2020年6月に発生した日系大手の自動車会社HONDAに対するサイバー攻撃について、その内容を調査しました。
<経緯>
・2020年6月8日にサイバー攻撃によるシステム障害が発生し、国内外の工場における生産・出荷に影響を及ぼしたほか、本社などで働く従業員のパソコンが使えなくなるなどオフィス系のネットワークシステムにも影響が出た。
・生産を停止した米オハイオ州の乗用車工場やブラジルの二輪工場は現地時間の6月11日までに復旧した。
・HONDAが受けたサイバー攻撃は、2017年のランサムウェア「Wannacry」による被害があり、当時は同社の狭山工場にて自動車1000台を生産できなかった影響が発生した。
<攻撃内容>
・今回のサイバー攻撃で使われたランサムウエアは「EKANS(エカンズ)」または「SNAKE(スネーク)」と呼ばれる種類といわれる。EKANSは2019年12月に見つかった比較的新しいランサムウエアである。
(HONDA社はサイバー攻撃の詳細についてはコメントしていないが、マルウェアの可能性があるサンプルがマルウェアスキャンWebサイト「VirusTotal」に匿名でアップロードされている)
・上記ランサムウェアを使用し、HONDA内部環境のファイルを暗号化し、身代金を要求した。
・検体を分析した専門家によると、「ホンダ内部のネットワークでしか動作しないように作り込まれていた」とのこと。具体的には、「mds.honda.com」という外部に公表されていないホンダ社内ドメインの名前解決を試み、その結果が「170.108.71.15」という特定のIPアドレスであるかをチェックしていた。
名前解決の際の挙動(三井物産セキュアディレクション社の検証内容から引用)
<影響>
・米国やトルコ、インドなどの計11工場の生産が停止。(自動車工場は全世界に約30カ所あり、3割ほどが止まったことになる)
・米国やカナダではコールセンターの受付やリース契約の業務もできなくなった。
<復旧対応>
・6/12、サイバー攻撃で停止していた世界各地の工場が、全て復旧したことをHONDAが明らかにした。顧客の個人情報や開発技術などの機密情報の流出は確認されていないという。
・生産の遅れは挽回できるため、事業への影響は限定的だが、安全対策としてパソコンの多くを初期化する必要があり、一部のデータは失われた。
<必要となる対策>
・一般的な標的型ランサムウェアの侵入経路としては、RDPやVNCが考えられるため、不要なサービスが社外に公開されていないか確認することが必要である。
・また、万が一社外から侵入された場合も、被害を最小限に抑えるため、IT環境だけでなく工場などのOT環境も含めた多層的なセキュリティ対策が必要である。
※出典※
日経XTEXH
ビジネス+IT
NIKKEI ASIAN REVIEW
朝日新聞DIGITAL
読売新聞
Comentários