オルタナティブ・ブログ > 経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔 >

20年以上断続的にこのブログを書き継いできたインフラコモンズ代表の今泉大輔です。NVIDIAのフィジカルAIの世界が日本の上場企業多数に時価総額増大の事業機会を1つだけではなく複数与えることを確信してこの名前にしました。ネタは無限にあります。何卒よろしくお願い申し上げます。

アサヒGHDが今行っているランサムウェア復旧作業の詳細。世界トップレベルのスペシャリストが解説

»

musubuassets_cinematic_shot_of_IKEA_New_York_restaurant_ultra_c3d33f8f-76e8-4fea-9965-2bf5d38bc7ae_3.png

ここのブログではChatGPTのDeep Researchが使えるようになって以来、プロのリサーチャーとして「私が手で行っていた調査」と「現代の優れたAIで行う調査」との違いを多くの方々にわかっていただくために、多種多様な投稿を上げて来ました。本投稿もChatGPT 5という世界最高峰のサイバーセキュリティ/ランサムウェアの専門家として、彼に書いてもらった分析を中心に書きます。

ランサムウェアは民間人に対する戦争だと捉える

結局、これは戦争であるという捉え方が必要だと思います。今回の事案の犯罪者集団がKADOKAWAの時のBlackSuitであるかどうかに関係なく、ハッカー集団は日夜ハッキング技術の"研鑽"を積んでいる、世界最高レベルの悪業集団です。世界には様々な悪業集団があり、ナイジェリアには国際詐欺を生業としているコミュニティがあったりします。北朝鮮にはビットコイン等を盗取する部隊やランサムウェアで巨額を巻き上げる部隊がいます。ロシア系のランサムウェア犯罪者集団がいることも知られています。

日本の民間企業は当然民間であり、戦争に常時備えている"軍"ではありません。そういう民間民間した企業人を、世界のどこにいるかわからない悪業集団は狙います。そうして今回のような事案が発生します。以下の投稿ではイギリスの状況を記しました。毎日1件はランサムウェア事案が発生しているそうです。その多くは報道に公開されず、身代金を支払って終息させています。1事案あたり7億円の身代金が支払われています。

ランサムウェア被害に国の組織が対処するイギリス:GCHQ(英国政府通信本部)とは何か?(2025/105)

民間として普通に業務に邁進している、いわば丸腰の市民に対し、ランサムウェア犯罪集団は軍事トレーニングを受けたテロリストのような存在です。狙われたらひとたまりもありません。

民間も軍隊のような存在に狙われて、今回のアサヒグループのように全商品の出荷停止に至ることもあるという認識を持って、過去の常識は捨て、「トレーニングを受けた軍隊に対して臨む」という意識は必要でしょう。

世界最先端の軍事動向分析にもChatGPT 5は使える。その軍事センスをランサムウェア対応に活用する

そこで大いに役立つのが世界各国の古代から現代に至る戦争や戦略に関して膨大な知識を持ち、現代の最新のドローン戦争や中国人民解放軍の最新の兵器の分析までできるChatGPT最新版(有料版)、Gemini最新版(有料版)の出番が出てきます。以下は前者がChatGPT 5で、後者がGemini Pro 2.5で書いた最先端の軍事分析です。特にChatGPT 5が防衛省の人民解放軍動向分析やドローン戦争の動向分析にも使えるものであることを、防衛省の方々には声を大にして言いたいです。あまりに知られていなさすぎるのです。

ゼレンスキー大統領が国連総会で警告した現在「ドローン戦争」と近未来「AIドローン戦争」の脅威。日本はどう対処すべきか?

