お問い合わせ
ブログ

アサヒGHDランサムウェア侵害事件:VPN悪用の実態と ASM による予防戦略

2025年9月末、アサヒグループホールディングスは、日本国内の全国事業所において、受注・出荷システムが麻痺する大規模なサイバー侵害を受けました。調査の結果、本攻撃はロシア系ランサムウェア組織 Qilin(キリン) によっ 続きを読む アサヒGHDランサムウェア侵害事件:VPN悪用の実態と ASM による予防戦略

2025/12/15

2025年9月末、アサヒグループホールディングスは、日本国内の全国事業所において、受注・出荷システムが麻痺する大規模なサイバー侵害を受けました。調査の結果、本攻撃はロシア系ランサムウェア組織 Qilin(キリン) によって実行されたものであることが公式に確認されました。
攻撃者は外部に公開されていた VPN 機器の脆弱性を悪用して初期侵入に成功し、その後、内部ネットワークを掌握してシステムの暗号化と大量の情報窃取を同時に行いました。その結果、アサヒは物流オペレーションの停止に加え、最大約192万件の個人情報が漏えいした可能性 を公表し、再発防止策として社内 VPN の利用停止およびネットワーク再構成を実施しました。

また、日本ではアサヒGHDだけでなく、他の大企業でもランサムウェア被害が相次いで発生している状況です。本記事では、アサヒGHDランサムウェア攻撃から得られる教訓を踏まえ、企業が ASM(Attack Surface Management)を活用して外部脅威をどのように先手で管理し、遮断できるのかについて解説します。

アサヒGHDランサムウェア攻撃の流れ分析

アサヒGHDランサムウェア攻撃の流れ

公開されている事件分析や業界レポートを総合すると、攻撃の流れは以下のように推定されます。

1, 初期侵入:外部に露出したネットワーク機器の脆弱性

攻撃者は、外部からアクセス可能なネットワーク機器や VPN 機器の脆弱性を悪用し、最初の侵入経路を確保しました。
つまり、企業の外部に露出していたサービスのうち、パッチが適用されていない機器が攻撃の出発点となっていました。

2, 内部拡大:VPNアカウントの窃取と内部横展開

攻撃者は、窃取した VPN 資格情報を使用するか、あるいは VPN 機器の脆弱性を再度悪用して内部ネットワークに侵入し、その後は特権アカウントを奪取しながら横展開を行いました。

3, データ窃取 → ランサムウェアによる暗号化

侵入後、攻撃者はデータセンターのサーバーや社員 PC を暗号化し、数百万件規模の個人情報を外部へ流出させました。そのうえで、流出したデータを基に二次的な恐喝行為を行いました。

つまり本件は、外部攻撃対象領域に存在していた脆弱性から攻撃が開始され、内部の構造的な弱点と結びついて拡大したインシデントであったと言えます。

Criminal IP ASMとは何か

攻撃対象領域管理(Attack Surface Management)は、攻撃者の視点から組織の外部資産を捉え、侵入経路となり得る要素を自動的に発見するためのセキュリティ体系です。
つまり、組織が把握していない公開資産や設定ミス、露出した脆弱性をリアルタイムで検知し、先回りして管理できるようにする技術です。

Criminal IP ASMは、この ASM の概念を基盤として構築されており、攻撃対象領域となり得る CVE 脆弱性、オープンポート、リモートアクセス系ポート などを自動的に検出します。さらに、AI による分析を通じてリスクを優先度順に整理することで、管理者が 最優先で対処すべき外部資産を明確に可視化 することができます。

Criminal IP ASM ダッシュボードのデモ画面

ダッシュボードでは、組織が登録したルートドメインから連携するすべてのサブドメインと IP を自動的に収集・マッピングし、組織の外部公開資産を体系的に整理して提供します。
その後、各資産のリスクレベルを High / Medium / Low の3段階 に分類し、外部攻撃対象領域を直感的に把握できるよう可視化します。

管理者は、このダッシュボードを通じて外部対象領域全体を単一画面で統合的に管理でき、攻撃者に悪用される前に優先的に対処すべきリスク要因を迅速に特定し、対応することが可能となります。

アサヒGHDランサムウェア攻撃で、Criminal IP ASM はどのように役立つのか

アサヒ事件は、「外部に露出した単一の脆弱性が、企業全体の侵害につながり得る」 ことを明確に示したケースです。
攻撃者は VPN 機器の既知の脆弱性を悪用して初期アクセスを獲得したため、もし攻撃対象領域を事前に特定・管理していたのであれば、初期侵入そのものを防止できた可能性が極めて高い と考えられます。

ASMリスク項目で SSL VPN を検索した結果例

ある企業の ASM ダッシュボードで High Risk に分類された項目の中から SSL VPN を検索すると、上記の画像のように、SSL VPN サービスが外部にそのまま公開されている資産を即座に確認することができます。
これは、その機器がインターネットから直接アクセス可能な状態であることを意味しており、攻撃者はこの露出ポイントを利用して、脆弱性スキャン・認証回避・攻撃自動化ツールなどによって初期侵入を試みる可能性があります。

Criminal IP ASM は、こうした危険な資産を機器のモデル・バージョン情報、オープンポート、脆弱性(CVE)などと連携させて自動的に分析してくれるため、管理者が手作業で外部資産を調査したり、個々の機器を確認したりする必要がなく、外部攻撃対象領域全体を容易に把握し、先手を打って対応することができます。

