日本の第四位の経済大国で、ビールを手に入れることが困難になっている。
アサヒビールは、国内で最も消費されているビールで、40%の市場シェアを持っているが、最近のサイバー攻撃の影響で、生産と出荷がパラリズム状態になり、今月は厳しい状況が続いている。
この攻撃により、競合他社であるキリンやサッポロも需要に追いつけず、代替ブランドを求める店舗からの注文を受け付けることができなくなった。
攻撃が発生したのは9月29日、ロシアに拠点を置くQilinグループによって一連のランサムウェア攻撃が実行され、アサヒは6つの工場と30の他の施設を閉鎖せざるを得なかった。
この種の攻撃は、悪意のあるソフトウェアを使用してシステムを暗号化し、身代金が支払われるまでロックすることを伴う。
アサヒは、コンピュータが麻痺状態になったため、注文処理と物流を手動に戻さざるを得なくなり、全てを手書きで管理した。
倉庫を出発するトラックが準備できた際の通知もファックスで行われた。
これにより正常な商品フローを維持することがほぼ不可能になり、店舗の棚はわずか2日で空になってしまった。
ホスピタリティセクターでも同様のことが起こり、日本のお気に入りのビールが提供されなくなった。
アサヒの本社も、メール受信の能力を失ったと報じられている。また、四半期の業績発表の延期を余儀なくされた。
活動は徐々に再開され、10月10日までにグループの主力ビールであるスーパードライが再開され、すべての醸造所が再開したが、稼働率は低下したままだ。
現在、正常な運営の再開については確認されていない。
「最近のシステムの混乱によって、関係者にご迷惑をおかけしたことを心からお詫び申し上げます。ご理解とご支援に感謝いたします」と、グループの社長である勝木篤氏がコメントした。
アサヒグループはビールを製造しているが、ソフトドリンク、食品、スピリッツも手がけている。
このサイバー攻撃は日本だけに影響を与えたが、アサヒが所有するペローニやピルスナー・ウルケル、グロールシュ、フラーズなどの飲料ブランドがある欧州市場には影響を及ぼさなかった。
生産の中断による損失は約335百万ドルに上ると推定されており、27ギガバイトのデータが盗まれている。
その内容は、9300以上のファイルで、財務文書や予算、機密契約、計画・開発予測、内部報告書、従業員の個人情報を含む。Qilinグループはダークウェブ上でいくつかのサンプルを掲載した。
アサヒビールのネットワークに侵入したハッカーらは、どのようにして日本のビールを奪ったのか?
「攻撃者は、高度に洗練されたキャンペーンを実行し、Linuxランサムウェアの一種を用いてWindowsシステムに感染させました」と、トレンドマイクロの上級脅威研究者であるデビッド・サンチョ氏は説明している。
彼らは、重要なアサヒの従業員のコンピュータに表示されたフェイクキャプチャによって、ネットワークパスワードを盗むマルウェアをインストールすることに成功した。
この攻撃により、バックアップおよび災害復旧システムが無効化された。
システム内に侵入した後、攻撃者たちは感知されることなく機密データを暗号化し、流出させるために探し回った。
それをダウンロードした後、システムをロックし、身代金を要求した。
ただし、脅迫は二重です。
「Qilinのオペレーターと私的な会話を行った研究者たちにより、身代金を要求するだけでなく、盗まれたデータをアサヒに1000万ドルで売ろうとしたことが明らかにされました。この要求は10月11日に行われ、仲介者を省き、被害者に対する圧力を高める戦術の可能性が高い」と、UST CyberProofのグローバルサイバー脅威責任者であるネサニエル・リブコ氏は指摘している。
Qilinグループは、その名前は中国の神話上の生物に由来しており、暗号はロシア語で書かれているため、アジアの組織ではなく、ロシアの起源を示唆している。
「彼らのコードはロシア語で記述されており、攻撃対象地が独立国家共同体に位置する事例を避けていることから、そのような推測が成り立ちます」と、ESETのスペインにおける研究・意識向上責任者であるホセップ・アルボルス氏が述べている。
Qilinがアサヒに対して攻撃を行うまでの最大の被害者は、2024年6月に英国の医療会社シノビスであり、同社はロンドンの複数の病院に診断や病理サービスを提供している。
Qilinは、400ギガバイトのデータを盗んだとして5000万ドルの身代金を要求した。この攻撃により、6000件以上の医療予約がキャンセルされ、血液提供に不足が生じた。
ランサムウェアの産業化
Qilinを他のサイバー犯罪グループと区別する要因が一つある。それは、彼らが自らのマルウェアを企業ネットワークにアクセスできたハッカーに提供し、身代金を分配するというビジネスモデルである。
「彼らは、攻撃を実行するために必要なすべてのツールやインフラをアフィリエイトに提供し、それに対して支払われた身代金の15%から20%を徴収します」と、チェックポイントのスペインおよびポルトガルの技術責任者であるエウセビオ・ニエバ氏が述べている。
企業の扉を開く者に盗むためのツールを提供するビジネスモデルは、Qilinにランサムウェアビジネスを産業化させ、スケールを拡大させることを可能にしている。
「彼らは『ランサムウェア・アズ・ア・サービス』というプログラムを運営している」と、トレンドマイクロのサンチョ氏は説明する。この犯罪グループは2022年8月に発見された。
この運営モデルにより、Qilinはランサムウェアの脅威として国際的に広く知られる存在となった。2025年第3四半期には、少なくとも402件の成功した攻撃が記録され、これは全体の21%に相当する。
「Qilinは現在、最も活発なグループの一つです。彼らの強みの一つは、マルチプラットフォームのランサムウェアであり、WindowsシステムだけでなくLinuxサーバーに対する攻撃も観察されています。また、ルーターやファイアウォールなどのネットワークデバイスの脆弱性を悪用する点で注目されています」と、アルボルス氏が述べている。
このグループのもう一つの強みは、これまで非常に elusive な状態を保っていることである。
「Qilinのインフラは、検査を回避できるように設計されています。彼らは、調査に協力しない国にホスティングされる停止不能なサービス上に、リークサイトやコマンドセンターを維持しています」と、パンダセキュリティのグローバル消費者業務責任者であるエルヴェ・ランベール氏は述べている。
画像の出所:english