全2999文字
PR

ランサムウエアが特定の企業を狙う「標的型」に進化している。ホンダを襲ったとされるランサムウエアを解析したセキュリティー技術者は工場を持つ製造業や医療機関などが狙われていると警鐘を鳴らす。

 ホンダは2020年6月8日にサイバー攻撃を受け、世界的な大規模システム障害を起こした。国内外の工場で生産や出荷が一時止まったほか、本社などで働く従業員のパソコンが使えなくなるなどオフィス系のネットワークシステムにも影響が出た。

 この影響で生産を停止した米オハイオ州の乗用車工場やブラジルの二輪工場は現地時間の6月11日までに復旧した。同社はサイバー攻撃を受けた事実は認めるものの、詳細については「セキュリティー上の観点から公表しない」(広報)とする。

 これに対し、セキュリティー専門家の間ではホンダは「Ekans(エカンズ)」または「Snake(スネーク)」と呼ぶランサムウエアの感染被害に遭ったとする見方が強まっている。Ekansは2019年12月に見つかった。

 トレンドマイクロによると同社の製品がEkansを検出した端末の台数は2020年6月までに世界で9台のみ。「不特定多数へのばらまき型攻撃で使われるのではなく、特定の企業や組織を狙った標的型攻撃で使われる」(岡本勝之セキュリティエバンジェリスト)。実際に2020年5月の欧州最大級の民間病院運営会社であるドイツのフレゼニウスへのサイバー攻撃や、6月のイタリアのエネルギー大手エネルグループへのサイバー攻撃でも使われた。

 ホンダでシステム障害が起こった当日、あるセキュリティー専門家がマルウエア検索サイト「VirusTotal」にホンダのサイバー攻撃に関わったとされるランサムウエアの検体を登録した。同検体の内部構造を三井物産子会社の三井物産セキュアディレクションが解析した。

ホンダ内部のネットワークかを判断

 同社で解析に当たった上級マルウェア解析技術者である吉川孝志氏は検体の5つの特徴を割り出した。第1の特徴は、ホンダの社内ネットワーク内部にいると確認できた場合のみ感染を広げるように作られている点だ。

 具体的には「mds.honda.com」という外部に公表されていないホンダ社内ドメインの名前解決を試み、その結果が「170.108.71.15」というIPアドレスであるかをチェックする。上記IPアドレス以外であれば何もしない。

図 「MDS.HONDA.COM」を特定のIPアドレスで名前解決できるように偽装した環境での今回の検体の挙動
図 「MDS.HONDA.COM」を特定のIPアドレスで名前解決できるように偽装した環境での今回の検体の挙動
特定ドメインのみで動作を続ける(画像提供:三井物産セキュアディレクション)
[画像のクリックで拡大表示]

 吉川氏によれば上記IPアドレスはホンダの米法人のものという。「何らかの手段で攻撃者はあらかじめホンダの社内ネットワーク情報を収集してから(マルウエアを)開発したと推測できる」(吉川氏)。

 第2の特徴は、通信妨害にWindowsが備える正規のファイアウオールを使う点だ。今回の検体はファイルの暗号化に先立って、Windowsが備えるネットワーク設定ツールを使って正規のファイアウオールの設定を変え、ネットワーク通信を妨害する。

 これにより端末内部の多くのソフトが通信できなくなる。「マルウエア自体の機能を使うと不正な挙動としてマルウエア対策ソフトに発見されやすくなる」(吉川氏)。

 通信妨害後は暗号化の邪魔になりそうな様々なサービスを強制終了させる。吉川氏の解析によると、強制終了リストには主要なマルウエア対策ソフトやバックアップソフト、データベースソフト、さらにICS(産業制御システム)機器関連などもあったという。

 パソコンの異変に気づいたIT担当者が対処しにくくするため、リモートデスクトップなどの遠隔操作ソフトも強制終了する。オフィス系ソフトなど「強制終了リストには1500プロセスぐらいの記載がある」(吉川氏)。暗号化が終わると通信妨害を解く。強制終了リストはアンダーグラウンドで共有されていると吉川氏はみている。