データ侵害の概要と発覚までの経緯
日本の大手ビール会社であるアサヒグループホールディングスは、2025年9月に発生したサイバー攻撃に関する調査を完了し、最大190万人分の個人情報が侵害されたことを明らかにしました。
流出した情報には、氏名、性別、住所、電話番号、メールアドレスが含まれており、フィッシング詐欺に悪用される可能性があると警告されています。このインシデントは9月29日に初めて公表され、当初は顧客データへの不正アクセスは確認されていないと発表されていましたが、数日後にはランサムウェア攻撃を受け、データが盗まれたことが確認されました。
その後、Qilinランサムウェアがこの侵入を主張し、アサヒから27GBのデータを窃取したとして、その証拠となるファイルサンプルをデータ漏洩サイトで公開しました。
影響を受けた個人とデータの詳細
アサヒグループの発表によると、影響を受けた個人の内訳と流出の可能性のあるデータカテゴリは以下の通りです。
- 顧客サービスセンター利用者(ビール、飲料、食品部門):152万5千人
- 氏名、性別、住所、メールアドレス、電話番号など
- 外部連絡先(祝電・弔電を受け取った方):11万4千人
- 現職・退職従業員およびその家族:計27万5千人
- 従業員の場合、生年月日や性別も含まれる可能性あり
同社は、クレジットカード情報が今回のインシデントで流出していないことを強調しています。影響を受けた方々からの問い合わせに対応するため、専用の連絡窓口を設置しました。
システム復旧と再発防止策
アサヒグループの勝木敦志CEOは、最初の侵害から2ヶ月が経過した現在も、影響を受けたシステムの復旧作業が進行中であることを明らかにしました。
勝木CEOは「システムを完全に復旧させるとともに、再発防止策を講じ、グループ全体の情報セキュリティを強化するために全力を尽くしています」と述べています。製品供給については、システム復旧の進捗に合わせて段階的に再開されています。
具体的な再発防止策として、以下の措置が導入される予定です。通信経路の再設計、ネットワーク制御の強化、外部インターネット接続の制限、脅威検出システムのアップグレード、セキュリティ監査、およびバックアップと事業継続計画の再設計が含まれます。