アサヒGHD・アスクルの事例に学ぶ、中小企業が今すぐ取り組むべき「脱・メール添付（PPAP）」のランサムウェア対策

1. ランサムウェア被害で営業停止に追い込まれた企業事例

2025年、日本を代表する企業であるアサヒグループホールディングス（以下、アサヒGHD）とアスクルが、相次いでランサムウェア攻撃の被害に遭いました。

両社に共通していたのは、単なるデータ漏洩にとどまらず、「基幹システムの停止」により営業活動そのものが不可能になったという点です。

• アサヒGHD：9月の攻撃発生から2ヶ月以上が経過してもシステムは完全復旧せず、前代未聞の「決算発表の延期」に追い込まれました。受注・出荷の停止により、商品の安定供給が困難になる事態を招きました。

• アスクル：10月の攻撃によりWebサイトや物流システムがダウン。本格的な復旧には約2ヶ月を要し、最大で約74万件の個人情報・取引先情報が流出する甚大な被害となりました。

これらの事例は、セキュリティ対策に多額の予算を投じている大企業でさえ、一度の侵入でビジネスが止まり、大きな損失をもたらす恐怖を浮き彫りにしました。

2. なぜランサムウェアは「防げない」のか

両社の具体的な侵入経路の詳細は公表されていませんが、一般的にランサムウェアの起点となるのは「メールを通じた感染」と「VPNなどの脆弱性を突いた侵入」です。

特に注意すべきは、日本独自の習慣になっているPPAP（パスワード付きZIPファイルの送信）です。

ウイルス対策ソフトがウイルスを検知するには、ファイルの中身を読み取り、既知のウイルスの特徴と一致するかを確認する必要があります。

しかし、パスワード付きZIPファイルは中身が暗号化されているため、スキャンをすり抜けてしまいます。

攻撃者はこの「中身が見えない」仕組みを逆手に取り、マルウェア（Emotetなど）を送り込む手法を悪用しているのです。

3. 中小企業が狙われる「サプライチェーン攻撃」の罠

「うちは大企業じゃないから狙われない」というのはもはや過去の話です。

現在の攻撃者は、防御の固い大企業だけを狙うのではなく、その取引先である「セキュリティの甘い中小企業」を足掛かりにします。

中小企業をウイルスに感染させ、そこから本標的である大企業のネットワークへ侵入する。これが「サプライチェーン攻撃」です。

この「踏み台」にされた場合、中小企業は自社の被害だけでなく、取引先への損害賠償責任や取引停止という、再起不能なダメージを受けるリスクがあります。

4. 脱PPAPがランサムウェア対策の第一歩

ランサムウェアのリスクを最小化するために、今すぐ取り組める最も効果的な対策は「メール添付という危うい習慣から脱却すること」です。

そこで活躍するのが、重要ファイル送受信プラットフォーム「Kozutumi」です。

Kozutumiがランサムウェア対策に有効な理由

Kozutumiを開発した株式会社ハートビーツは企業のサーバ管理やセキュリティ対策を請け負う事業を行っており、社内にはセキュリティに詳しいエンジニアが所属しています。

なぜKozutumiがランサムウェア対策に有効なのか？同社のエンジニアであり、『クラウドエンジニアの教科書』などの著者でもある佐野 裕さんに、その特長を聞きました。

• 「脱・PPAP」の実現： ファイルをメールに直接添付せず、重要ファイルの送受信に特化したセキュアなクラウド環境を介して受け渡すため、メール起因のウイルス感染リスクを劇的に低減します。

• 高度なウイルススキャン： 送受信されるファイルはシステム側で自動チェックされ、安全性が確保されます。（※2GB未満のファイルが対象）

• 証跡管理（ログ）： 「いつ・誰が・何を」送ったかがすべて記録されるため、万が一の際も流出経路を即座に特定・証明できます。

• サイバーリスク保険の自動付帯： 万が一の事故に備え、有料プランではサイバー保険が標準で付帯しており、リソースの限られた中小企業にとって非常に心強いセーフティネットとなります。

まとめ：今日から始める「守り」の経営

アサヒGHD・アスクルの事例は、セキュリティがもはや「経営継続の問題」であることを明らかにしました。

中小企業が高度なシステムをゼロから構築するのは難しくても、「ファイルの送り方・受け取り方を変える」ことは今日から始められます。

自社と取引先の未来を守るために、Kozutumiのような安全なプラットフォームへの移行を検討してみてはいかがでしょうか。