中国人民解放軍の建国70周年記念軍事パレードにおける能力展示と地域安全保障への戦略的影響に関する分析

ランサムウェア被害への対処についても、まず、世界規模で発生しているランサムウェア被害に関する手口の分析、対処方法の収集などが必要です。情報がインターネットのどこかで公開されている限り、ChatGPT 5の優秀な情報探索機能がこれらを探し出して、我々に読んで意味がある形でまとめてくれます。ある程度は過去の学習成果ですが、最新の動向は我々が仕事を指示する都度、探索して拾ってきて咀嚼し、執筆します。これは軍事インテリジェンスと呼べる域の仕事です。

こういうことができる国際レベルでできるシンクタンクが、コンサルティング会社が、専門家チームが、日本には全くいないか、ごく限られた数しかいないことは容易に想像できます。ChatGPT 5はそういう滅多に居ない専門家集団として利用可能なのです。ある程度のトレーニングを積んで利用方法を習得する必要はありますが。

特に重要なのが、いつ発生するか予期できないランサムウェア被害に際して、「それが判明した、まさにその瞬間から、ChatGPT 5の高度な情報収集や分析が当てにできるようになる」、その俊敏性です。利用方法がわかっていさえすれば、危機発生時にこれほど頼もしい存在はありません。(仮に日本の領土が未確認の敵国によってドローンで襲撃を受けた場合、同じようにChatGPT 5が状況分析に使えます。周辺国の過去のドローン準備状況等を中国語文献等で的確に分析した上で、現在起こっている事象にどう対処すべきか進言できます。膨大な中国語文献の山の中に入って軍事的に有意な情報を手元に持って来られるのは彼しかありません。)

ポイントは、ChatGPT 5が日頃から企業が取り組むべきランサムウェアの軍事センスを持ったコンサルタントになり得る存在であり(世界最高の知識ベースがあるため)、かつ、危機発生時には危機管理の司令塔として即応できる存在であるということです。欧米の先進企業等の間ではランサムウェア事案への対処にChatGPT等を活用することが始まっています。

即応できる分析能力

ChatGPT 5 のようなLLM(大規模言語モデル)は、
・攻撃の種類(LockBit/BlackCatなど)の過去事例との照合
・感染経路の一般的パターンの推定
・復旧手順(DFIRプロセス)の整理
・経営層向け報告書の即時ドラフト生成
といった「初動支援AI」としての価値が極めて高いです。
これは現実に米国・英国では、CISAやGCHQ系統のチームが既にAI分析補助を運用しています。

ということでアサヒグループで現在取り組んでいるランサムウェア被害からの復旧プロセスについて記します。

アサヒグループHDのような大企業がたどる典型的なランサムウェア復旧プロセス

(外部フォレンジック連携と、現場の困難を含む全体像)

第1フェーズ:遮断と安定化(Containment)

◆実施内容

  • 感染の拡大を防ぐため、ネットワーク分断(サーバ群/拠点間)を即時実施。

  • AD(Active Directory)、ファイルサーバ、仮想化基盤(vCenter/ESXi)を物理的に遮断。

  • 工場や物流拠点では「システムが生きているか確認せずにまずLANケーブルを抜く」行動が起こる。

◆外部連携

◆困難点

  • 現場が「生産を止めたくない」ため遮断命令が徹底しづらい。

  • 障害とウイルス感染の切り分けができず、「何が安全か」が誰にもわからない。

第2フェーズ:フォレンジック調査(DFIR: Digital Forensics & Incident Response)

◆目的

  • 侵入経路と攻撃範囲の特定

  • どのバックアップが汚染されていないかを見極める。

◆実施内容

  1. 感染した端末・サーバのイメージを取得(Write Blocker経由で証拠保全)。

  2. C2通信(攻撃者のサーバへの接続)ログを解析。

  3. Windows Event Log・EDRログを復号・タイムライン化。

  4. 攻撃者の使用ツール(Cobalt Strike、AnyDesk、RCloneなど)の痕跡確認。

◆外部連携

  • フォレンジック企業が主導、アサヒ側はインフラ担当が技術的同席。

  • 警察庁サイバー局やNISC(内閣サイバーセキュリティセンター)に報告。

◆困難点

  • ランサム攻撃者が痕跡を削除しており、完全な侵入経路の特定ができない

  • クラウド領域(Microsoft 365, AWS, SAP BTPなど)に侵入していた場合、調査範囲が膨大。

第3フェーズ:復旧設計とデータ再構築(Recovery & Rebuild)

