全4555文字
PR

 ホンダがサイバー攻撃を受け、国内外の工場で生産・出荷を一時停止する事態に陥った。この事例から見えてきたのは、工場の生産ラインをつかさどる制御層に侵入されなくても、工場は止まり得るということである。歴史的に製造部門と情報部門の隔たりが大きい製造業は、攻撃者にとって格好の標的だ。製造業の実情に詳しいサイバーセキュリティーの専門家が、ホンダの事例や最新の動向、取るべき対策を解説する。(日経クロステック)

東京・青山のホンダ本社(出所:ホンダ)
東京・青山のホンダ本社(出所:ホンダ)

 2020年6月上旬、ホンダがサイバー攻撃を受けて、国内を含めた世界の11工場で生産や出荷を停止した。数日にわたって多くの従業員がメールやファイルサーバーなど社内システムを使えない状況になり、世界規模で生産・出荷停止や遅延が発生した。製造業へのサイバー攻撃の脅威をあらためて認識させられる出来事だ。

 ホンダはどのようなサイバー攻撃を受け、生産・出荷に影響を及ぼすのに至ったのか。同社は、セキュリティー上のリスクを理由に、今回のサイバー攻撃の詳細については公表しない。セキュリティー対策の見直しと強化には一定の期間を要するので、現時点での対応として合理的な判断といえよう。

 ただし、今回のホンダへの攻撃との関連が指摘されるマルウエア(サイバー攻撃に使用されるプログラム)のサンプルが、著名なマルウエア検査サービス提供サイトに報告されており、その動作メカニズムを複数のセキュリティー研究者が分析している。報じられている情報とマルウエアの分析結果から、今回の攻撃の特徴と対策を考察してみよう。

選択的ロジックで対策技術を回避

 今回のサイバー攻撃で使用された可能性のあるマルウエアは、ランサムウエアの一種で、「SNAKE(あるいはEKANS)」の名前で知られる。ランサムウエアとは、感染したコンピューターのファイルを暗号化するなどして使用不能にし、元に戻すことと引き換えに「身代金(ランサム)」を要求するマルウエアである。17年に大流行し、多くの組織や個人に被害を与えた「WannaCry」が有名だ。ただし、SNAKEはWannaCryと大きく異なる特徴を備えている。

 最も大きな相違点は、WannaCryができる限り多くのコンピューターに感染を拡大させていく「ばらまき型」だったのに対し、今回報告されたSNAKEのサンプルにはホンダの社内ネットワーク(と推測される環境)だけで動作する選択的なロジックが組み込まれていたことだ。つまり、特定の組織を狙った「標的型」攻撃の可能性が極めて高い。

 選択的なロジックによって、仮想環境を使ったセキュリティー検査などの対策技術を回避し、攻撃者の目的を達成する可能性を高めている。加えて、標的型はばらまき型と比べて、セキュリティー専門家によるマルウエアサンプルの入手を遅らせ、対策されるまでの時間を稼げる。なお、このマルウエアには自身を拡散する機能はなく、ターゲット組織の中でマルウエアをばらまく仕組みが別途仕掛けられていた可能性が考えられる。

 ランサムウエアは、犯罪組織などによる経済的利得を目的としたサイバー攻撃に使用されており、製造業のみならず全ての個人や組織に対する主要なサイバー脅威の1つである。初期のランサムウエアは、無差別に感染を広げ、ファイルの暗号化やコンピューターのロックによって、ファイルやコンピューターを使用不能にし、その解除と引き換えに数万円程度の身代金をコンピューターの使用者である個人に要求するものがほとんどだった。

 ところが、17年のWannaCry流行以降、個人にとどまらず、企業などの組織を相手取って、より多額の身代金を要求する攻撃が見られるようになった。手口の点でも、ファイルの暗号化やコンピューターのロックだけではなく、機密情報や個人情報などを盗み取った上で外部公開しない見返りに身代金を要求する事例が報告されている。今回のホンダへのサイバー攻撃は、特に製造業において、事業に直結する生産プロセスの可用性・継続性を“人質”に多額の身代金を要求される危険性を示唆している。