アサヒグループホールディングス(GHD)は7月17日、2025年9月のランサムウェア攻撃を巡り、漏えいのおそれがある個人情報を新たに約37万8000件追加し、対象範囲が合計約229万件に拡大したと発表した。当初(2025年11月)の発表は約191万件、2026年2月には実際の漏えいが約11万6000件と確認されていた。攻撃発生から10か月が経ってなお、被害の輪郭が広がり続けている。

なぜ「おそれ」の範囲は広がり続けるのか #
今回追加されたのは、取引先の役員・従業員らの情報だ。アサヒは、データセンターのサーバーが被害を受けたものの外部への流出そのものは確認されていないケースについても、「二次被害防止の観点」と関係法令に基づき、漏えいの可能性を否定できない範囲まで公表対象に含めたとしている。
これは大規模侵害でしばしば起きる構造だ。初動調査は時間的制約から侵害範囲を保守的に絞り込みがちだが、フォレンジック調査が進むほど「触られた可能性のあるサーバー」が見つかり、対象は後から膨らむ。攻撃者は二重恐喝型のQilinとみられ、アサヒは身代金の支払いに応じていない。支払いを拒否した攻撃では、リークサイトでの部分公開圧力が続く一方、企業側は「確定した漏えい」と「否定しきれないおそれ」を法務・広報の判断で切り分けながら、段階的に開示範囲を更新していくケースが多い。物流・受注システムの正常化にも半年近くを要しており、実害の全容把握そのものに時間がかかる大規模インシデントの典型例といえる。
教訓: 開示は一度で終わらない #
読者企業への教訓は、初回発表の件数を「最終値」と捉えないことだ。取引先経由で自社の情報が含まれる可能性がある場合、後日の追加公表に備えて自社側でも影響範囲の棚卸しをしておく必要がある。アサヒの一連の対応は、身代金非払いの姿勢を貫きつつ透明性を段階的に高める一例として、今後の同種インシデント対応の参考になりそうだ。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。