2025年、相次いで発生した大規模サイバー攻撃は、「企業活動は簡単に止まる」という現実を突きつけました。出荷停止、顧客対応の混乱、決算遅延――その影響はIT部門にとどまらず、事業全体を揺るがします。もはやサイバー攻撃は“情報システムの問題”ではなく、“経営そのものの危機”です。本稿では、象徴的な3つの事例をもとに、なぜ被害が拡大したのかを検証し、事業継続を支えるBCPの実践的なポイントを読み解きます。企業が今備えるべき視点とは何か、その核心に迫ります。
はじめに
「サイバー攻撃に対して自社は大丈夫なのか」
2026年現在、多くの企業において、情報セキュリティ部門やBCP担当者の皆様が直面している切実な問いの一つではないでしょうか。なぜなら、2025年に発生したサイバー攻撃が、多くの経営者にとって「他人事ではない」という危機意識を植え付ける、衝撃的な出来事の一つだったからです。
この2025年に発生した事象は、「サイバー攻撃は、ビジネスを致命的に止める」ということを明らかにしました。主な影響だけを取り上げても、次のような深刻な事態が引き起こされています。
- 物流への影響(出荷数および出荷商品の制限が数カ月に及んだ)
- 顧客対応の遅れ(1カ月程度にわたるコールセンター業務の混乱など)
- 投資家への開示の遅れ(2度にわたる決算発表の延期)
- 個人情報漏洩
そこで本稿では、2025年に発生した象徴的なサイバー攻撃事例を3つ取り上げ、BCPやサイバー攻撃対応BCPに取り込むべき教訓と工夫について、明らかにしていきます。
2025年に発生した、ビジネスを止めるサイバー攻撃
2025年に発生したサイバー攻撃被害で特に注目されたのが、3カ月続けて発生した以下の3つの事例です。いずれも1カ月以上の事業停止となり各メディアでも大々的に取り上げられました。それぞれの被害概要および、財務的影響について見ていきます。
【表1】サイバー攻撃被害を受けた3企業の被害概要と財務的影響
| 発生時期 | 被害企業 | 被害概要 | 財務的影響 |
|---|---|---|---|
| 8月 | ジャガー・ランドローバー (英国) |
|
サイバー攻撃による生産停止などの影響により、第2四半期の売上高は49億ポンドで前年同期比24%減、上半期の売上高は115億ポンドで前年同期比16%減。 資金繰り支援のためイギリス政府が約15億ポンド(約3,000億円)の融資保証を発表。 |
| 9月 | アサヒグループホールディングス (日本) |
|
出荷制限の影響により、システム停止が長期化した2025年10月~12月の累計売上は、前年比でアサヒビールが8割台前半、アサヒ飲料が7割程度、アサヒグループ食品が9割程度へと低下。 システム間のデータ連携に支障が出たため、決算手続きが進まず、第3四半期および通期の決算発表を延期。 代替手段にかかる特別物流費や復旧費用の発生に加え、奪われたシェアを取り戻すための販売促進費などの追加投資を判断。 |
| 10月 | アスクル (日本) |
|
大規模なシステム障害とデータの暗号化で、財務数値の精査に十分な時間を確保する必要が生じ、第2四半期の決算発表を延期。 |
出典:ジャガー・ランドローバー、アサヒグループホールディングス、アスクルがこれまでに公表したプレスリリース・実施した記者会見に基づき筆者が作成
3事例それぞれの課題を検証
次に、3つの事例について、【検知】【対応】【復旧】【公表】の4フェーズで、被害を大きくさせる要因は何だったのか、検証します。
1. 検知フェーズ:初動対応と被害拡大防止
3社共通して、侵入から検知に、一定の時間を要しました。アサヒグループホールディングスでは侵入後検知までに約10日間。また、アスクルでは2025年6月5日に初期侵入があり、同年10月19日の異常検知まで3カ月強の時間を要しました。
それぞれの原因について、分析します。
アサヒグループホールディングス
- EDRなどの仕組みを導入していたものの、攻撃の手法が想定以上に巧妙かつ高度であったため、既存のEDRでは検知できませんでした。
- 侵入後、攻撃者がパスワードの脆弱性を突いて管理者権限を奪取し、その奪取した正規アカウントを不正利用してネットワーク内部を探索されました。
