トヨタ自動車のサプライチェーン(供給網)に連なる小島プレス工業がマルウエア被害を受けた。これがきっかけで、トヨタの14工場の28ラインが止まった。かねて指摘されていた「サプライチェーン攻撃」のリスクと被害の大きさが浮き彫りになった。
トヨタ自動車の主要サプライヤーの1社として自動車の内外装部品を生産する小島プレス工業が、マルウエア(悪意のあるプログラム)の感染被害を2022年3月1日に公表した。この影響からトヨタ自動車に加えグループの日野自動車、ダイハツ工業が同日の一部生産を見合わせた。
小島プレスはマルウエア感染後に「脅迫メッセージの存在を確認」したと公表していることから、ランサムウエア(身代金要求型ウイルス)に感染し、被害を受けた可能性が高い。ただ3月8日午後4時時点では「ランサムウエアと断定はできない」(同社広報)。関係者によると送られた脅迫メッセージそのものには身代金の記載がなく、犯罪者側と一切交渉していないため断定できないとみられる。
同社は影響範囲の特定などのため、社内サーバーを一旦全て停止。停止したサーバーの一部を既に再稼働させ、代替手段によってトヨタの工場は3月2日に稼働を再開したものの、小島プレス側のシステムは3月8日午後4時時点で全面復旧に至っていない。
小島プレスは早ければ3月14日の週にこれまでの経緯を一度公表したい考え。ただ、3月8日時点では同社の通信ネットワークは復旧しておらず、Webサイトも停止したまま。仮設サイトを用意するなど方法を検討している。
日本の基幹産業を支えるトヨタ。在庫を抑え必要量の部品を必要なタイミングで届けるジャスト・イン・タイム方式のサプライチェーン(供給網)を支える1社のシステム障害により、14カ所の工場の28ラインが止まり、約1万3000台の生産を見送ったわけだ。今回のサイバー被害はかねて指摘されていた「サプライチェーン攻撃」のリスクと被害の大きさを改めて知らしめた。
ランサムウエアの被害相談が急増
「国内企業のランサムウエアの被害相談が2022年2月下旬から急増している」。セキュリティーコンサルティングなどを手掛けるS&Jの三輪信雄社長はこう明かす。小島プレスがマルウエア感染を公表したのと同じ3月1日には、独立系の自動車部品メーカーであるGMBも2月27日にランサムウエアとみられる不正アクセスに遭ったと明らかにした。
ランサムウエア攻撃を仕掛ける犯罪者集団の多くは、ロシアなど旧ソ連諸国に拠点を持つとされる。2月下旬はロシアによるウクライナ侵攻の時期と重なる。だが、S&Jの三輪社長は日本企業に対するランサムウエア攻撃の増加との直接的な関係は薄いとみる。
では何が理由か。「最近見つかった脆弱性」(三輪社長)という。
具体的には、ネットワークセキュリティー装置を手掛ける米ソニックウォールが2021年12月から2022年2月にかけて公表した、VPN(仮想私設網)装置「Secure Mobile Access(SMA)100」シリーズの複数の脆弱性である。脆弱性を悪用されると、認証情報が盗まれるなどの被害に遭う恐れがある。
日本ではセキュリティーの民間団体であるJPCERTコーディネーションセンター(JPCERT/CC)が2022年1月と2月に、同脆弱性を狙ったサイバー攻撃に関する注意喚起を出している。ただSMA100シリーズの脆弱性と、今回の小島プレスやGMBへのサイバー攻撃との関連は現時点で不明だ。
VPN装置の脆弱性を悪用するランサムウエア攻撃は以前から目立つ。新型コロナウイルス禍でテレワークが増え、VPNに注目が集まるなか、多くの企業や組織は脆弱性を放置する危険性を認識しているはずだ。だが、「従業員向けのVPN装置と別に設置する、保守用のVPN装置が盲点となりやすい」とS&Jの三輪社長は指摘する。
