アサヒGHDが今行っているランサムウェア復旧作業の詳細。世界トップレベルのスペシャリストが解説
ここのブログではChatGPTのDeep Researchが使えるようになって以来、プロのリサーチャーとして「私が手で行っていた調査」と「現代の優れたAIで行う調査」との違いを多くの方々にわかっていただくために、多種多様な投稿を上げて来ました。本投稿もChatGPT 5という世界最高峰のサイバーセキュリティ/ランサムウェアの専門家として、彼に書いてもらった分析を中心に書きます。
ランサムウェアは民間人に対する戦争だと捉える
結局、これは戦争であるという捉え方が必要だと思います。今回の事案の犯罪者集団がKADOKAWAの時のBlackSuitであるかどうかに関係なく、ハッカー集団は日夜ハッキング技術の"研鑽"を積んでいる、世界最高レベルの悪業集団です。世界には様々な悪業集団があり、ナイジェリアには国際詐欺を生業としているコミュニティがあったりします。北朝鮮にはビットコイン等を盗取する部隊やランサムウェアで巨額を巻き上げる部隊がいます。ロシア系のランサムウェア犯罪者集団がいることも知られています。
日本の民間企業は当然民間であり、戦争に常時備えている"軍"ではありません。そういう民間民間した企業人を、世界のどこにいるかわからない悪業集団は狙います。そうして今回のような事案が発生します。以下の投稿ではイギリスの状況を記しました。毎日1件はランサムウェア事案が発生しているそうです。その多くは報道に公開されず、身代金を支払って終息させています。1事案あたり7億円の身代金が支払われています。
ランサムウェア被害に国の組織が対処するイギリス:GCHQ(英国政府通信本部)とは何か?(2025/105)
民間として普通に業務に邁進している、いわば丸腰の市民に対し、ランサムウェア犯罪集団は軍事トレーニングを受けたテロリストのような存在です。狙われたらひとたまりもありません。
民間も軍隊のような存在に狙われて、今回のアサヒグループのように全商品の出荷停止に至ることもあるという認識を持って、過去の常識は捨て、「トレーニングを受けた軍隊に対して臨む」という意識は必要でしょう。
世界最先端の軍事動向分析にもChatGPT 5は使える。その軍事センスをランサムウェア対応に活用する
そこで大いに役立つのが世界各国の古代から現代に至る戦争や戦略に関して膨大な知識を持ち、現代の最新のドローン戦争や中国人民解放軍の最新の兵器の分析までできるChatGPT最新版(有料版)、Gemini最新版(有料版)の出番が出てきます。以下は前者がChatGPT 5で、後者がGemini Pro 2.5で書いた最先端の軍事分析です。特にChatGPT 5が防衛省の人民解放軍動向分析やドローン戦争の動向分析にも使えるものであることを、防衛省の方々には声を大にして言いたいです。あまりに知られていなさすぎるのです。
ゼレンスキー大統領が国連総会で警告した現在「ドローン戦争」と近未来「AIドローン戦争」の脅威。日本はどう対処すべきか?
中国人民解放軍の建国70周年記念軍事パレードにおける能力展示と地域安全保障への戦略的影響に関する分析
ランサムウェア被害への対処についても、まず、世界規模で発生しているランサムウェア被害に関する手口の分析、対処方法の収集などが必要です。情報がインターネットのどこかで公開されている限り、ChatGPT 5の優秀な情報探索機能がこれらを探し出して、我々に読んで意味がある形でまとめてくれます。ある程度は過去の学習成果ですが、最新の動向は我々が仕事を指示する都度、探索して拾ってきて咀嚼し、執筆します。これは軍事インテリジェンスと呼べる域の仕事です。
こういうことができる国際レベルでできるシンクタンクが、コンサルティング会社が、専門家チームが、日本には全くいないか、ごく限られた数しかいないことは容易に想像できます。ChatGPT 5はそういう滅多に居ない専門家集団として利用可能なのです。ある程度のトレーニングを積んで利用方法を習得する必要はありますが。
特に重要なのが、いつ発生するか予期できないランサムウェア被害に際して、「それが判明した、まさにその瞬間から、ChatGPT 5の高度な情報収集や分析が当てにできるようになる」、その俊敏性です。利用方法がわかっていさえすれば、危機発生時にこれほど頼もしい存在はありません。(仮に日本の領土が未確認の敵国によってドローンで襲撃を受けた場合、同じようにChatGPT 5が状況分析に使えます。周辺国の過去のドローン準備状況等を中国語文献等で的確に分析した上で、現在起こっている事象にどう対処すべきか進言できます。膨大な中国語文献の山の中に入って軍事的に有意な情報を手元に持って来られるのは彼しかありません。)