- さらに、侵入に気づくまでに時間を要した理由として、侵入から10日間、攻撃者は、人の監視の目が届きにくい業務時間外に、ネットワーク内での探索や、複数のサーバーへの侵入・偵察を繰り返していたことがあります。そのため、EDRなどの仕組みを補完する人員の目が行き届かなかった可能性が指摘されています。
アスクル
- 例外的に多要素認証(MFA)が適用されていなかった業務委託先用の管理者アカウントが漏洩し、その管理者アカウントを不正利用されたことに加え、被害を受けたデータセンターのサーバーにEDRが未導入だったため、初期侵入を検知できませんでした。
- 侵害されたデータセンターのサーバーにEDRが未導入であった上に、当時のEDRシグネチャでは検知が難しい巧妙なランサムウェアが使用されていました。さらに、攻撃者によって侵入後にEDRなどの脆弱性対策ソフトが意図的に無効化されていました。
- さらに、検知まで時間を要した理由として指摘できるのは、24時間365日の監視体制が敷かれていなかったことです。この結果、6月の初期侵入から10月19日のランサムウェア起動までの約4カ月間、侵入や内部での権限昇格(ログイン試行)の動きを検知できませんでした。
- 一方で、異常検知後、直ちにネットワークを物理的に切断して被害拡大を防ぐとともに、全管理者アカウントのパスワード変更や多要素認証(MFA)の適用といった初動対応を迅速に実行しました。この結果、被害の甚大な拡大は防止できたといえます。
ジャガー・ランドローバー
- サイバーインシデントを認識した際、影響が拡大するのを待つのではなく、自ら予防的にシステムをシャットダウンする即時措置(Immediate action to mitigate its impact by proactively shutting down)を講じました。この判断によって、生産や販売が止まるという甚大な痛みを伴ったものの、被害の極小化を優先できました。
2. 対応フェーズ:事業継続対応
では続いて、対応フェーズについても見ていきます。3社共通して、情報システム部門だけではなく、事業部門を含む全社の意思決定で好判断が見られた=BCPをうまく活用できていたといえます。
アサヒグループホールディングス
- 「最大のBCPは手作業」というアナログ対応の実効性:
- システムが全面停止し、工場は稼働できても出荷ができない状況において、FAXやExcelを用いた手作業での受発注業務へと切り替えました。
- また発注にあたっても、リードタイムの延長や出荷可能品目数の大幅な制限などを行いました。
- 現場を守るトップメッセージの発信:
- システム障害下での手作業は現場に多大な負荷を強いるため、「社員は放っておいても頑張ってしまう」状況に陥ります。経営トップが「命を削ってまで復旧作業をやるな(社員の健康が一番大事)」という明確なメッセージを全社に繰り返し発信し、現場の安心感や健康維持を最優先にしたことは、危機管理における経営層の対応として高く評価される教訓です。
- 「身代金は支払わない」という早期の方針決定:
- 攻撃者からの要求の有無にかかわらず、反社会勢力への資金提供を避けるため、また支払っても完全な復旧は保証されないという判断から、早期に「身代金は支払わない」「交渉しない」と決断しました。これにより、社内の不要な混乱を招かずに済んだ点も大きな教訓です。
アスクル
- 優先順位をつけた出荷再開:
- システムを使わない手運用による出荷スキームを構築し、まずはBtoB(事業所向け)の医療機関や介護施設などを優先し、わずか「37アイテム」の限定的なトライアルから出荷を再開しました。焦って一気に再開するのではなく、影響範囲をコントロールしながら小さく確実な一歩(トライアル)を踏み出す事業継続のアプローチは大きな教訓です。
ジャガー・ランドローバー
- ステークホルダー支援とキャッシュフローを最優先にした対応:
- システムの段階的再開において、「サプライヤーへの支払い滞留を解消するための請求書処理」「顧客の移動手段を維持するための部品物流センターの稼働」「キャッシュフローを生み出すための車両卸売り用財務システムの復旧」といった部分やステークホルダーへの責任を果たす領域を戦略的に優先して対応しました。
3. 復旧フェーズ:データ・システム復旧
