2020年6月、大手製造業のホンダがサイバー攻撃を受け、製造拠点での出荷停止、新型コロナウイルスの影響で在宅勤務を行っていた従業員も社内システムが使えず有給休暇の取得を推奨された、という衝撃的なニュースが飛び込んできました。
参考資料:
https://www.itmedia.co.jp/news/articles/2006/09/news086.html
https://www.sbbit.jp/article/cont1/38163
原因は、ランサムウェア。制御システムへのセキュリティ対策の必要性と被害にあった時の影響の大きさは当社含め、様々な研究者、企業が伝えていますが、まさにそれが、現実のこととして目の前に突き付けられたように思います。
この事件から何を学ぶことができるでしょうか。
脅威インテリジェンスの専門家、ThreatSTOPが解説します。
※オリジナルの記事はThreatSTOP社Ofir Ashman氏が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/honda-ransomware-attack
ホンダのランサムウェア被害から学ぶこと
日本の製造業大手のホンダは、2020年6月8日(月)にランサムウェアの被害に遭い、多くの製造拠点の閉鎖を余儀なくされ、グローバルな事業に混乱が生じたことを明らかにしました。ホンダは、日本、北米、イギリス、トルコ、イタリアでの操業停止を余儀なくされました。さらに、ランサムウェア攻撃により、同社のカスタマーサービスや金融サービスにも混乱が生じました。
ホンダは攻撃の犯人を公表していませんが、今回の操業停止に使われたのは、Ekansとしても知られるSnakeランサムウェアではないかと噂されています。VirustotalにアップロードされたSnakeのサンプルは、ホンダの内部ドメインであるmds[...]honda[...]comを参照しており、これらの噂を裏付けています。ICS/SCADA環境をターゲットにプログラムされたランサムウェアが、今回のホンダを標的にすべく編集されたことを証明していると考えられます。
Snakeランサムウェアは2019年12月に初めて確認され、それ以来、ICS/SCADAセキュリティ分野の専門家は、製造業にセキュリティを強化するよう呼びかけています。ランサムウェアの機能の基本は非常にシンプルですが、Snakeは生産ラインやシステムに危害を加えるプロセス終了機能など、ICSに特化した機能を持っています。ICSに焦点を当てたこのランサムウェアは、膨大なプロセスキルリストを持ち、産業用サイバーセキュリティの世界では手ごわい新しいタイプの脅威となっています。
ホンダのランサムウェア攻撃から何を学ぶべきでしょうか?
ICS攻撃はもはや国家だけのものではない
今回のような標的性の高いICSランサムウェア攻撃は、かつては国家レベルのものでしたが、今回の攻撃は、多くのサイバー犯罪者が制御システムへの高度な攻撃を実行し、生産ラインを停止させることができるようになる未来を描き出したと言えます。
セグメンテーション! セグメンテーション!! セグメンテーション!!!
ホンダのケースでは、たった一つの侵入ポイントが、グローバルな業務の停止につながりました。ネットワークの分離、セグメンテーションを確実に行い、一つのネットワークセグメントに侵入されても他のセグメントに影響を与えないようにする必要があります。
多様で質の高い脅威インテリジェンスをプロアクティブに利用する
多くのランサムウェア攻撃は、既知で、しかも既に分析されている攻撃者、インフラを介して発生します。高品質の脅威インテリジェンスソリューションは、攻撃者のインフラストラクチャとの通信をブロックして、さまざまな脅威タイプから保護することができます。すべての企業および産業用ネットワークに防御的に実装することが必要です。
[SMART_CONTENT]
脅威インテリジェンスの専門ベンダー ThreatSTOPとは
ThreatSTOP社は脅威インテリジェンスの専門ベンダーです。
米軍やイスラエル軍など、セキュリティの最前線で業務に携わってきたセキュリティの専門家たちが、日夜世界中から、攻撃に使われたIPアドレス、ドメインなどのIoC(Indicator of Compromise)を収集、分析。FirewallやDNSサーバ、SIEMやEDRなど様々なツールで使える形で提供しています。
ThreatSTOPのインテリジェンスは、その高い品質で世界各国様々な通信キャリアに採用されています。
既知の攻撃者、インフラとの通信をブロックする。
シンプルですが効果の高いソリューションです。ぜひ、ご検討ください。
