ホンダへのサイバー攻撃 社内ネット中枢を狙った新たな手口

ホンダへのサイバー攻撃 社内ネット中枢を狙った新たな手口
自動車メーカーのホンダがサイバー攻撃を受けた問題で、攻撃に使われた可能性のあるマルウェア=悪意を持ったプログラムを専門家が解析したところ、ホンダの社内ネットワークの中枢をピンポイントで狙ってデータを一気に使えなくしてしまう、新手のサイバー攻撃とみられることが分かりました。
ホンダは、外部からのサイバー攻撃によって今月8日、社内のネットワークに障害が起き国内や海外の工場で一時、出荷や生産に影響が出ました。

この攻撃に関係したとみられるマルウェアを、情報セキュリティー会社の「三井物産セキュアディレクション」が解析しました。

その結果、このマルウェアはデータを勝手に暗号化して、元に戻すために金銭を要求する「ランサムウェア」と呼ばれるもので、ホンダの社内ネットワークにあるコンピューターだけで動く特殊なものだったことが分かりました。

従来のランサムウェアと違って、社内ネットワークを管理する中枢のサーバーをピンポイントで狙って、セキュリティーの設定を変更することで外部との通信を遮断して一気にデータを暗号化する新しい手口が使われていたということです。

金銭を要求する脅迫文も中枢のサーバーだけにしか表示されないようになっていたということです。

解析を行った三井物産セキュアディレクションの吉川孝志さんは、「通常は、中枢のサーバーほどセキュリティーが厳しいため侵入するのが難しいが、今回はホンダを狙って偵察を繰り返したのではないか。新しい手口が出てきたことでほかの組織も警戒が必要だ」と話しています。

ホンダ「手口の公表控える」

これについてホンダは「サイバー攻撃の原因の究明などを進めているが詳しい攻撃の手口についてはセキュリティー上の観点から公表を控える」とコメントしています。

ホンダ生産などに大きな影響

今回のホンダに対するサイバー攻撃では、社員のパソコンが一時、使えなくなったほか、海外の9つの工場で生産を一時停止するなど、大きな影響が出ました。

ホンダによりますと、外部からのサイバー攻撃の影響で今月8日の午前9時ごろから社内のネットワークを通じたメールのやり取りなどができなくなり、ウイルスに感染したとみられるパソコンの画面が真っ暗になるといった異常が出たということです。

会社は、原因を調べるために社内のネットワークへのアクセスを制限することを決め、災害の際に利用する緊急連絡網を通じて、業務用や私用のスマホなどにメールや自動音声で一斉に連絡しました。

新型コロナウイルス対策として、多くの社員が在宅勤務をする中でパソコンが利用できなくなったことから、今月9日は従業員に有給休暇の取得を呼びかける異例の対応を取りました。

また、国内の工場では出荷前の車を検査した際の情報を登録するシステムにも影響が出て、車を生産する3工場の一部で出荷が一時停止しました。

さらに、海外の工場でも、システムの安全確認やシステムの不具合の復旧のため9つの工場で生産を一時停止し、このうちアメリカのオハイオ州にある主力工場では、今月10日まで、3日間、生産を停止しました。

ホンダの社内調査によりますと、サーバーが外部から攻撃を受けたことで、社内のネットワークにウイルスが拡散したとみられ、特定の時間にサーバーにアクセスした社員のパソコンでウイルスへの大規模な感染が確認されているということです。

一方、これまでのところ、従業員や顧客の個人情報や開発情報などの漏えいは確認されていないとしています。

「マルウェア」とは

「マルウェア」とは、英語で「悪意のある」を意味する「malicious(マリシャス)」と「ソフトウェア」を組み合わせた造語で、コンピューターウイルスだけでなく、スパイウェアなどさまざまな種類があるということです。

