アサヒビール｢形だけのセキュリティ対策｣が招いた大混乱､"基本のキ"でつまずき大規模な障害に…サイバー攻撃から2カ月何が間違っていたのか

身代金を支払っても、データが完全に戻る保証はありませんし、盗まれたデータが「確実に消される」保証もありません。むしろ「払う会社」というレッテルを犯罪者コミュニティ内で貼られてしまえば、再標的化されるリスクのほうが高いでしょう。

復元されたデータに、後でシステムに侵入できるようバックドアや、トロイの木馬のようなマルウェアを仕掛けられる可能性もあるのです。それが完全に排除できる保証はありません。何よりも反社会組織に資金提供した会社として国際的にも非難されます。

被害は「データセンターの一部」でも影響は全社的

アサヒGHDの説明によれば、攻撃者はまずグループ拠点に設置されたネットワーク機器を経由してデータセンターのネットワークに侵入し、その後ランサムウェアを実行して複数のサーバと一部PC端末のデータを暗号化しました。

影響を受けたのは数台のサーバと37台の端末に限られ、工場の制御系など生産設備そのものには被害は及ばなかったとしています。ネットワークもセグメント分離されていたり、それぞれ独立性が高い「疎結合」な構成だったことから、データセンター外への波及は防げた、というのが会社側の説明です。

それにもかかわらず、現実にはビールの受発注・在庫管理システムが停止し、全国の出荷が止まりました。「SKUの復旧」という言葉が会見でも何度も使われましたが、これは商品ごとに割り振られた識別コード単位で受注・在庫・出荷を管理する仕組みが麻痺していたことを意味します。

工場はビールを造れても、「どの商品をどこへ何本送るか」を決める情報システムが動かない以上、安易に出荷を再開するわけにはいきません。よって工場も生産停止するしかありません。結果的に、アサヒビールだけでなく、他社ビールや飲食業界全体にも影響が波及しました。

ここで重要なのは、「被害サーバの台数」と「事業への影響」は必ずしも比例しないということです。受発注・在庫管理・物流・会計といった業務がERP（統合基盤システム）で密接に結びついている現代では、その中核となる一部サーバが止まるだけで、実質的に全社のオペレーションが止まってしまいます。

多くの人が抱いた率直な疑問は、「サーバ本体やPCは壊れていないのだから、バックアップから戻せばいいのではないか」という点でしょう。ところが、アサヒGHDの会見では「バックアップは存在したものの、それが即座の復旧につながるわけではないことを痛感した」と述べられました。