朝日集團 200 萬人個人資料外洩與勒索軟體攻擊分析
2025 年,日本啤酒龍頭 朝日集團(Asahi Group) 遭受大規模勒索軟體攻擊,造成:
-
近 190–200 萬筆個人資料外洩(顧客 + 員工)
-
物流與配送系統停擺,部分工廠生產延誤
-
財報公布時程被迫延後
-
企業內部數位服務一度中斷
此事件凸顯大型企業在 漏洞管理、網路分段、EDR、自動化威脅偵測 的重要性。
技術背景:勒索攻擊的三大滲透路徑
勒索軟體常利用三大技術路徑進入企業網路:
-
1. 社交工程(Phishing / Spearphishing)
-
偽造內部主管或合作廠商發信
-
附加 Office 文件、壓縮檔、PDF、OneNote
-
內含惡意 Script、Macro、PowerShell
2. 已知或未修補漏洞(常見於 Windows / Office / SMB)
常被攻擊者利用進入或橫向移動,例如:
-
SMBv3(CVE-2020-0796)
-
EternalBlue(CVE-2017-0144)
-
Outlook NTLM 漏洞(CVE-2023-23397)
-
Office 文件 RCE(CVE-2023-36884)
3. 內部後門程式 / 混入企業檔案(Supply Chain)
-
攻擊者在供應鏈過程插入惡意更新
-
或利用企業內部共享資料夾散佈惡意程式
-
攻擊技術鏈(Kill Chain)與滲透流程
根據朝日集團官方聲明與多家安全媒體報導,攻擊主體使用了多種常見的攻擊技巧:
1.初始存取:釣魚郵件中嵌入 PowerShell 腳本,利用 Invoke-Expression 下載並執行惡意 DLL。
PowerShell Invoke-Expression (IEX)
Base64 Encoded Payload
Downloader → 加載勒索程式
2. 持續化(Persistence)
惡意程式建立:
-
Windows Service
-
WMI Event Subscription
-
Scheduled Task(定時重新啟動勒索程式)
3. 權限提升(Privilege Escalation)
最常見的方式包括:
-
利用 Outlook NTLM 洩漏漏洞(CVE-2023-23397)
-
提取 LSASS 記憶體(Mimikatz)
-
利用已過期或弱密碼帳戶
4. 橫向移動(Lateral Movement)
攻擊者利用未修補漏洞快速在內網擴散:
| 利用方式 | 技術 | 說明 |
|---|---|---|
| SMB 漏洞 | CVE-2020-0796 | SMBv3 RCE,可直接在內部主機間跳躍 |
| SMBv1 | CVE-2017-0144 | EternalBlue,歷史上最大規模勒索擴散漏洞 |
| RDP Misconfig | T1021 | 弱密碼或憑證重複使用 |
5. 加密 & 資料外洩(Double Extortion)
常見手法:
-
使用 AES-256 加密檔案
-
搭配 RSA 封裝金鑰
-
加密前先外洩資料(FTP / SFTP / 雲端儲存)
影響與風險
此次事件對朝日集團及其合作夥伴造成多重危害:
- 客戶資料外洩:近 200 萬筆個人資料(姓名、地址、電話、信用卡資訊)被洩,違反 GDPR 及日本個人資訊保護法,導致巨額罰款與聲譽損失。
- 供應鏈中斷:物流系統被加密,導致原料供應與產品配送出現延誤,估計造成數百萬美元營運損失。
- 財務資訊延誤:財報公布被迫延期,對投資人與市場信心造成負面影響。
- 法律訴訟風險:客戶與合作夥伴可能基於資料外洩提起訴訟,並要求賠償。
可能涉及:
-
GDPR
-
日本個資保護法
-
國際供應鏈合規要求(FSSC、ISO、企業採購稽核)
-
防護與建議
1. 郵件安全強化(Anti-Phishing / Zero Trust Email Security)
-
-
啟用附件沙箱(Sandbox)
-
啟用 CDR(Content Disarm & Reconstruction)
-
禁止自動執行 Office 宏
-
