報道によるとトヨタ自動車が取引先部品メーカーへのサイバー攻撃で国内の全工場の稼働を停止するようです。一方、経産省や金融庁はウクライナへのサイバー攻撃をめぐる情勢を受けてサイバー空間におけるリスクが高まっているとして企業等にサイバーセキュリティの強化を促す注意喚起を発出しています。
ウクライナを攻撃したWhisperGateとHermeticWiper
ウクライナでは2017年6月にマルウェアNotPetyaによる攻撃があり重要インフラが相次いでダウンするなど大きな影響を受けました。NotPetyaは当初、ランサムウェアと見られていましたが、その後、データを破壊するワイパーマルウェアと判明、NotPetyaによる攻撃にはロシア政府が関与しているとみられています。ウクライナに大きな被害をもたらしたNotPetyaですが、ウクライナにとどまらずヨーロッパを中心に他の国々でも感染が確認されています。また、2010年にイランの核施設を攻撃したことが明らかになったスタックスネットもイランにとどまらず世界中で感染が確認されています。攻撃者は標的へのサイバー攻撃を成功させるためにマルウェアを見境なく世界にばら撒いている実態があります。
今回のウクライナに対するサイバー攻撃では、DDoS攻撃やサイト改ざんに加えWhisperGateというランサムウェアを装ったワイパーマルウェア、さらにHermeticWiperというワイパーマルウェアによる攻撃が確認されています。HermeticWiperはWhisperGateよりもさらに洗練されたマルウェアのようです。サイバーセキュリティ企業のセンチネルワンは「LazarusGroupのDestoverとAPT33のShamoonはどちらも、Windows APIを呼び出さずにファイルシステムに直接アクセスするためにEldos Rawdisを利用しています。HermeticWiperも同様の手法を使っていますが、別のドライバーempntdrv.sysを悪用している」と言っています。Destoverは2014年にソニーピクチャーを、Shamoonは2012年にサウジアラムコを攻撃したワイパーマルウェアです。
攻撃者がスリープやシャットダウンを命令
今回、ウクライナを攻撃したWhisperGateについてはマイクロソフトが詳細な報告書を出しています。マイクロソフトは推奨される対策としてリモートアクセスインフラストラクチャのすべての認証アクティビティの確認、多要素認証(MFA)を有効にしてすべてのリモート接続にMFAが適用されるようにする、制御フォルダーアクセス(CFA)を有効にしてMBA/VBRの変更を防ぐことなどをあげています。
HermeticWiperはサイバーセキュリティのシマンテックとESETが最初に検出したようです。このワイパーマルウェアは攻撃者からスリープやシャットダウンの命令を受けることができるようです。感染後、時限爆弾のようにマシンに潜みある日、突然、データ破壊を実行する性格を有しているようです。そしてデータ破壊後にはMissing operating system_とだけ記された画面が表示されるということです。
経産省「VPNなど脆弱性への対応や通信の監視を」
政府はこうしたマルウェアが日本のインフラに影響を与えることを警戒しており、主に重要インフラ企業やそのサプライチェーンに向けて経産省や金融庁がセキュリティの強化を求めたものとみられます。経産省が発出した注意喚起ではIot機器などの保有状況の把握やVPNやゲートウェイ等、インターネットとの接続を制御する装置の脆弱性に対してパッチを適用するなどの対応を図ること、各種ログの確認や通信の監視・分析、データのバックアップの実施や復旧手順の確認などを呼びかけています。
1月半ば以降、ウクライナに対するサイバー攻撃が行われていましたが、2月24日にロシア軍がウクライナに侵攻、HermeticWiperによるワイパー攻撃は軍事侵攻の直前に行われたようです。ウクライナ側もIT部隊を編成するなどサイバー戦争の様相をていしていますが、こうした状況に乗じて様々な悪事を働く輩が現れるのはサイバー空間であればなおさらです。
トヨタ「国内仕入先におけるシステム障害の影響を受け…」
メディア報道によれば、トヨタ自動車と取引のある部品メーカーがサイバー攻撃を受け、トヨタは国内全工場の稼働を停止するということです。また、トヨタ系の日野自動車やダイハツでも国内工場の稼働を停止するということです。トヨタ自動車はウェブサイトを通じて「国内仕入先(小島プレス工業株式会社)におけるシステム障害の影響を受け、3/1(火)国内全14工場28ラインの稼働を停止することを決定いたしました」と明らかにしています。小島プレス工業は愛知県豊田市に本社を置くトヨタグループ向けに自動車部品を製造しているメーカーのようです。具体的にどのような攻撃を受けているのか詳細は不明ですが、いずれにしても国内部品メーカーへのサイバー攻撃によってトヨタなどの自動車工場がストップするのは極めて深刻な事態です。日本国内におけるサイバー脅威がより深刻さを増していると言えます。
■出典・参考
https://global.toyota/jp/newsroom/corporate/36960974.html
https://www.nikkei.com/article/DGXZQOFD289MK0Y2A220C2000000/
https://www.nikkei.com/article/DGXZQOUF28BMC0Y2A220C2000000/
https://www.meti.go.jp/press/2021/02/20220221003/20220221003.html
https://www.fsa.go.jp/cpaaob/kouninkaikeishi-shiken/news/r3/cyber/0224oshirase.html