会見の中で会社側は、攻撃を許した要因として「既存の脆弱性」「パスワードの脆弱性」という言葉を繰り返しました。
ここでいう既存の脆弱性とは、ベンダーからすでに情報が公開され、修正プログラム(パッチ)も提供されていたにもかかわらず、何らかの理由で適用が遅れていた欠陥を指すとみられます。加えて、「パスワードの脆弱性」とは、推測しやすいパスワードの使用、複数機器での使い回し、初期設定のまま放置された管理者アカウントなどが組み合わさった状態を指しているのでしょう。
攻撃者は、VPN(仮想専用回線)機器などネットワークの出入口にある既知の脆弱性を突いて内部に足場を築いたうえで、こうしたパスワード管理の甘さを足掛かりに、データベースサーバやファイルサーバ、一部端末の管理者権限を奪取し、個人情報の探索や重要システムの特定を行った可能性が高いと考えられます。
アサヒGHDはEDR(エンドポイント検知・対応製品)を導入し、ゼロトラストセキュリティの考え方に沿ったネットワーク整備も進めていたと説明しています。それでも攻撃を防げなかったという事実は、「ツールを導入していること」と「それが日々きちんと機能していること」のあいだに大きなギャップがありうることを示しています。
「形だけの対策」から「復旧力」へ
アサヒGHDは、事前対策としてNISTサイバーセキュリティフレームワークに沿った管理体制の整備、外部ベンダーによるセキュリティ評価やペネトレーションテストの実施など、形式的にはかなりの対策を打っていたことを明らかにしています。
それでも、VPN機器の既知の脆弱性管理やパスワード運用の徹底、EDRを実際に機能させる運用体制という「基本のキ」でつまずき、結果として大規模な障害に至ってしまった。今回、アサヒGHD自身も、「バックアップとBCPの再設計」「サイバー攻撃を前提とした事業継続体制の構築」を今後の取り組みとして掲げました。
重要なのは、これをアサヒGHDだけの教訓にとどめないことです。VPN機器やネットワーク機器のパッチ適用状況を定期的に棚卸しすること。管理者アカウントのパスワードや多要素認証の運用を抜き打ちで点検すること。個人情報や重要データが端末ローカルに置かれていないかを監査すること。
万一ランサムウェアにやられた場合に「どのような被害に遭うのか」「最悪の場合、何が起こるのか」、そして「代替策を含めてBCPが実行できるのか」を考えるだけでなく、例えば訓練を通して実際に発動できる体制を整えておくべきです。
サイバー攻撃を「完全に防ぐ」ことはほぼ不可能です。問われているのは、不正侵入を含め、被害をどれだけ早く見つけ、どこまで小さく抑え、どれだけ早く事業を立ち直らせるかという「復旧力(レジリエンス)」です。
アサヒGHDの事例は、ビールが一時的に市場から姿を消すというかたちで、私たちにその現実を強く突きつけました。「うちはそこまで狙われないから大丈夫」と考えるのではなく、「明日、自社がアサヒの立場になったら何ができるか」を考え、準備を進めること。それこそが、この事件からすべての企業・組織が学ぶべき最大の教訓ではないでしょうか。