検索された結果の IP アドレスにカーソルを合わせた画面

検索結果の IP アドレスに カーソルを合わせると、IP レポート や IT資産検索 と連携して詳細情報を確認できます。

特定 IP アドレスの IT資産検索 検索結果

Criminal IP IT資産検索では、当該 IP アドレスに関する詳細情報を確認することができます。公開されているポートがどのアプリケーションで使用されているのか、適用されているバージョンは何か、さらにタイトル情報やバナー情報まで、深く分析された内容を参照することが可能です。

外部からアクセス可能な VPN 機器の危険性

VPN 機器は企業内ネットワークへ直接接続するための入口であり、外部に公開されている場合、攻撃者が最初に狙う対象となります。代表的なリスクポートは以下の通りです。

  • 443/TCP – SSL VPN ポータル
  • 500/UDP – IPSec IKE
  • 4500/UDP – NAT-T
  • 1194/UDP – OpenVPN

また、多くの企業では次のような脆弱な状態で運用されているケースが見受けられます。

  • パッチが適用されていない FortiGate / Palo Alto / SonicWall 機器
  • 脆弱または有効期限切れの SSL 証明書を使用
  • デフォルトのログインポータルが外部にそのまま公開されている状態

これらの構成は、アサヒ GHD 事案と同様に、攻撃者が初期侵入に悪用できる直接的な攻撃ベクトルとなります。

運用者が取るべき対応戦略

以下は、アサヒ GHD のランサムウェア攻撃と同様のインシデントを防ぐために、企業が強化すべき主要なセキュリティ対策です。

1) Criminal IP ASMなどを活用した外部公開資産の定期点検

単一の VPN 脆弱性が侵害につながった点からも、外部に公開されている資産を定期的に可視化・確認するプロセスが不可欠です。

2) エッジ機器のパッチ適用および認証強化

VPN やファイアウォールなど外部に面する機器は、常に最新パッチを適用することが重要です。MFA の導入、不要なポートの非公開化など、基本的なセキュリティ対策だけでも初期侵入のリスクを大幅に低減できます。

3) 内部拡散を防ぐための構造的対策

万が一侵害が発生しても被害が全体へ拡大しないよう、以下のような内部統制が必要です。

  • ネットワークセグメンテーション
  • 最小権限の徹底

4) 異常行為の検知体制の整備

不審なログイン、大量暗号化など攻撃の兆候を迅速に把握するため、SOC や XDR などのモニタリング/検知システムを運用し、早期対応能力を高める必要があります。

5) バックアップおよび復旧体制の維持

アサヒ GHD のように影響が甚大なランサムウェア攻撃では、バックアップデータが最後の防衛線となります。オフラインバックアップの確保と定期的な復旧テストは必須のプロセスとして維持しなければなりません。

FAQ

Q1. アサヒ GHD のようなランサムウェア攻撃を完全に防ぐ方法はありますか?

ランサムウェア攻撃を100% 防ぐことは現実的には困難ですが、初期侵入ポイントを遮断することで被害の可能性を大幅に下げることができます。
アサヒ GHD の事例では、外部に公開された VPN 機器の脆弱性が攻撃の入口となりました。そのため、Criminal IP ASM のような攻撃対象領域管理(ASM)ツールを用いて外部公開資産を継続的に点検することが、最も効果的な予防策の一つです。

Q2. 当社は外部公開資産が多くないのですが、ASM は必要でしょうか?

重要なのは外部資産の「数」ではなく、公開されているか・脆弱性が存在するか です。侵害事故は大企業だけでなく中堅・中小企業でも頻繁に発生しており、その多くは単一の脆弱性や放置された機器が原因です。ASM は シャドー IT を自動で発見できるため、企業規模に関係なく非常に大きな効果が期待できます。

Q3. Criminal IP ASMと Criminal IP IT資産検索の違いは何ですか?

Criminal IP ASMは、組織全体の外部攻撃対象領域を可視化・管理するツールで、ルートドメインを基点にすべてのサブドメインや IP を自動でマッピングし、リスクを評価します。 
一方でCriminal IP IT資産検索は個別 IP アドレスを詳細に分析するツールで、オープンポート、利用されているアプリケーションやバージョン、バナー情報などの技術的な詳細を確認できます。

結論

アサヒ GHD ランサムウェア事件は、外部に露出した単一の脆弱性が、企業全体の業務停止につながり得ることを示す代表的なケースです。特に、既知の VPN 脆弱性が初期侵入経路として悪用された点は、外部攻撃対象領域を事前に特定し管理する仕組みが不可欠であることを意味します。
もしこれらのリスク要因が早期に発見され、適切に対処されていたとすれば、内部への拡散や大規模障害につながる可能性は大幅に低減でき、VPN 使用を停止するような極端な措置を取る必要もなかった可能性があります。Criminal IP ASM は、企業が保有する外部公開資産を自動で識別し、リスクに基づいて優先順位を提示することで、攻撃者より先にリスクを把握し、先手を打った対応を可能にする重要なツール です。本事例は、攻撃者に発見される前に自らリスクを発見することこそが、最も効果的な防御戦略であることを改めて示しています。

また、サイバーセキュリティにおいて攻撃対象領域管理(ASM)が不可欠な理由 の、ホワイトペーパーをご覧いただくことで、ASM の活用方法をより詳しくご確認いただけます。

データソース : Criminal IP (https://www.criminalip.io/ja), アサヒGHD (https://www.asahigroup-holdings.com/newsroom/detail/20251127-0104.html)

関連記事: https://www.criminalip.io/ja/knowledge-hub/report/5226