パソコンやサーバーのファイルを暗号化し、解除のための身代金を要求するランサムウエアが、特定の企業を狙う標的型に進化している。ホンダを襲ったとされるランサムウエアを解析した日本のセキュリティー技術者は工場を持つ製造業や医療機関などが狙われると警鐘を鳴らす。
サイバー攻撃でホンダの工場が停止
ホンダは2020年6月8日にサイバー攻撃を受け、世界的な大規模システム障害を起こした。国内外の工場で生産や出荷が一時止まったほか、本社などで働く従業員のパソコンが使えなくなるなどオフィス系のネットワークシステムにも影響が出た。この影響で生産を停止した米オハイオ州の乗用車工場やブラジルの二輪工場は現地時間の6月11日までに復旧した。
同社はサイバー攻撃を受けた事実は認めるものの、詳細については「セキュリティー上の観点から公表しない」(広報)とする。これに対し、セキュリティー専門家の間ではホンダはランサムウエアの感染被害に遭ったとする見方が強まっている。
ランサムウエアとはマルウエア(不正で有害な動作を引き起こす意図で作成された悪意あるソフトウエアや悪質なコード)の一種だ。コンピューターに侵入してファイルを暗号化して使用不能にしたうえで「元に戻したければ身代金を払え」という内容の脅迫文を操作画面に表示する。ランサム(ransom)とは英語で「身代金」という意味だ。身代金の支払いにはビットコインなどの暗号資産(仮想通貨)が使われる。
半年間の感染台数は世界で9台
ホンダへのサイバー攻撃に使われたランサムウエアは「EKANS(エカンズ)」または「SNAKE(スネーク)」と呼ばれる種類といわれる。EKANSは2019年12月に見つかった比較的新しいランサムウエアだ。
トレンドマイクロによると同社の製品がEKANSを検出した端末の台数は2020年6月までに世界でわずか9台のみ。「EKANSは不特定多数へのばらまき型攻撃で使われるのではなく、特定の企業や組織を狙った標的型攻撃で使われる」と同社の岡本勝之セキュリティエバンジェリストはみる。
実際にEKANSは、2020年5月の欧州最大級の民間病院運営会社であるドイツのFresenius(フレゼニウス)へのサイバー攻撃や、6月のイタリアのエネルギー大手Enel Group(エネルグループ)へのサイバー攻撃でも使われた。
ホンダでシステム障害が起こった2020年6月8日、セキュリティー専門家の1人がマルウエア検索サイト「VirusTotal」にホンダのサイバー攻撃に関わったとされるランサムウエアの検体を登録した。この検体の内部構造を三井物産子会社の三井物産セキュアディレクション(MBSD)が解析した。
ホンダ内部のネットワークかを自己判断
「ホンダ内部のネットワークでしか動作しないように作り込まれていた」――。こう話すのは解析に当たったMBSDの上級マルウェア解析技術者である吉川孝志氏だ。吉川氏は検体の5つの特徴を割り出した。
第1の特徴は、ホンダの社内ネットワーク内部にいると確認できた場合のみ感染を広げるように作られている点だ。
具体的には、「mds.honda.com」という外部に公表されていないホンダ社内ドメインの名前解決を試み、その結果が「170.108.71.15」という特定のIPアドレスであるかをチェックする。上記IPアドレス以外であれば何もしない。
吉川氏によれば上記IPアドレスはホンダの米法人のものだという。「情報流出していたのかハッキングしたのかは分からないが、攻撃者はあらかじめホンダの社内ネットワーク情報を収集してから(マルウエアを)開発したと推測できる」(吉川氏)。
