サイバー攻撃でトヨタも全工場停止 脆弱企業は今後販売不許可も

　＜ホンダ、サイバー攻撃で工場停止 過去にも感染で工場生産停止＞、＜セキュリティー対策がダメな自動車メーカーは販売禁止！規制を決定＞という話をやっていました。その後、トヨタ自動車でもサイバー攻撃により、国内全工場が停止する事態になっていましたので、追記しています。

2022/11/02まとめ：
●「身代金は支払らない」と説明の日本の病院、実際は支払いか？　【NEW】


●ホンダ、サイバー攻撃で工場停止 過去にも感染で工場生産停止

2020/09/05：世界的な自動車会社のホンダは2020年6月8日に、サイバー攻撃が原因で社内のネットワークシステムに障害が発生していました。ウイルスが拡散された影響で問題が発生。これを伝えた2020年6月9日のホンダ、サイバー攻撃でシステム障害　生産を一部停止　　:日本経済新聞によると、報道時点でもパソコンでのメールのやり取りは支障が出ていたといいます。

　国内では、埼玉県寄居町にある寄居工場などで、出荷前に完成車に不具合がないかどうかを確認する検査システムと工場のコンピューターが接続できなくなりました。その影響で、出荷業務を一時取りやめる事態に。現在は復旧したものの、パソコンを使った業務は制限されたままだとされていました。
　
　そして、海外ではもっと深刻。翌日の9日は大半の工場で生産を再開できたものの、北米では、ウイルス問題の確認のため全拠点で生産を停止する事態になっていました。ホンダは2017年、世界の複数拠点でランサムウエア「WannaCry（ワナクライ）」に感染し、工場の生産を一時停止させていたことがあり、再び狙われた形です。


●セキュリティー対策がダメな自動車メーカーは販売禁止！規制を決定

　その後の記事によると、停止したのは北米だけではなかった模様。米国やブラジルなどの9工場で生産を一時停止していました。段階的に復旧させたが社内ではパソコンでメールのやり取りができなくなるなど、生産現場に加えてオフィスでも業務に支障が出てしまったといいます。

　これを伝えた記事は、新型コロナ:ホンダへのサイバー攻撃を各社の警鐘に　守れ供給網　　:日本経済新聞(2020/6/30 2:00)というもので、ホンダだけではない全般の話です。トレンドマイクロの石原陽平さんは工場の疑似システムを使って実施した調査を基に、「工場は8日に1回の頻度でサイバー攻撃を受けている」としています。攻撃はよくあることなんですね。

　一方で、セキュリティー対策に関しては、ちょうど新たな国際規制が2020年6月24日に決まったところ。実際に拘束力を持つには各国で法規制が必要ですが、法律が制定された場合、この基準を突破できなければ輸出販売が難しくなるといいます。車本体の防御機能だけではなく、今回のようなケースも関係するようなのです。

　記事によれば、攻撃されても迅速に対応できる生産設備や社内システム、社内組織をつくっているかなども評価。そして、こうした新たな規制と国際標準に適合しなければ欧州などで車の型式認証が得られず、自動車メーカーは輸出や販売ができないともいいます。需要がでかい中国と米国は未参加ですが、同様の規制を検討中だそうです。

　攻撃されやすく対応も後手に回るという時点で、その自動車メーカーは防御対策が「不適合」となりかねないとも指摘。部品を納める大手部品メーカーや2次以降の下請けメーカーも規制対象になり、自動車メーカーが下請け全社の対策を管理するともされており、この影響は甚大。厳格に適応された場合には、大きな被害を受けるメーカーが出てきそうです。


●サイバー攻撃でトヨタも全工場停止 脆弱企業は今後販売不許可も

2022/03/02追記：トヨタの取引先にサイバー攻撃か　3月1日から国内全工場で生産停止：朝日新聞デジタル(浦惇平、近藤郷平2022年2月28日 20時13分)によると、トヨタ自動車は2022年3月1日、国内の14工場すべてで生産を止めました。取引先の部品メーカーでシステム障害が発生し、部品の供給が滞ったためです。過去の事例を含めて、以下のように報じられていました。

＜システム障害が起きたのは、樹脂部品をつくる小島プレス工業（愛知県豊田市）。広報担当者は「サイバー攻撃を受けた可能性が高い。原因を含めて調査している」と話した＞
＜自動車産業ではサイバー攻撃による被害が相次いで判明している。ホンダでは2020年、社内システムがウイルスに感染した影響で9工場が停止した。昨年12月には、トヨタ系で最大手の部品メーカーのデンソーがハッカー集団によるサイバー攻撃を受け、従業員の個人情報が流出した＞

　トヨタの国内全工場で生産停止に関しては、トヨタの「弱い輪」が餌食に、サイバー攻撃で生産停止：日経ビジネス電子版(2022.3.1　吉野 次郎)という記事も出ています。タイトルの「弱い輪」というのは、18世紀の英哲学者トーマス・リードの「鎖の丈夫さは、最も弱い輪によって決まる」という格言にちなむもの。うまいこと言いますね。

　今回はトヨタ自身の問題じゃない！と思うかもしれませんが、現実に生産が止まっていますので問題。また、前回書いたように、セキュリティー対策が弱い自動車企業が輸出や販売ができなくなるおそれがあり、今後はより深刻。過去記事を読み直すと、「2次以降の下請けメーカーも規制対象」とあったので今回のケースも問題になりそうです。

