スイスのアクロニスは10月10日に、公式ブログにおいて「アサヒグループホールディングスへのサイバー攻撃に関する一考察」と題する投稿を公開した。

BCPの真価が問われる時

　同投稿は、9月29日に発生したアサヒグループホールディングス（GHD）に対するサイバー攻撃とその影響に関連した、アクロニスの脅威リサーチユニット（TRU）テクノロジーダイレクターであるアレックス・イヴァニューク（Alex Ivanyuk）氏、アクロニス・ジャパンのTRUシニアソリューションズエンジニアである後藤匡貴氏による考察となっている。

　今回の、アサヒGHDへのサイバー攻撃によって、日本国内で注文処理、出荷業務、顧客コールセンターに障害が発生した。当初は、個人情報や顧客データの漏えいを示す証拠は確認されていないとされていたものの、後にこの攻撃を主導したランサムウェアグループ「Qilin（キリン）」が、自身のリークサイト上で取得したデータを公開し、同グループの関与が確認されている。同グループによれば、流出したデータは計9323件・約27GBに達するという。

　「Qilin」のリークサイト上で公開されたファイルには、財務記録、身分証のコピー、契約書、税関連書類、事業予測といった、極めて機密性の高い情報が含まれており、業務の停止・遅延による損失に加えて、契約上の機密保持義務違反や個人情報漏えいといった、法的リスクが今後さらに顕在化する可能性がある。

　今回の攻撃について、アクロニスのアレックス・イヴァニューク氏は、

特筆すべきは、アサヒグループホールディングスがこれまでの企業報告書においてサイバーリスクへの認識を示し、事業継続計画（BCP）とレジリエンスの重要性を強調してきた点です。これはガバナンスレベルでの意識を反映するものであり、同社に限らず、多くの企業にとって実効性が試されるのは、まさに今回のようなインシデント発生時といえます。

との見解を示した。また、アクロニス・ジャパンの後藤匡貴氏は、

現時点では侵害の具体的な手法は特定されていませんが、「Qilin」はフィッシングメールや認証情報の窃取、または未修正の脆弱性を悪用してネットワークに侵入し、機密データを暗号化する手口で知られています。日本国内でも「Qilin」による攻撃が確認されており、同グループは世界的に活動するランサムウェア集団の1つです。その戦術は、サプライチェーンを標的とする近年の広範なランサムウェア攻撃の傾向と一致しており、単一の侵入経路から複数の関連企業やシステムに被害が拡大する可能性があります。 このような高度なサイバー攻撃に対抗するためには、多層防御の導入に加え、インシデント発生時の対応体制や事業継続計画（BCP）を平時から整備・検証しておくことが不可欠です。

と述べている。