しているリモート監視および管理（RMM）ツールとは異なるRMMソフトウェアをインストールする (Cisco Japan Blog)。

Ciscoが確認したQilinの痕跡には、AnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist、ScreenConnectを含む複数のRMMツールが含まれている (Cisco Japan Blog)。QilinはEDR（Endpoint Detection and Response）製品を無効化するドライバーを使用することが確認されている (Guardian Japan)。Active Directoryのグループポリシーを悪用して、組織全体に一斉にランサムウェアを展開する (Guardian Japan)。

二重脅迫の手法

Qilinはデータ窃取で機密情報を外部送信し、二重恐喝のための事前準備を行う (Guardian Japan)。カスタムランサムウェアでWindows、Linux、VMware対応の暗号化を行う (Guardian Japan)。二重恐喝で身代金支払い拒否時にデータを公開する (Guardian Japan)。Trend Microによると、Qilinはネットワーク共有にプログラムを書き込み、PsExecユーティリティを使用してリモートシステム上でコマンドを実行することで拡散する (Trend Micro)。

複数のケースで「Qilin.B」と呼ばれているQilinランサムウェアの亜種が使用されている (Cisco Japan Blog)。

アサヒへの攻撃はこのRaaSエコシステムのシエ率达を示しており、単一の犯人ではなく複数の関係者LPが絡んでいる可能性がある。

アサヒグループのランサムウェア被害から学ぶ対策は？

原因の可能性

Qilinの攻撃では初期侵入にフィッシングとVPN脆弱性が使用される (Guardian Japan)。VPN関連リスクへの対処が急務となる。Qilinは窃取された認証情報を使用してVPNへの多数のNTLM認証試行を行い、侵入に成功する (Cisco Japan Blog)。

企業対策

ゼロトラストアーキテクチャへの移行が推奨される。多要素認証の徹底、エンドポイント保護の強化、定期的なセキュリティ診断が必要となる。インシデント対応計画の策定と訓練も重要だ。

警察庁の報告によると、令和7年上半期のランサムウェア被害報告件数は116件に上り、高水準で推移している。

— Cybereason Japan（セキュリティ企業）

Qilinは2025年に700件超の攻撃を確認され、被害最多のランサムウェアグループとなっている。

— SQAT（セキュリティ分析機関）

犯人側からの接触はなく、身代金の支払いも行っていない (ITmedia)。業務への影響は限定的ではなく、受注・出荷業務にも支障をきたした。

この被害は大手企業でもVPN防御の隙をつかれる可能性を示しており、認証基盤の抜本的な見直しが業界全体で求められている。

よくある質問

Related reading: 詐欺電話詳細と対策 · 電子マネー詐欺容疑者

アサヒのサイバー攻撃では、パスワード脆弱性から全工場停止の経緯が明らかになり、Qilinグループの関与が注目を集めている。