2020年6月8日ホンダは外部からサイバー攻撃を受け、国内では先進技術の開発拠点である技術研究所で数千台のパソコンダウンし、国外では北米やトルコなど世界4地域の生産拠点で一時生産休止に追い込まれた。

JBpressですべての写真や図表を見る

 今回の攻撃では自己増殖型(またはワーム型)のランサムウエア(身代金要求型ウイルス)が使用されたといわれている。

 このため、ネットワークを通じて被害が国内・国外の全組織に拡大したと筆者は見ている。

 ちなみに、ホンダの広報担当者は、記者の質問に対して、マルウエアや被害状況などの詳細は公表しないと回答している(日経クロステック2020.06.10)。

 この事案は、日本国内ではあまり注目されなかったが、海外の工場なども被害に遭っていることから、海外の方が詳細にこのニュースが報じられたという。

 なぜ、日本ではあまり注目されなかったのか。その理由は2つある。

 一つは、国民もマスコミも、進化したランサムウエアの脅威を認識していなからであろう。

 もう一つは、ホンダがマルウエアや被害状況などの詳細は公表しなかったため、マスコミの報道が低調であったからであろう。

 以下、初めにランサムウエアの脅威について述べる。

 次に本事案の注目点、本事案の概要、企業の社会的責任と経営者の責任について述べ、最後に情報共有の重要性と秘密保持契約(NDA)について述べる。

1.ランサムウエアの脅威

 本項では、ランサムウエアの進化の歴史とランサムウエアがもたらす被害の深刻化について述べる。

(1)進化の歴史

 ランサムウエアの進化の歴史を簡単に紹介する。

 1989年に登場した世界で初めてのランサムウエアは、フロッピーディスクを用いたものだった。当時は郵便などでこれを送りつけて感染させ、被害者が使用するとデータを暗号化する「ファイル暗号化型」であった。

 2010年には、感染した端末の画面ををロックする「端末ロック型」のランサムウエアが登場した。

 その後、2013年に登場した「CryptoLocker」は、外部のサーバーC&Cサーバー)と通信して、暗号化に必要な鍵を受け取るものであった。

 次に、2017年に登場した「WannaCry」は自己増殖型(ワーム型)といわれる機能を持っていた。

 それまでは、1回の攻撃で1台のコンピューターが被害を受けたが、「WannaCry」により、社内ネットワークで繋がっているすべてのPCが被害を受ける結果になった。

 また、最近は、ファイルを暗号化するとともにデータを盗み出すランサムウエアや産業制御システムを標的にしたランサムウエアが登場してきた。

 前者は、復号に必要な鍵に対する身代金の要求に応じなければ盗んだデータを公開すると脅したり、あるいは盗んだ情報を恒久的に削除する条件として、二重に別の身代金を要求する手口が使われる。

 後者は、ファイルを暗号化したり、あるいは工場などで使われるようなシステムを停止させて身代金を要求するものである。

 今回の事案で使用されたランサムウエア「SNAKES」がそのタイプである。

 その他、標的型攻撃の証拠隠滅のためにランサムウエアを使用するという特殊な手法や攻撃者は標的にしたマシンにマルウエアをインストールしない「ファイルレス攻撃」が出現している。

 以上のように、ランサムウエアは常に高度化・巧妙化を続けている。企業などは、どのような新しい攻撃があり得るかを常に把握し、必要な対策を取ることが重要である。

(2)被害の深刻化(『情報セキュリティ白書2018年』筆者が一部修正)

 2017年5月、米マイクロソフトの「SMBv1(Server Message Block 1.0)」の脆弱性を悪用して自己増殖するランサムウエア「WannaCry」が世界を席巻した。

 トレンドマイクロによると、「WannaCry」に感染したパソコンの台数は 2017年第2四半期の6万5300台から第4四半期には14万4800台に急増した。

 前述したが、これまでのランサムウエアになかった自己増殖機能を有していたために感染が拡大し、病院や鉄道などのサービスに影響が出るといった、社会に大きな衝撃を与えた。

 トレンドマイクロによれば、2016年から2017年にかけて、ランサムウエアの新種と亜種のファミリー(ある特定の目的や動作を持ったウイルスグループのことを指す)数は32.4%増加して327となる一方、攻撃の総数は58.5%に減少し、6億3100万となった。

 しかし、「WannaCry」や「NotPetya」などの主要なランサムウエアによる攻撃により、全世界の被害額は5億ドル(約550億円)に達しており、被害は深刻化している。