復旧フェーズには相当な時間を要することがわかります。それぞれの復旧対応についても見ていきます。
アサヒグループホールディングスの教訓:
バックアップは健全な状態で確保されていましたが、「脅威が潜んでいるかもしれない既存のサーバー環境にそのままデータを戻せば、再び被害が拡大する」リスクがありました。そのため、外部専門機関によるフォレンジック調査を実施し、影響を受けた全てのサーバーを再構築したうえで、システムの健全性が確認されたものから段階的に復旧させるという非常に慎重なアプローチをとり、結果として数カ月の時間を要しました。
アスクルの教訓:
アスクルは、汚染の可能性が残る既存のシステム環境を部分的に修復するのではなく、「安全が確認された新しい環境をゼロから構築する」という方式を採用しました。
ジャガー・ランドローバーの教訓:
ジャガー・ランドローバーの復旧フェーズに見る教訓は、外部専門機関・政府機関との強力な連携にあります。検知後から、サードパーティのサイバーセキュリティ専門家に加え、英国政府のNCSC(国家サイバーセキュリティセンター)や法執行機関と昼夜を問わず連携し、安全・確実な再開プロセスを辿りました。高度なインシデント対応において外部の知見をフル活用する重要性を示しています。
4. 公表フェーズ:外部公表と情報開示
ここまでのフェーズでは、3事例共通で、迅速な対応が行えていることを確認できました。
一方で、公表フェーズについては、特にアサヒグループホールディングスとアスクルの事例で、対応に大きな差が見られました。
その特徴は、以下の表からも明らかです。
【表2】3企業の公表手段と実績
| 公表手段と実績(2026年2月末時点) | ||
|---|---|---|
| プレスリリース | 会見 | |
| アサヒグループホールディングス | 4報 | 実施した (2025年11月 ※検知から約2カ月後) |
| アスクル | 18報 | 実施せず |
| ジャガー・ランドローバー | 7報 | 実施せず |
アスクルは会見こそ行わなかったものの、発生当日(2025年10月19日)に第1報を発表して以降、復旧完了の第18報(2026年2月13日)に至るまで、非常に高い頻度で詳細なプレスリリースを出し続けました。被害状況や復旧の進捗、情報漏洩の有無などを透明性高く迅速に開示し続けた点が特徴です。
一方のアサヒグループホールディングスは発生から約2カ月後に初めて、経営トップが登壇する記者会見を実施して詳細を説明しました。IT部門任せにせず経営層自らが専門的な質問に回答した姿勢自体は好印象を与えました。一方で、内容は技術面についての詳細な開示が避けられています。
ジャガー・ランドローバーは英国企業ということで日本の風習とは異なることが前提ですが、それでも計7報を公表しています。
3つの事例にみる教訓
これら3つの事例は多くの教訓を残しました。この教訓は、大きく分けると4つに整理できます。
【教訓1】長期間の事業停止をもたらす
3つの事例に共通するのは、数カ月以上のシステム停止をもたらすという点です。それだけの期間を要する理由は、巧妙なサイバー攻撃がひとたび発生した際には、再び被害が拡大するリスクを最小化するため、新たなサーバーを構築することが有効だからです。上記の経緯から、一度サイバー攻撃を受けた際には、数カ月レベルでシステムが利用できないという前提に立った対策をとる必要があります。
【教訓2】システム復旧を待たずとも、手作業で事業を再開する(=事業部門のBCPの活用)ことが可能である
日頃BCPの支援をする中で、「システムが停止した場合、事業側では手も足も出ない」という声を聞きます。しかし、教訓1で述べたような期間、事業が一切停止することは許容不可能でしょう。実際、本稿で取り上げた3事例ともに、手作業での業務を行うことで、事業への影響を最小化しました。アサヒグループホールディングスの勝木社長が記者会見で、「今回の最大のBCPは手作業による出荷ができたこと」と発言されたのは、その象徴であるともいえます。
【教訓3】手作業で事業をすべて再開させることは困難である(優先事業を設定することが有効)