ポイントは、ChatGPT 5が日頃から企業が取り組むべきランサムウェアの軍事センスを持ったコンサルタントになり得る存在であり(世界最高の知識ベースがあるため)、かつ、危機発生時には危機管理の司令塔として即応できる存在であるということです。欧米の先進企業等の間ではランサムウェア事案への対処にChatGPT等を活用することが始まっています。
即応できる分析能力
ChatGPT 5 のようなLLM(大規模言語モデル)は、
・攻撃の種類(LockBit/BlackCatなど)の過去事例との照合
・感染経路の一般的パターンの推定
・復旧手順(DFIRプロセス)の整理
・経営層向け報告書の即時ドラフト生成
といった「初動支援AI」としての価値が極めて高いです。
これは現実に米国・英国では、CISAやGCHQ系統のチームが既にAI分析補助を運用しています。
ということでアサヒグループで現在取り組んでいるランサムウェア被害からの復旧プロセスについて記します。
2025/10/16追記
サイバーセキュリティの専門家の方は、より詳細な技術的事項について過不足なく書いている以下の記事をお読み下さい。
【サイバーセキュリティ専門家向け:Qilinランサムウェア対応 実践ガイド】アサヒ事案の復旧対策の参考として(2025/10/16更新)
【経営者向け】元マッキンゼー廣川謙一さんと行くCES2026視察ツアー
世界最大のテック見本市を現地で体感。AI・ロボティクス・モビリティの最前線を
廣川さんが会場内で解説します。
2026年1月5日羽田空港発、1月10日羽田空港着、5泊6日(うち1泊は機内)。
ビジネスクラスのオプションがあります。
最少催行人数10名、定員20名。正式申込受付スタート。11月14日申込締切
詳細を見るJTB申込ページOASYSへのリンク
開催地:ラスベガス/開催時期:2026年1月
旅行実施:株式会社 JTB ビジネスソリューション事業本部 第六事業部
企画:株式会社インフラコモンズ
監修:ラウンズベリー・アソーシエイツ
アサヒグループHDのような大企業がたどる典型的なランサムウェア復旧プロセス
(外部フォレンジック連携と、現場の困難を含む全体像)
第1フェーズ:遮断と安定化(Containment)
◆実施内容
-
感染の拡大を防ぐため、ネットワーク分断(サーバ群/拠点間)を即時実施。
-
AD(Active Directory)、ファイルサーバ、仮想化基盤(vCenter/ESXi)を物理的に遮断。
-
工場や物流拠点では「システムが生きているか確認せずにまずLANケーブルを抜く」行動が起こる。
◆外部連携
-
セキュリティ専門会社(フォレンジック企業)を招集。
-
代表例:デロイトトーマツサイバー、NTTデータサイバーセキュリティ、NTTセキュリティ、IBM、パロアルトネットワークス など。
-
企業規模的に、アサヒは国内系+外資フォレンジックの合同チームを形成する可能性が高い。
-
◆困難点
-
現場が「生産を止めたくない」ため遮断命令が徹底しづらい。
-
障害とウイルス感染の切り分けができず、「何が安全か」が誰にもわからない。
第2フェーズ:フォレンジック調査(DFIR: Digital Forensics & Incident Response)
◆目的
-
侵入経路と攻撃範囲の特定。
-
どのバックアップが汚染されていないかを見極める。
◆実施内容
-
感染した端末・サーバのイメージを取得(Write Blocker経由で証拠保全)。
-
C2通信(攻撃者のサーバへの接続)ログを解析。
-
Windows Event Log・EDRログを復号・タイムライン化。
-
攻撃者の使用ツール(Cobalt Strike、AnyDesk、RCloneなど)の痕跡確認。
◆外部連携
-
フォレンジック企業が主導、アサヒ側はインフラ担当が技術的同席。
-
警察庁サイバー局やNISC(内閣サイバーセキュリティセンター)に報告。
◆困難点
-
ランサム攻撃者が痕跡を削除しており、完全な侵入経路の特定ができない。
-
クラウド領域(Microsoft 365, AWS, SAP BTPなど)に侵入していた場合、調査範囲が膨大。
第3フェーズ:復旧設計とデータ再構築(Recovery & Rebuild)
◆基本方針
-
暗号化されたシステムを復旧するのではなく、「再構築」する。
-
汚染リスクがあるバックアップは使わない。
-
新ドメイン、新ネットワーク、新バックアップ構成で再構築。
◆KADOKAWA事例との比較
-
KADOKAWA(2024年被害)は、身代金を支払わず(支払ったという報道もある)新インフラを自力で再構築。
-
旧ADを捨て、新ADを新構成で再立ち上げ。
-
メール・業務システムをMicrosoft 365中心に再構築。
-
復旧までに3か月以上を要したが、「再発防止型復旧」としては理想的。
-
