全3051文字
ホンダは2020年6月前半、国内外の工場や拠点など広範囲でシステム障害が発生したことを明らかにした(図1)。同社はサイバー攻撃が原因だと認めたものの、詳細については一切明らかにしていない。だがネットに公開された情報を分析したところ、攻撃にランサムウエア「Ekans▼」が使われた可能性が高いことが分かった。
そこで今回はEkansがホンダへのサイバー攻撃に関わっているとみられる理由を、分析結果を基に解説する。
マルウエア検査サイトで発見
Ekansは2020年6月8日にマルウエア検査サイトのVirusTotalにアップロードされた。同サイトは多数のウイルス対策製品でファイルを検査して、その結果を表示してくれるオンラインサービスである。
無料で利用できるため、不審なファイルを入手したときは手軽にアップロードするユーザーが多い。また有料アカウントを持てば、アップロードされたファイルを調査や解析のためにダウンロードできる。
6月8日にVirusTotalにアップロードされたEkansがホンダへのサイバー攻撃に関わっているとみられる理由はいくつかある。1つはホンダが攻撃を受けたとされる日とEkansがアップロードされた日が一致している点だ(図2)。2つめはアップロード元が日本国内だった点である。そして3つめはホンダを狙ったような挙動をする点である。この特徴的な挙動については後で詳しく解説する。
ちなみにアップロードされたEkansのファイル名は「nmon.exe」だった。システムやネットワークのモニターツールと思わせるためにこの名前を付けた可能性がある。
▼Ekans
Ekansのアルファベットを逆順に並べた「Snake(スネーク)」と呼ぶ場合もある。
Ekansのアルファベットを逆順に並べた「Snake(スネーク)」と呼ぶ場合もある。