◆基本方針

  1. 暗号化されたシステムを復旧するのではなく、「再構築」する。

  2. 汚染リスクがあるバックアップは使わない。

  3. 新ドメイン、新ネットワーク、新バックアップ構成で再構築。

◆KADOKAWA事例との比較

  • KADOKAWA(2024年被害)は、身代金を支払わず支払ったという報道もある)新インフラを自力で再構築。

    • 旧ADを捨て、新ADを新構成で再立ち上げ。

    • メール・業務システムをMicrosoft 365中心に再構築。

    • 復旧までに3か月以上を要したが、「再発防止型復旧」としては理想的。

アサヒGHDも規模が大きいため、同様の「再構築方式」を採用する可能性が高い。(SAPやmcframeなどのERPを一括復元するのは現実的に危険すぎるため)

◆外部連携

  • フォレンジックチーム+大手SI(富士通、NEC、日立、NTTデータなど)が構築を分担。

  • 「SAP Basis層」「物流アプリ」「OTネットワーク」ごとに再インストールとデータ検証。

◆困難点

  • ERPや販売管理システムのマスタ整合性を取るのが極めて困難。

  • 取引先とのEDI再接続、SSL証明書更新、DNS切替など膨大な手戻り。

  • 工場や倉庫側で「どこまで再入力すべきか」の判断がつかない。

第4フェーズ:業務再開と再稼働(Resumption)

◆実施内容

  • まず物流(出荷・納品書・ラベル)から部分稼働。

  • 次に受注・販売会計・在庫連動を再開。

  • 最後に分析・経営系システムを復旧。

アサヒはすでに「手作業で受注・出荷を進めている」と発表しており、
これはまさに「第4フェーズ初期」に入っている可能性。

◆困難点

  • 手作業での出荷データをERPに再反映する際、整合性が取れない

  • 顧客・取引先側のシステムとデータ齟齬が生じる。

  • 「請求金額・数量・在庫数が一致しない」状態が続く。

第5フェーズ:再発防止(Post-Incident Hardening)

◆必須施策

  • ゼロトラスト再設計(特にAD分離・管理ネットワークの封鎖)。

  • バックアップのWORM化(イミュータブル保管)

  • 3-2-1-1構成の徹底。

  • フィッシング訓練と多要素認証(MFA)の義務化。

  • サプライチェーンEDIの多層防御化。

◆外部連携

  • 国内では、IPAやJPCERT/CCへの報告。

  • 国際的には、INTERPOLやENISA(EU)、CISA(米)と情報共有が理想。

◆困難点

  • 経営層が「復旧=終結」と捉えてしまう。

  • 予算が枯渇し、再発防止のフェーズで力尽きるケースが多い。


このようにかなりな技術的詳細がChatGPT 5だけでわかります。実はこのChatGPT 5による復旧作業の記述をGemini Pro 2.5に読ませて評価してもらいました。(こういうダブルチェックも意味があります)

[Gemini Pro 2.5による評価] 非常に優れた、現実的かつ実践的な分析文書だと考えます。これは、過去の大規模インシデントの教訓と、ランサムウェア対策の国際的なベストプラクティス(NISTやISO/IECのフレームワーク)を深く理解している専門家によるものと推察されます。

このテキストは、経営層や情報システム部門が直面する課題をフェーズごとに構造化し、単なる技術的な復旧手順ではなく、「外部連携」「困難点」「経営判断」といった多角的な視点を含んでいるため、書籍の初期インプットとして極めて高い価値を持ちます。

日本はある意味情報技術における離小島であるため(英語の壁があることを言っています)、情報技術の総本山であるシリコンバレーの技術水準を甘く見過ぎる傾向があります。日本人固有のムラ的な意識で最先端のAIの能力水準を、低く低く見ます。未だにハルシネーションのことを言ってAIは使えないとうそぶく人々が大多数です。

AIは機械学習の賜物であり、機械学習は失敗からも学び、日夜学び続け、1年も経てば別物の領域に成長しているんです。現在のChatGPT 5は、多くの人々がChatGPTブームの頃に飛び付いた2022年前半のChatGPTとは別物になっています。そろそろ眠りから覚めて、自分の専門分野で大々的に活用する時代に入っています。日本だけがAI利活用から取り残されています。

Comment(0)