　あと、今回の件で「絶対中国だ！」と叩いている人が早速湧いていました。可能性はあるのですが、一般論で言うと、サイバー攻撃が多いのは、今ちょうどウクライナ侵攻も問題視されているロシア。また、ロシアの攻撃は中国の仕業に偽装しているケースが報告されており、まんまと術中にはまっている感じ。どうもロシアは叩かず、中国を叩きたがる人が多いですね…。


●「身代金は支払らない」と説明の日本の病院、実際は支払いか？

2022/11/02追記：企業ではありませんけど、組織におけるランサムウェア事件の例として、サイバー攻撃メインの投稿で書いた話をこちらにも転載しておきます。2021年の徳島県つるぎ町立半田病院がサイバー攻撃にあった事例では、実際に身代金が支払われていたようなのです。

＜2021年10月3日、徳島県つるぎ町立半田病院が、ロシアのサイバー犯罪集団である「LockBit2.0」（以下、LockBit）によるランサムウェアによるサイバー攻撃を受けた。病院内の電子カルテを含む様々なシステムが動かなくなり、緊急患者の受け入れも断念することになった。
　そして2カ月以上にわたって、半田病院は病院機能が麻痺し、通常通りに診療ができない事態に。日本では、政府が身代金の支払いをしないよう指導しているため、公立病院である半田病院も身代金を払わないと決定した。そうなるとデータの暗号を解除することは不可能なため、その代わりに病院側は、2億円ほどの費用をかけて、カルテなどのデータを業者などの協力で独自に復元したと報じられている＞
https://news.yahoo.co.jp/byline/yamadatoshihiro/20221101-00321712

　以上のように病院側は身代金を支払っていないと説明。しかし、報告書を見たセキュリティ関係者らは困惑しました。というのも、ランサムウェアの身代金を払って暗号解除のための鍵を受け取らずに「データを復元」するのは技術的に不可能なため。この説明は信じることができません。どこかに嘘があると考えられます。

　これを伝えた記事は、＜病院のランサムウェア事件、ロシア系犯人を直撃取材　払っていないはずの「身代金」を支払ったのは誰なのか＞(山田敏弘　国際情勢アナリスト／国際ジャーナリスト　22/11/1(火) 0:28)というタイトルでした。どうも病院側が依頼してたIT業者の「B社」が勝手に身代金を支払ってしまったようなのです。

　作者の山田敏弘さんがやり取りしていたサイバー犯罪集団幹部によると、そもそも「LockBit」は、「ランサムウェア攻撃のターゲットから病院は外している」そうで、半田病院の問題は山田敏弘さんから知らされて初めて知ったといいます。これは無作為攻撃のためかな？と思ったら、分業制のためという説明でした。

＜「LockBit」は組織化された犯罪集団である。この幹部によると、「Affiliate（アフィリエイト）」と呼ばれる協力者が百人ほどいるという。アフィリエイトは、「LockBit」からランサムウェアを提供され、それで攻撃を行い、獲得した身代金からパーセンテージで報酬を得るのだ。
　半田病院については、「LockBit」のアフィリエイトが勝手に攻撃を行っていた。それについて、幹部は知らされていなかった。その上で、幹部は「二度と病院は攻撃しない」とも主張した。今後、どこかの病院がアフィリエイトによって攻撃されたら、無料で復号鍵を渡す意思も示している＞

　半田病院にも無料で鍵を渡したようですが、時系列的にはその前に復元しており、辻褄が合いません。このため、山田敏弘さんが再びやり取りしたところ、幹部も過去に支払いがあったことを把握。前述したような、病院側が依頼してたIT業者の「B社」が勝手に身代金を支払ってしまった…という説明だと辻褄が合う形になっています。

＜実は、セキュリティ関係者や一部メディアでは、春頃からこの話が一人歩きをしていた。どうも「B社が無料で復号鍵を『LockBit』から入手していたらしい」と。だからこそ、解除が不可能なランサムウェアに感染したネットワークからデータを復元できたのだ、と。さらにその報酬として7000万円を受け取っていたという話もささやかれていた＞
＜「過去のやり取りをさかのぼって見ていたら、アフィリエイトが2021年11月半ばに『$30k（3万ドルの意味）』（引用者注：約450万円）で半田に暗号解除の鍵を渡した記録が出てきた」
　要するに、何者かが、病院が混乱の真っ只中にあった11月の段階で鍵を購入していたことが判明したのだ。筆者の感触では、「LockBit」がここで嘘を言う動機はないだろう＞
＜そしてその後すぐに、この話が大手メディアでも報じられることになった。まず共同通信が10月26日に、「ロシア拠点のハッカー犯罪集団が『データの「身代金」として3万ドル（約450万円）を受け取った』と主張していることが26日、分かった」と報じた。そして復元を依頼された業者に半田病院が「計7千万円を支払い」とも書いている＞

　ランサムウェア対応策などにも詳しい八雲法律事務所の山岡裕明弁護士は、「IT業者が当初から身代金を支払うことで復旧する予定であることを秘して、町に対しては自らの技術力で復旧するように装って契約をしていた場合には、当該契約は詐欺を理由に取り消しの対象となる余地がある」と指摘。問題がありそうでした。


【関連投稿】
　　■Avastがユーザー情報販売 セキュリティソフトよりデータ販売が本業？
　　■ハッキング・サイバー攻撃ランク、1位は中国？北朝鮮？ロシア？
　　■最近はホワイトハッカーになるために資格をとって学校に行く？
　　■ハッキングして勝手にセキュリティ性を高めるホワイトハッカー登場
　　■ネット・コンピュータ・ハイテクについての投稿まとめ