アサヒグループHD、12月から電子受発注システムを再開、来年2月までに物流業務の正常化目指す、情報漏えいに関する調査結果も発表

アサヒグループホールディングスは11月27日、「サイバー攻撃によるシステム障害に関する調査結果の説明会」を都内ホテルで開催した。

同社は9月29日にサイバー攻撃によるシステム障害が起こり、国内グループ各社のシステムによる受注・出荷業務が停止していた。その後、10月1日から手作業による受注を開始し、順次出荷を再開していた。説明会では、調査の結果、情報漏えいのおそれがある個人情報が約191万件にのぼることと、物流関連のシステム復旧に伴い、12月からシステムによる受注および出荷を再開することを明らかにした。また、2月までに物流業務全体の正常化を目指すと発表した。なお、攻撃者とは接触していないとし、金銭を払っていないことも明らかにした。

会場では、勝木敦志取締役兼代表執行役社長Group CEO、﨑田薫取締役兼執行役Group CFO、アサヒグループジャパン濱田賢司代表取締役社長兼CEOが登壇した。

勝木社長による冒頭の説明は以下の通り。

■勝木社長による説明【全文】

まず初めに、9月29日に発生いたしましたシステム障害により、多くのお客様、関係先の皆様に多大なるご迷惑をおかけしていることを心よりお詫び申し上げます。

このような状況にもかかわらず、お客様からは励ましのお言葉やお手紙を頂戴し、関係先の皆様には不規則で通常とは異なる商品供給の対応をお願いしているにもかかわらず、大変なご理解とご協力を賜っております。

重ねてお詫び申し上げるとともに、深く感謝申し上げたいと思います。

本日は、サイバー攻撃によるシステム障害の経緯、原因、情報漏えいの可能性について、これまでの調査で把握できました内容をご説明いたします。また、事業およびシステムの復旧に関する情報もご説明いたします。

併せて、2025年12月期第3四半期の事業進捗と、通期決算発表の延期についてもお伝えいたします。

■システム障害の経緯

システム障害の概要についてお伝えします。9月29日午前7時頃、当社システムにおいて障害が発生し、調査を進める中で暗号化されたファイルを確認しました。
同日午前11時頃には、被害を最小限に留めるためネットワークを遮断し、データセンターの隔離措置を講じました。

その後の調査の結果、システム障害発生の約10日前に、外部から当社グループ内の拠点にあるネットワーク機器を経由し、アサヒグループのネットワークに侵入したことが判明しています。

その後、主要なデータセンターに侵入し、パスワードの脆弱性を突いて管理者権限を奪取。奪取したアカウントを不正利用し、主に業務時間外に複数のサーバーへ侵入・偵察を繰り返したと見られます。

そして9月29日早朝、認証サーバーを起点にランサムウェアが一斉に実行され、起動中の複数のサーバーや、パソコン端末の一部データが暗号化されたと認識しています。

影響調査の中で、データセンターを通じて従業員に貸与していた一部パソコン端末のデータが流出したことも判明しました。

データセンターのサーバー内に保管されていた個人情報については流出の可能性はありますが、インターネット上に公開された事実は確認されていません。

■漏えいのおそれがある個人情報

次に、情報漏えいのおそれがある個人情報についてお伝えします。

アサヒビール/アサヒ飲料/アサヒグループ食品のお客様相談室に寄せられた方の氏名、性別、住所、電話番号、メールアドレスについて152万5千件の漏えいの恐れがあることが確認されました。

祝電・弔電などで対応した社外関係先の方の氏名、住所、電話番号について、11万4千件の漏えいのおそれがあることが確認されました。

そして、弊社グループの従業員(退職者を含む)の氏名、生年月日、性別、住所、電話番号、メールアドレスなどについて、10万7千件の漏えいのおそれがあることが確認されました。関連して、従業員(退職者を含む)の家族の氏名、生年月日、性別について16万8千件の漏えいのおそれがあることが確認されました。

情報の漏えいのおそれがある方には、本日以降、個人情報保護法にのっとりまして個別に通知を開始します。また、お問い合わせに対応するため「アサヒグループ個人情報お問い合わせ窓口」を開設いたしました。昨日11月26日には個人情報保護委員会に報告を完了しております。

■システム復旧の状況

次に、システムの復旧予定についてお知らせします。サイバー攻撃を受けてから約2か月にわたり、ランサムウェア攻撃の封じ込め対応、システム復元作業、再発防止のためのセキュリティ強化を続けてきました。外部専門機関による不正アクセスやウイルス感染などの原因や経路を突き止めるための鑑識調査や健全性検査、そして追加のセキュリティー対策を行い、安全性が確認されたシステム及び端末から段階的に復旧を進めていきます。

