日本企業の68％｢ID･パスワード｣でいまだシステム管理《それはまさに｢玄関の鍵｣が簡単に盗める状態》狙われて当然の訳

2025年9月29日、アサヒグループホールディングスはランサムウェアグループ「Qilin」による攻撃を受け、ネットワーク上のサーバーやPCが暗号化され、システムが停止に追い込まれた。国内30の生産拠点が一時操業停止となり、12の新製品が発売延期され、プライベートブランド飲料でも一部出荷停止が発生した。

サイバーセキュリティに関する新着記事の情報などをメールマガジンでお届けします。登録はこちらから

調査によると、攻撃者は最初の障害が検知される約10日前には、すでにネットワークに侵入していた。侵入経路はVPN機器で、脆弱なパスワードを悪用して管理者権限を取得し、主に業務時間外に偵察活動を進めていた。

例えて言うならば、攻撃者が侵入できたのは窓を割ったわけでも、ドアをこじ開けたからでもない。システム管理者のID・パスワードという“鍵”を手にしていたため、正面玄関から堂々と入ってきたのである。

「フィッシング」の精度と規模を変えたAI

フィッシングは、攻撃者が“正面玄関の鍵”、すなわちIDやパスワードなどのログイン認証情報を手に入れるための、最も効果的な手段の1つだ。システムに無理やり侵入するのではなく、盗み取った認証情報を使い、正規の利用者を装ってシステムにログインする。

かつては、日本語の不自然な言い回しや誤字脱字から、フィッシングメールを見抜けることもあった。だがAIの登場によって、その精度も規模も一変した。もはや従来の感覚ではフィッシングかどうかを見抜けないレベルに達している。