ただし、いくら事業のBCPが機能したとはいえ、全事業を一度に復旧させるのは不可能です。本稿で取り上げた3事例共通して、優先順位をつけた復旧対応が行われました。この優先順位ですが、一定程度、平時に決めておくことが肝要です。弊社がBCPを支援する中で、訓練の際によく出てくる発言が「このような緊急事態に、私は駆けつける必要があるのか」といった、明確な行動基準が示されていないことへの戸惑いの声です。平時に優先順位を決め、その対応手順を事業部門員と意識合わせすることで、スムーズな事業再開が可能になります。
【教訓4】最後はリーダーシップ
BCPが重要であることはお伝えしました。ただし、これだけの期間、有事対応を行うには、トップマネジメントのリーダーシップが重要な成功要因になります。情報にアクセスできない中、事業部門員は、以下の悩みに陥るでしょう。
- どれくらいの期間、手間のかかる作業を行う必要があるのか
- どれほどの商品を取り扱う必要があるのか
こうした悩みに答えられるのが、トップマネジメントのメッセージです。その意味で、アサヒグループホールディングス勝木社長が有事対応中に発信した、「命を削ってまで復旧作業をやるな(社員の健康が一番大事)」というメッセージは、非常に重要な役割を果たしたのではないでしょうか。
教訓からみる、サイバー攻撃対応BCP構築~運用のポイント
これらの教訓を踏まえ、今後取り組むべきサイバー攻撃対応BCPのポイントは、以下の表にまとめることができます。
以上のポイントを踏まえ、サイバー攻撃への最後の砦として、サイバー攻撃対応BCPを活用いただければと思います。
おわりに
ここまで見てきた通り、2025年に発生したサイバー攻撃は、サイバー攻撃対策が「情報システム部門」だけではなく、「事業部門」のマターでもあることを明らかにしました。また、サイバー攻撃に備え「事業部門」がBCPを策定しておくべきという、現実を突きつけました。
これまでは自然災害対応を想定したBCPを策定していた企業、オールハザードBCPを策定していてもサイバー攻撃には対応できない企業については、早急に見直しが必要だといえます。
今後、AIの発展によって、サイバー攻撃はより巧妙になり、完璧に防御することはますます困難になります。こうしたことから、事業部門も一体となってサイバー攻撃対応を想定したBCPに取り組むことが、今後の企業の生死に直結するといえます。2025年に発生したサイバー攻撃事例は決して他人事ではなく、いつ、どんな企業にも迫ってくる重大なリスクといえるのではないでしょうか。
参考文献
- Jaguar Land Rover「Statement on Cyber Incident 2025年9月2日」
- Jaguar Land Rover「Statement on Cyber Incident 2025年9月23日」
- Jaguar Land Rover「Statement on Cyber Incident 2025年9月25日」
- Jaguar Land Rover「JLR PERFORMANCE IMPACTED IN CHALLENGING QUARTER 2025年11月14日」
- GOV.UK「Government backs Jaguar Land Rover with £1.5 billion loan guarantee」
- アサヒグループホールディングス「サイバー攻撃によるシステム障害発生について」(2025年9月29日)
- アサヒグループホールディングス「サイバー攻撃によるシステム障害発生について(第2報)」(2025年10月3日)
- アサヒグループホールディングス「サイバー攻撃によるシステム障害発生について(第3報)」(2025年10月8日)
- アサヒグループホールディングス「サイバー攻撃による情報漏えいに関する調査結果と今後の対応について」(2025年11月27日)
- アサヒグループホールディングス「サイバー攻撃による情報漏えいに関する調査結果と今後の対応について」(2026年2月18日)
- アスクル「ランサムウェア感染によるシステム障害発生のお知らせとお詫び(第1報)」(2025年10月19日)
- アスクル「ランサムウェア感染によるシステム障害について(第2報)」(2025年10月22日)
- アスクル「サービスの復旧状況について(ランサムウェア攻撃によるシステム障害関連・第18報)」(2026年2月13日)