2.本事案の注目点

 さて、自動車メーカーであるホンダに対するサイバー攻撃について筆者は次の4つの点に注目している。

 1つ目は、今回の事案では産業制御システムを標的にしたランサムウエア(SNAKE)が使用されたことは知られている。ホンダの生産ライン(産業監視制御システム)は被害を受けなかったのか。

 2つ目は、近い将来、常時ネットに接続されたコネクテッドカーおよび自動運転車の急速な普及が見込まれる。

 コネクテッドカーおよ自動運転車におけるサイバーセキュリティ対策は、喫緊の課題となっている。

 今回のサイバー攻撃でホンダが保有する自動運転に関する先端技術情報は漏洩しなかったのか。

 3つ目は、新型コロナウイルス感染症対策として、ホンダをはじめ多く企業が在宅勤務などのテレワークを導入した。

 会社のPCを社外からリモート操作を行うためのリモートデスクトップサービスには脆弱性があることが分かっている。

 本事案ではホンダテレワーク環境を狙ったサイバー攻撃はなかったのか。

 4つ目は、本事案の犯人は民間のハッカーなのか、あるいは国家の支援を受けたハッカーなのかである。

 産業制御システムを狙ったマルウエアは、これまで極めて高度な技術を有した国家主体のハッカーしか開発できなかった。

 民間のハッカーが開発としたらその目的は何なのか興味深い。

 また、後述するマルウエアの解析によると、本事案の犯人はピンポイントホンダを攻撃していることなどから、インサイダー(部内者などの合法的アクセス権を悪用する者)によるサボタージュの可能性も排除できない。

 いずれにしても、それらを判別するためには、検体(マルウエア)の解析が不可欠である。

 三井物産セキュアディレクションが、検体の解析リポート(詳細は後述)を公開しているが、同リポートでは、解析した検体がホンダに対するサイバー攻撃と関連があるかどうかは把握していないとの断りを入れている。

 すなわち、ホンダは、検体をセキュリティ研究機関などにも開示していないということである。

3.本事案の概要

 本項では被害状況とマルウエアの解析結果を紹介する。

(1)被害状況

 報道によると被害状況は次のとおりである。

6月8日午前9時ネットワーク障害が発生し、社員が電子メールを送れなくなったり、ファイルを開けられなくなった。

 生産システムも被害を受け、8日に北米の全拠点とトルコ工場の生産を停止した。インドブラジル二輪車の工場も8日から生産を停止した。

 国内の寄居と狭山の四輪車工場で、出荷前に完成車に不具合がないかどうかを確認する「完成車検査システム」がシステム障害の影響を受けたため、出荷を一時見合わせたが、検査システムは8日夕に復旧し、生産や販売への影響はほぼないという。

6月9日、国内ではメールが使えない障害は続き、社員のパソコン使用を制限した。新型コロナウイルスの影響で間接部門の社員の多くはテレワークを実施しており、パソコンを使えないと業務が滞るため、会社は有給休暇の取得を呼びかけた。

6月10日サイバー攻撃被害を受けた社内サーバーの対応が完了し、本社従業員のPC使用制限を解除した。

6月12日サイバー攻撃を受けて生産を休止していた国内外の工場すべてが再開した。

(2)マルウエアの解析結果

 三井物産セキュアディレクション(MBSD)が、6月16日に、SNAKEの解析リポート(https://www.mbsd.jp/blog/20200616.html)を公開している。リポートの内容を簡単に紹介する。筆者が一部を修正している。

ア.検体調査

「SNAKE」ランサムウエアは別名「EKANS」(SNAKEの逆さ読みになっている)とも呼ばれる。「SNAKE」は起動されると、"EKANS"というミューテックスをシステムに登録する。

 これにより、意図せず被害端末へ「SNAKE」が多重感染しないようにしている。

 また、「SNAKE」の特に特徴的な挙動として、(MDS[.]HONDA[.]COM)の名前解決結果が特定のIPアドレス170[.]108[.]71[.]15)になる環境でのみ感染するように特別に作り込まれたランサムウエアであると言える。

 そして、名前解決ができない場合はプロセスを終了する。

イ.名前解決ができる環境での動作

「SNAKE」が上記の名前解決が成功すると、続いて「Windowsファイアウォールの設定」を変更し、ネトワーク通信の送受信をブロックするように設定することで、ファイルの暗号化の最中に復旧活動や監視をネットワーク越しで行えないようにしている。

