自動車メーカーのホンダへのサイバー攻撃が明らかになったのは今年6月9日のことでした。同社によると6月8日にシステム障害が発生しましたが、9日午後には復旧し情報流出は確認されなかったということです。ホンダは攻撃されたマルウェアについて明らかにしていませんが、報道ではEKANSというランサムウェアだと言われています。EKANSとはどのようなマルウェアなのでしょうか?
IPA(情報処理推進機構)は今年8月、「事業継続を脅かす新たなランサムウェアについて」と題した報告書を公開しました。この報告書は、コンピューターのデータを人質に身代金を要求する従来のランサムウェアにかわり、標的としたターゲットのシステムに侵入してデータを窃取した上でシステムの復旧と引き換えに身代金を要求し、要求に応じない場合は窃取したデータを公開すると脅迫して金銭を要求するさらに悪質なランサムウェアについて注意を喚起する内容になっています。企業等がランサムウェアに備えて事前にバックデータをとるなどの対策を進めていることから、要求に応じない場合は情報を公開するぞと脅すことで企業側に金銭を払わせようとする2段階の脅しの手口になりつつあるということです。
この報告書では新たなランサムウェアの事例として、今年6月に報じられたアルゼンチン、ブエノスアイレスに本社を置く配電会社、エデスール(Edesur)に対するランサムウェア攻撃を取り上げていて、この攻撃はEKANSによるものだということです。また、IPAによると、Edesurへの攻撃で使用されたEKANSはその企業のシステムの端末でのみ動作をするように作られていたということです。セキュリティ対策ソフトの開発を行っている米企業、Malwarebytesのラボなどによると、マルウェアの検査を行うウェブサイトのVirusTotalにアップされていたEKANSのサンプルをセキュリティ研究者が調べたところ、Edesurの親会社のEnelに関連付けられているEKANSの検体とホンダに関連付けられているEKANSの検体を見つけたということです。ホンダに関連付けられたEKANSが見つかり、また、ホンダとEdesurへのサイバー攻撃は同時期に行われていることから、ホンダは明らかにしていないものの、ホンダへの攻撃はEKANSによるものだったと考えられています。IPAの言い方に従えば、Edesurの親会社のEnelのネットワークの端末でのみ作動するEKANSとホンダのネットワークの端末でのみ作動するEKANSが見つかっており、2つのサイバー攻撃はいずれも今年6月に行われていることから、ホンダへのサイバー攻撃もEKANSによるものだったと考えて間違いないのではないでしょうか?
サイバーセキュリティーの専門家によると、EKANSは2019年12月に発生したランサムウェアで、オープンソースのプログラミング言語のGolandで書かれており、ファイルの最後を「EKANS」の文字列でタグ付けしているためEKANSまたはSNAKEと呼ばれています。産業制御システムを狙い、産業用システムを「人質」にして「身代金」を要求するランサムウェアのようです。ホンダは2017年にはランサムウェアのWannaCryによる攻撃も受けています。2つの攻撃に何か関係はあるのでしょうか?今のところWannaCryとEKANSの関連を示す報告はされていませんが、重ねてランサムウェアのターゲットになったのであれば少し気になるところです。
【出典】
https://www.ipa.go.jp/security/announce/2020-ransom.html
https://www.dragos.com/blog/industry-news/ekans-ransomware-and-ics-operations/