2. 漏洞與資產管理(Patch + CIS Benchmark)
-
-
每週掃描(Nessus / OpenVAS / Qualys)
-
將高風險 CVE(如 SMB、Office)設為「優先 48 小時內修補」
-
3. 端點偵測與回應(EDR / XDR)
監控:
-
-
PowerShell / WMI 行為
-
可疑登入
-
ASN(異常網路連線)
-
加密前大量檔案讀取行為
-
4. 網路分段(Segmentation / Microsegmentation)
-
-
將 ERP、MES、生產線 OT 網路切分
-
僅允許最小必要的連線
-
防堵橫向移動
-
5. 資料備份(3-2-1 原則)
-
-
3 份資料
-
2 種媒介
-
1 份離線 / 雲端不可寫入備份
-
每月演練「完整還原測試」
-
6. 安全文化與釣魚演練
-
-
-
每月釣魚測試
-
主管級安全認知訓練
-
設計「可疑郵件回報流程」
-
-
CVE / 漏洞摘要整理((示意:勒索攻擊常見利用的漏洞,不代表本事件確定使用)
| CVE / 漏洞編號 | 影響產品 / 元件 | CVSS / 嚴重度 | 說明 | 修補建議 |
|---|---|---|---|---|
| CVE-2020-0796 | Microsoft Windows SMBv3.1.1 | 9.8 (Critical) | 「SMBGhost」遠端程式碼執行漏洞,允許未授權攻擊者透過 SMB 封包在目標系統執行任意程式碼,過去曾被多起勒索攻擊利用。 | 立即安裝對應 KB 更新,並在必要時限制 SMBv3 對外暴露。 |
| CVE-2017-0144 | Microsoft Windows SMBv1 | 9.8 (Critical) | 「EternalBlue」RCE 漏洞,WannaCry 等勒索軟體的主要攻擊途徑,可在內網快速橫向擴散。 | 停用 SMBv1,安裝 MS17-010 相關安全更新。 |
| CVE-2023-36884 | Microsoft Windows / Office | 8.3 (High) | Windows Search / Office 文件鏈結 RCE,透過特製 Office 文件觸發遠端程式碼執行,曾被實際攻擊活動利用。(Trellix) | 安裝 2023 年 8 月之後的累積更新,並限制不受信任的 Office 文件。 |
| CVE-2023-23397 | Microsoft Outlook (Windows) | 9.8 (Critical) | Outlook 權限提升漏洞,攻擊者可藉特製郵件在使用者無感的情況下竊取 NTLM 認證,並在內網橫向移動。 | 立即套用 Microsoft 安全更新,並加強 NTLM 保護與郵件過濾策略。 |
MITRE ATT&CK 對應
-
T1566 – Phishing
-
T1059 – PowerShell
-
T1078 – Valid Accounts
-
T1021 – Remote Services(RDP/SMB)
-
T1086 – PowerShell Execution
-
T1486 – Data Encryption
-
T1567 – Data Exfiltration
參考資料與原文來源
- 啤酒商朝日證實資料外洩事件影響近200萬人 – iThome
- 2025臺灣網路惡意活動數量居高不下,在亞太地區名列前茅 – iThome
- 朝日集團被駭重傷社長道歉:百萬個資外洩 – LINE TODAY
- 朝日集團遇網路勒索「推遲財報公布」 近200萬組個資恐外流 – Yahoo News
- 日本啤酒巨頭朝日遭勒索攻擊超過150萬顧客個資恐外洩! – 自由時報
- 朝日集團拒付駭客贖金191萬資料外洩釀物流癱瘓與財報延期 – CyberQ
- 2025 11 月 29 日 – 體驗:未來的優勢
- 2025 11 月 28 日 – .NET 10 統一建置架構加快安全修補與版本發布節奏
🧠 本文由 DreamJ AI 技術新聞生成系統 自動撰寫與優化,
內容僅供技術研究與學習參考,實際環境請搭配官方公告與資安建議。
發佈留言