 この仕組みは、他のランサムウエアにはあまり見られない特徴である。

ウ.暗号化処理

 上記の処理が終わると、ランサムウエアのメインの処理となるファイルの暗号化が開始されるが、「SNAKE」は、「MegaCortex」などのように複数プロセスで暗号化を分担するような処理は行わず、単一のプロセスで暗号化を行う。

 また、「SNAKE」により暗号化されたファイルの末尾には、暗号化されたことを示す「EKANS」マーカーが最後尾の5バイトに追加され、これにより、意図せず被害端末へ「SNAKE」が多重感染しないようにしている。

エ.ドメインコントローラにおける特別な挙動

「SNAKE」はユーザー端末やサーバーに感染した場合、ファイルの暗号化は行うものの、脅迫文を一切作成しない。

 一方で、感染した環境がドメインコントローラであると判断した場合、ファイルの暗号化は一切行わず、代わりに脅迫文を共有デスクトップに作成する。

 この仕組みは、あらかじめドメインコントローラへ侵入できる前提で開発されていることを示唆している。

 以上のことを考慮すると、本検体は、初めから管理者権限/システム権限で実行されることを前提にして開発されている可能性がある。

オ.まとめ

 近年の標的型ランサムウエアは攻撃対象組織に合わせ挙動をチューニングした上で送り込んでくる傾向がある。

 一般的な標的型ランサムウエアの侵入経路としては、RDPやVNCなどを狙った侵入経路が狙われる場合があるため、今一度不必要なRDP等のサービスインターネット側に公開されていないかなどを重点的に確かめることを推奨する。

 ところで、以上の報道などでは、前述した筆者の4つの注目点に関する回答は得られない。

 一般に、企業は、株価や信用問題などがからんで、サイバー攻撃を受けたことを公表したがらない。

 しかし、被害情報などの公表は、他社が被害の原因を把握し、自社への影響を把握し、予防対策を講じることができる。

 このような公益性を考慮して、ホンダには是非、詳細な情報を公表してもらいたいものである。

 情報の漏洩やサービス障害、システム不具などが発生した場合、特定の民間企業には所管省庁への報告が「秘密の保全に関する特約条項」やガイドライン等により義務づけられている。

 しかし、一般に、民間企業がサイバー攻撃を受けた場合に、マスコミにマルウエアや被害状況などの詳細を公表しなければならないという法的義務はない。唯一あるとすれば企業の社会的責任であろう。

4.企業の社会的責任と経営者の責任

 日本の企業は、サイバーセキュリティの重要性に関する関心と理解を深め、自主的かつ積極的にサイバーセキュリティの確保に努める社会的責任を有している。

 特にホンダのような日本を代表する企業にあっては、政府が策定したサイバーセキュリティに関する各種ガイドラインを遵守すべきことは言うまでもない。

 また、サイバー攻撃が高度化・巧妙化する中で、企業戦略として、ITに対する投資やセキュリティに対する投資などをどの程度行うかなど、経営者による判断が必要となっている。

 すなわち、組織のサイバーセキュリティの確保は経営者の責任である。

 経済産業省は、2015年大企業および中小企業のうち、ITに関するシステムサービスなどを供給する企業および経営戦略上ITの利活用が不可欠である企業の経営者を対象にした「サイバーセキュリティ経営ガイドラインVer1.0」を策定・公開している。

 その後、2016年に「Ver1.1」および2017年に「Ver2.0」を公開している。「Ver2.0」の中で、サイバー攻撃から企業を守るために、経営者が認識すべき「3原則」を次のように明記している。

①経営者はリーダーシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を推進するとともに、企業の成長のためのセキュリティ投資を実施すべきである。

②自社のサイバーセキュリティ対策にとどまらず、サプライチェーンのビジネスパートナーや委託先も含めた総合的なサイバーセキュリティ対策を実施すべきである。

③平時からステークホルダー(顧客や株主など)を含めた関係者にサイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成し、インシデント発生時にもコミュニケーションが円滑に進むよう備えるべきである。

 上記のとおり、企業(経営者)は、ステークホルダーを含めた関係者にサイバーセキュリティ対策に関する情報開示を行うことが推奨されている。

 他方、一般的に、企業は他の組織とサイバー攻撃に関する情報共有を行っている。

 政府機関や民間において、いくつかの情報共有体制が構築されている。著名なものには、サイバー情報共有イニシアティブ(J-CSIP)、「ICT-ISAC」、「J-AUTO-ISAC」などがある。