物流関連の受注・出荷システムは、停止後は手作業で対応してまいりましたが、出荷できる商品やリードタイムに制限はあるものの、12月からの再開を予定しています。

アサヒビールとアサヒ飲料では、EOS(電子受発注システム)を12月3日から再開、12月8日以降の納品分から商品をお届けできる予定です。

アサヒグループ食品では、EOSによる受注を12月2日から再開し、12月11日以降の納品分から商品をお届けできる予定です。

引き続き制限が残る配送のリードタイムにつきましては、2月までに通常化させることで、物流業務全体の正常化を目指していきます。同じく制限が残る出荷可能な商品の品目数は、2月までに全商品には至らないが、EOSによる受注・出荷状況を確認しながら順次拡大してまいります。

今後とも継続した監視と改善、追加したセキュリティー対策の強化を行い、再発防止と安全な運用の維持に努めていきます。

■再発防止策

再発防止策をお伝えします。
通信経路やネットワーク制御を再設計し、接続制限をさらに厳しくいたします。次に、メール・ウェブアプリなどを含むインターネットを経由した外部との接続は、すでにVPN、WAN接続を廃止した安全な領域に限定し、外部とのアクセス制限を強化するなど、ゼロトラストの考え方に従い、より安全なネットワークを構築いたしました。

個々のサーバーなどのEDR(エンドポイントディテクション&レスポンス)をより強化するなど、セキュリティ監視の仕組みを見直し、攻撃検知の精度を向上させます。

また、万が一の際にも迅速に復旧できるよう、バックアップ戦略や事業継続計画(BCP)についても再設定し、実装いたします。

今後は、セキュリティ水準を継続的に見直し、より実効性のある社員教育や外部監査を定期的に実施することで、組織全体のセキュリティガバナンスを強化してまいります。

■決算への影響

決算への影響をお伝えします。
システム障害の影響のない欧州・アジアパシフィックでは、売上収益は計画をやや下回っていますが、事業利益は概ね計画どおりに進捗しています。

日本・東アジアでは、9月末の実績が確定できていないが、1月から8月の累計の売上収益や事業利益はほぼ計画通りに進捗しています。

今後の見通しについては、欧州やアジア・パシフィックでは、通期の売上収益が計画をやや下回る可能性がありますが、事業利益は収益構造改革などにより計画達成を目指します。

日本・東アジアでは、10月以降の売上収益は計画を下回る見込みですが、各種システム、および各事業の出荷数量は徐々に回復しています。

今回のシステム障害の影響により、2025年通期の連結業績は悪化を避けられない見込みです。しかし、中長期経営方針は変更せず、事業ポートフォリオの強靱化や資本効率向上に向けた施策を着実に進めてまいります。

通期決算発表の延期については、今後の復旧および決算手続きの進捗次第で日程を決定し、速やかに開示いたします。

■最後に

今回の事案につきまして、経営として重大な責任を痛感しております。
お客様、お取引先、従業員をはじめ、あらゆる関係先の皆様に多大なるご迷惑とご心配をおかけしておりますことを重ねてお詫び申し上げます。

今後は外部専門家の知見を入れたセキュリティ体制の強化など、再発防止策を速やかに実行してまいります。経営陣一同、信頼回復に向けて全力で取り組んでいきます。

最後に一言、申し上げたいことがあります。

本件を通じまして、お客様からの温かいお言葉、時にはお叱りの言葉を頂戴し、私どもの商品・サービスが「おいしさ」、「楽しさ」、「豊かさ」、あるいは「喜び」、「つながり」、「潤い」。こうしたものをいかにお届けしてきたのかということを実感しました。

また、社員がいかに頼もしいかということも実感いたしました。時間はかかりましたが、ここまで復旧のめどが立ってきたのは、社員の驚くべき頑張りがございました。月並みな言葉ではございますが、社員のことを誇りに思っております。不適切な言葉かもしれませんが、経営者冥利に尽きるという経験を私はさせていただきました。

こうした社員がいる限り、今後さらにお客様の信頼を頂戴し、お客様に、社会に、より価値を提供して、強い会社となって戻ってくると信じて疑っておりません。これをお約束いたしまして、私からの説明を終わらせていただきます。

ご清聴いただきまして、誠にありがとうございました。