難しい解析 わかったことは

このマルウェアは、ホンダへのサイバー攻撃が明らかになったのと同じ今月8日に、セキュリティー関係者が参加するウェブサイトに匿名で投稿されたもので、ホンダへの攻撃に関連していることを示唆する内容が含まれているということです。

世界中で解析が進められていますが、セキュリティ-の専門家でも解析が難しいものだということです。

「三井物産セキュアディレクション」の吉川孝志さんによりますと、このマルウェアは解析しづらいコンピューター言語で作成され、ホンダの社内ネットワークに接続されているかどうかを判別して、それ以外のコンピューターでは動かないようになっていたということです。

社外からの調査を妨害するのが狙いとみられ、吉川さんは、ホンダの社内ネットワークを再現した特殊な環境を用意することで解析に成功したということです。

このマルウェアは「SNAKE(スネーク)」と呼ばれる、ランサムウェアの一種で、データを勝手に暗合化した際にファイル名の末尾に「SNAKE」を逆さから読んだ、「EKANS(イーカンズ)」という文字を付け足すなどの特徴が一致したということです。

一方で、ホンダへの攻撃に特化するためとみられる改造が複数施されていて、中枢のサーバーを狙って侵入し、セキュリティーの設定を勝手に変えたり、攻撃中、外部から邪魔されないように通信を絶ち切ったりする新しい機能を持っていたということです。

また、従来のランサムウェアでは、データを復元するために金銭を要求する脅迫文が端末ごとに表示されていましたが、今回は、認証情報などを扱う中枢のサーバーだけに脅迫文が表示されるようになっていました。

脅迫文には、「書類やデータベース、写真などに軍事レベルの暗号をかけた。鍵を購入すれば暗号を解くことができる」などと英語で書かれていました。

このため、今回のマルウェアは中枢のサーバーに侵入できる前提で設計されたとみられるということで、吉川さんは、「事前に内部に侵入するなどして周到に準備を進めたのではないか」と指摘しています。

進化する「ランサムウェア」攻撃

「ランサムウェア」とは、サイバー攻撃に使われるマルウェアの一種で、「ランサム」は英語で身代金を表すことばです。

パソコンの中に保存しているデータを勝手に暗号化するなどして、復元と引き換えに金銭を要求します。

通常は、送りつけたメールの添付ファイルなどを通じて相手のコンピューターに侵入し、画面に金銭を要求するメッセージを表示する手口で、日本でも平成27年以降、被害が目立ち始めました。

平成29年には「ワナクライ」と呼ばれるランサムウェアが世界中で猛威を振るい、日産自動車や日立製作所のほか、ホンダなどでも被害が出ました。

最近はセキュリティー対策が進んだことなどから不特定多数を狙った「ばらまき型」が減り、事前に相手のシステムを調べ上げてピンポイントで攻撃する「標的型」が増えていると指摘されていて、今後、日本の企業でも大規模な被害が広がるおそれがあるということです。

新型コロナでサイバーリスクが増加

新型コロナウイルスの影響でテレワークなど社外から職場のネットワークにアクセスする機会が増えていることから、企業を狙うサイバー攻撃への脅威が高まっています。

狙われやすいのは、テレワークの際によく使われる、自宅から会社のパソコンを操作する「リモートデスクトップ」と呼ばれるシステムや、ファイルを共有するクラウドシステムのサーバーなどです。

インターネット上には、システムにアクセスするためのログイン画面が公開されているケースが複数確認されていて、日本の企業のものもあるということです。

こうした画面が公開されているとIDやパスワードを総当たりで入力する攻撃が可能になるということで、仮に不正にアクセスされると内部の情報を盗んだり、マルウェアを仕掛けたりすることが出来ます。

三井物産セキュアディレクションの吉川孝志さんは、「今回のホンダへの攻撃のきっかけが何だったかは不明だが、新型コロナウイルスによって急きょテレワークを始めた企業などには、サーバーの管理がぜい弱なケースもあるものとみられ、対策が必要だ」と話しています。