5.情報共有の重要性と秘密保持契約

 近年のサイバー攻撃の複雑化、巧妙化により、被害組織が単独で有効な分析を行い、自信をもって効果的な対策を迅速に講じることに限界が生じてきている。

 また、被害組織などから他の組織へ迅速な情報共有が行われなければ、攻撃手口や対策手法などを他の組織が知ることができず、同様の手口によるサイバー攻撃の被害がいたずらに拡大する恐れがある。

 そこで、政府機関や民間において、いくつかの情報共有体制が構築されている。そのうちの主要な一つがサイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan)である。

 三菱重工業など防衛産業への同時多発的な攻撃が相次いだことを受け、サイバー攻撃による被害拡大防止のため、経済産業省主管の下、重工、重電など、重要インフラで利用される機器の製造業者を中心に情報共有と早期対応の場として、2011年に「J-CSIP」が発足した。

 その後、全体で13の「SIG」(Special Interest Group:類似の産業分野同士が集まったグループ)、249の参加組織による情報共有体制を確立し、サイバー攻撃に関する情報共有を行っている。

 13の「SIG」のうちの一つが「自動車業界SIG」である。

 その運営については、情報処理推進機構(IPA)と各参加組織(あるいは参加組織を束ねる業界団体)間で秘密保持契約(NDANon-disclosure agreement)を締結することにより、参加組織およびそのグループ企業において検知されたサイバー攻撃などの情報をIPAに集約する。

 情報提供元に関する情報や機微情報の匿名化を行い、IPAによる分析情報を付加した上で、情報提供元の承認を得て共有可能な情報とし、参加組織間での情報共有を行っている。

 また、最近、「改正サイバーセキュリティ基本法」に基づき、サイバー攻撃に関する情報を官民で共有する「サイバーセキュリティ協議会」が内閣サイバーセキュリティセンターNISC)内に設置された。

 同協議会は、我が国のサイバーセキュリティに対する脅威に積極的に対応する意思を有する官民の多様な主体が連携し、主として、脅威情報などの共有・分析、対策情報などの作成・共有等を迅速に行うことを目的する組織である。

 同協議会では、構成員が相互に安心して情報共有を行うために、罰則(1年以下の懲役または50万円以下の罰金)に担保された守秘義務を設けた。

 なぜ法制化したかについて、関連資料(NISCサイバーセキュリティ協議会について」2019年年4月)によると、「提供した情報が適切に取り扱われず、 提供者名などが漏れてしまうおそれ」があるという事業者等の要望に応えるためであったとある。

おわりに

 ホンダは検体をセキュリティ会社などに開示していないと既述したが、検体は企業の評判とは関係ないであろう。

 新型コロナウイルスも世界中の多くのウイルス研究者がウイルスの性状や病原性などの解析をして、徐々にその正体が分かってきた。

 筆者はコンピューターウイルスもこれと同じであると考える。

 攻撃に使用されたマルウエアは広く開示され、世界中のセキュリティ研究者によって解析されるべきである。

 優れたセキュリティ研究者によって、より早く、より正確にマルウエアの特徴が分かるかもしれない。

 また、企業は、公表する(法的)義務がないからと言って、被害などの詳細を公表しないのではなく、公表することが企業の社会的責任であることを認識すべきである。

 ホンダも本事案に関して事故調査委員会を設置し、事故原因を解明し、再発防止策を策定するであろう。

 その調査結果を公表することが真に組織のサイバーセキュリティを向上させるとともに組織の健全性を高めることに繋がるであろう。

 最後に、サイバー攻撃は、攻撃側が安価かつ容易に活動できる一方、防御側は常続的な監視を強いられるとともに攻撃ウイルスが出現してからアンチウイルスソフトを開発するなど非常に高価かつ困難なものである。

 その上、攻撃されていることにすら気づかない恐れのある厄介なものである。

 ともすると我が国は、サイバー攻撃を情報漏えいや嫌がらせなどの犯罪行為として捉えがちであるが、サイバー攻撃を国家の安全を脅かす悪意ある重大な脅威として捉え、サイバー攻撃を未然防止し、万一、侵入が行われた場合にはこれを探知・阻止し、重要な社会システムを防護する態勢を整備することが必須である。

[もっと知りたい!続けてお読みください →]  自衛隊に「宇宙作戦隊」新設、その理由と狙い

[関連記事]

日本、スウェーデン、その他、感染症対策徹底比較

新型肺炎で高齢者治療後回し、命の選択が始まった

世界を代表する自動車メーカーが外部から深刻なサイバー攻撃を受けた