アサヒGHDも規模が大きいため、同様の「再構築方式」を採用する可能性が高い。(SAPやmcframeなどのERPを一括復元するのは現実的に危険すぎるため)
◆外部連携
-
フォレンジックチーム+大手SI(富士通、NEC、日立、NTTデータなど)が構築を分担。
-
「SAP Basis層」「物流アプリ」「OTネットワーク」ごとに再インストールとデータ検証。
◆困難点
-
ERPや販売管理システムのマスタ整合性を取るのが極めて困難。
-
取引先とのEDI再接続、SSL証明書更新、DNS切替など膨大な手戻り。
-
工場や倉庫側で「どこまで再入力すべきか」の判断がつかない。
第4フェーズ:業務再開と再稼働(Resumption)
◆実施内容
-
まず物流(出荷・納品書・ラベル)から部分稼働。
-
次に受注・販売会計・在庫連動を再開。
-
最後に分析・経営系システムを復旧。
アサヒはすでに「手作業で受注・出荷を進めている」と発表しており、
これはまさに「第4フェーズ初期」に入っている可能性。
◆困難点
-
手作業での出荷データをERPに再反映する際、整合性が取れない。
-
顧客・取引先側のシステムとデータ齟齬が生じる。
-
「請求金額・数量・在庫数が一致しない」状態が続く。
第5フェーズ:再発防止(Post-Incident Hardening)
◆必須施策
-
ゼロトラスト再設計(特にAD分離・管理ネットワークの封鎖)。
-
バックアップのWORM化(イミュータブル保管)。
-
3-2-1-1構成の徹底。
-
フィッシング訓練と多要素認証(MFA)の義務化。
-
サプライチェーンEDIの多層防御化。
◆外部連携
-
国内では、IPAやJPCERT/CCへの報告。
-
国際的には、INTERPOLやENISA(EU)、CISA(米)と情報共有が理想。
◆困難点
-
経営層が「復旧=終結」と捉えてしまう。
-
予算が枯渇し、再発防止のフェーズで力尽きるケースが多い。
【セミナー告知】
【オンライン】経営企画室が主導するアメリカ基準のランサムウェア対策
- ChatGPT活用情報収集からランサムウェア防御対策プロジェクト詳細まで -
【主催】
【講師】
インフラコモンズ代表 リサーチャー AI×経営ストラテジスト 今泉大輔
【開催にあたって】
アサヒグループやアスクルが被害に遭っているランサムウェアは、犯罪集団の手口が高度化しており、多くの上場企業が潜在ターゲットになっています。従来サイバーセキュリティはCIO/情報システム部門が管掌していましたが、アサヒに見るように全社規模の営業損失になりかねないことから、対策には経営者の意思決定が不可欠になっています。
このセミナーでは経営者の意思決定を支援する経営企画室が主導するアメリカ水準のランサムウェア対策について、ChatGPT 5を活用した情報収集から現行社内システムに堅固なランサムウェア防御策を組み入れるプロジェクト詳細まで、ノウハウを伝授します。
【対象】
経営企画部門、情報システム部門、リスク管理部門、法務部門、総務部門、管理部門の方、経営者の方など
【日時】
2025年 11月 17日(月) 13:30~16:00
【受講形態】
オンラインZoomで受講していただけます。会場開催はありません。
【内容】
第一章 海外ランサムウェア事案を熟知しているChatGPT 5を活用した情報収集
・主なランサムウェア犯罪集団と手口、被害に遭った主なケース
・平均的な身代金、ケースごとの損失額、被害対応のベストプラクティス
第二章 危機発生時に頼りにできる外資系フォレンジック専門会社5社
・ランサムウェア事案発生時の典型的な「フォレンジック専門会社の動き」
・フォレンジック会社を使えないと何が起こるか?
・世界的に定評のある外資系フォレンジック会社5社と日本の窓口
第三章 経営企画部が主導すべきランサムウェア対策の最重要項目5つ
1.フォレンジック即応契約と「72時間以内復旧体制」の常設化
2.「事業停止コスト」シナリオ算定と防衛予算の明示化
3.AI監視+EDR/XDR」統合監視体制の常時運用契約
4.社長・役員・現場を巻き込む「BCP×サイバー演習」の制度化
5.「経営サイバーKPI」の設計とIR開示体制の構築
第四章 現行社内システムに堅固なランサムウェア防御策を組み入れる
・Wave 1(0~90日)初動・急所補強
・Wave 2(3~6ヶ月)構造改革("入らせない・増やさせない")
・Wave 3(6~12ヶ月)定着("見える化・自動化・演習")
会社規模別の費用レンジ(初年度)例:従業員 5,000名規模:5~12億円
PMO/体制と期間の目安、経営会議用:"社長決裁を仰ぐ予算提案パッケージ"
第五章 危機発生時に初動を仰ぐことができるChatGPT 5
・緊急時のシナリオに応じた具体的な活用方法
・AIを活用したランサムウェア犯罪集団にはAIで立ち向かう
【本セミナーはZoomを利用して開催いたします】