ランサムウエア「Ekans」の正体

　ホンダは2020年6月前半、国内外の工場や拠点など広範囲でシステム障害が発生したことを明らかにした（図1）。同社はサイバー攻撃が原因だと認めたものの、詳細については一切明らかにしていない。だがネットに公開された情報を分析したところ、攻撃にランサムウエア「Ekans^▼」が使われた可能性が高いことが分かった。

図1●ホンダがサイバー攻撃を受けてシステム障害に

ホンダは2020年6月8日にサイバー攻撃を受けて世界的なシステム障害を起こした。それにより国内外で顧客向けサービスを提供できなくなり、工場の生産や出荷も停止した。このツイートは、米国現地法人のアメリカンホンダモーターが投稿した。

[画像のクリックで拡大表示]

　そこで今回はEkansがホンダへのサイバー攻撃に関わっているとみられる理由を、分析結果を基に解説する。

マルウエア検査サイトで発見

　Ekansは2020年6月8日にマルウエア検査サイトのVirusTotalにアップロードされた。同サイトは多数のウイルス対策製品でファイルを検査して、その結果を表示してくれるオンラインサービスである。

　無料で利用できるため、不審なファイルを入手したときは手軽にアップロードするユーザーが多い。また有料アカウントを持てば、アップロードされたファイルを調査や解析のためにダウンロードできる。

　6月8日にVirusTotalにアップロードされたEkansがホンダへのサイバー攻撃に関わっているとみられる理由はいくつかある。1つはホンダが攻撃を受けたとされる日とEkansがアップロードされた日が一致している点だ（図2）。2つめはアップロード元が日本国内だった点である。そして3つめはホンダを狙ったような挙動をする点である。この特徴的な挙動については後で詳しく解説する。

図2●VirusTotalに登録されたEkansの情報

Ekansは2020年6月8日にマルウエア検査サイトVirusTotalにアップロードされた。アクセス元は日本国内に割り当てられたIPアドレスで、ファイル名は「nmon.exe」だった。このマルウエアがホンダへのサイバー攻撃に利用された可能性がある。

[画像のクリックで拡大表示]

　ちなみにアップロードされたEkansのファイル名は「nmon.exe」だった。システムやネットワークのモニターツールと思わせるためにこの名前を付けた可能性がある。