アサヒビール｢形だけのセキュリティ対策｣が招いた大混乱､"基本のキ"でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか

攻撃から2カ月経った現在もシステムの完全復旧には至っていない（写真：Prius / PIXTA、編集部撮影）

2025年9月29日、アサヒグループホールディングス（以下、アサヒGHD）を襲ったサイバー攻撃は、「ビールが店頭から消える」というかたちで一般消費者にも実感される異例の事件となりました。数日間、出荷はほぼ停止し、その後も供給を工夫しながら何とか市場への製品供給を維持してきたものの、12月時点でもシステムの完全復旧には至っていません。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

しかし、この2カ月ほどの間に、アサヒGHDが公表した情報はわずか4本の短いリリースだけでした。

第1報では「サイバー攻撃によるシステム障害」とだけ説明し、第2報以降も「一部出荷再開」「業務への影響は継続」といった概要にとどまっています。「国内最大手のビールメーカーがこれほどの被害を受けているのに、なぜ詳しい説明がないのか」という不信感も、社会のあちこちで語られました。

なぜ記者会見まで2カ月かかったのか

転機となったのが、11月27日の記者会見と同日に公表された「サイバー攻撃による情報漏えいに関する調査結果と今後の対応」です。ここで初めて、システム障害の経緯、侵入経路の概要、個人情報191万4000件が漏洩、または漏洩の可能性があることなどがまとまったかたちで示されました。会見の説明や質疑を丹念に吟味すると、「詳しく説明しなかった理由」も見えてきます。