2月28日、トヨタ自動車は日本国内の全14工場28ラインの稼働を、3月1日に停止することを発表しました。同時にその原因が「トヨタ自動車の取引先企業がランサムウェアに感染したため」だということも明らかになり、大きな話題となりました。
結果的に工場の稼働が停止したのは1日だけで、翌3月2日からは全ての工場の稼働が再開しましたが、たった1日の稼働停止でも計1万3千台以上の車両生産に遅れがでるなど、決して小さくない余波が広がっています。
この記事では、トヨタ自動車関連企業に対するサイバー攻撃事件の経緯、および本事件から学びとれる「企業セキュリティに必要なランサムウェア対策」について解説していきます。
トヨタ自動車を狙ったサイバー攻撃の経緯
サイバー攻撃を受けたのはトヨタ自動車の主要取引先(一次取引先)である「小島プレス工業」という企業です。同社は愛知県豊田市を拠点とし、主に車の内外装の樹脂部品を製造しています。
2月26日夜、小島プレス工業は社内サーバの障害を検知したため、安全確認のためにネットワークを遮断しました。しばらくして再起動するとコンピュータ画面に英文で「このリンクにアクセスしないと機密情報を公開する」といった趣旨の脅迫文が表示されたといいます。同社はすぐに専門家に相談し、被害の拡大を防ぐためにすべてのネットワークを遮断。これにより、業務継続に必要不可欠な「部品の受発注システム」が使用不能となってしまいました。
本件は「ウィルスに感染させ、脅し、金銭を要求する」という手口から見て、ランサムウェアによるサイバー攻撃と判断して間違いないでしょう。
なぜ全ての工場の稼働を停止したのか?
一言で言えば、小島プレス工業がトヨタ自動車の一次取引先だからです。一次取引先である同社は、自動車製造に欠かせない多種多様な製品を”直接”トヨタ自動車に納品する役割を担っています。
しかし、感染したランサムウェアに対処するためにネットワークを遮断したことで、トヨタ自動車やその他の二次取引先とも部品取引が困難となりました。これにより完成車メーカーであるトヨタ自動車は、自動車の製造に必要な多くの部品を調達できなくなり、やむなく全ての工場の稼働停止を決断しました。
ランサムウェア感染から稼働再開までの時系列
2月26日午後9時頃:小島プレス工業の社員が社内サーバの障害を検知し、安全確認のためにネットワークを遮断。専門家に相談。
同日午後11時頃:サーバを再起動してみると、コンピューター画面に英文で「このリンクにアクセスしないと機密情報を公開する」といった趣旨の脅迫文が表示される。この時点でウィルス感染は確認済み。
2月27日:被害拡大を防ぐために全てのネットワークを遮断。これにより部品の受発注システムが使用不能となる。
小島プレス工業は愛知県警に被害を相談。県警はサイバー攻撃事件とみて情報収集を開始。
2月28日:トヨタ自動車が国内全14工場28ラインの稼働を3月1日に停止することを発表。トヨタ子会社の日野自動車、ダイハツ工業も同じく一部工場の稼働を停止することを発表。
3月1日:トヨタ自動車が国内全14工場28ラインの稼働を停止。小島プレス工業は、部品取引用の暫定的な受発注システム/ネットワークの構築を完了。取引再開の目途が立ったため、トヨタ自動車は翌2日から稼働を再開。
サイバー攻撃による被害の影響
工場の稼働停止はたった1日で済みましたが、それでも計1万3千台以上の生産に影響が出たと推測されています。また、障害が起こったシステムの完全復旧には1~2週間ほどかかる見込みで、それまでは暫定的に構築したシステム/ネットワークを利用して業務を継続するということです。
前述の「脅迫文」について、小島プレス工業は「脅迫文」に従わずに即時ネットワークを遮断したため、リンク先のページ内容や要求金額なども把握しておらず、身代金も支払っていないことが関係者への取材で明らかになっています。なお、脅迫文には「このリンクにアクセスしないと機密情報を公開する」と書かれていたそうですが、今現在、データ流出等の被害は確認出来ていません。
ランサムウェアとは?危険性と被害事例
ランサムウェアの最大の特徴は、一度感染すると、業務に不可欠なシステムや機密データが暗号化(ロック)および窃取されて使用不能となることと、それを復号化(ロック解除)する対価として金銭の支払い等の条件を提示されることです。
暗号化の性質上、一度ロックされたシステム・データはそれを仕掛けた攻撃者にしか解除出来ないため、被害者が取れる選択肢は「条件を呑み金銭を支払う」か「金銭を支払わず代案を練る」の2択しかなく、早急な解決を望む多くの企業は金銭を支払ってしまいます。
多くの場合、金銭を支払う事でロックは解除されるのですが必ずしもその保証はなく、盗まれた機密データがどのように扱われるかを把握する術はありません。また、金銭を支払ったにもかかわらず、さらなる条件を提示されるリスクもあります。
ランサムウェアはどれくらい危険か?
ランサムウェアは近年最も注目されているサイバー攻撃の1つで、IPAが毎年発表している「情報セキュリティ10大脅威 2022」でも2年連続で1位を獲得しています。
ランサムウェアの被害に遭うことで、企業がどれほどの損失を被るかは想像に難くありません。例えば、金銭支払いによる経済的損失、個人情報漏洩による信用失墜、システム復旧に必要なあらゆるコストの発生、、、などです。
被害実態の分かりやすい例として、昨年話題になった「徳島県半田病院のランサムウェア感染事件」が挙げられます。同病院の院内システムがランサムウェアに感染したことで、すべての電子カルテが閲覧不能となり、会計システムもダウンしました。
結果的に、2か月以上にわたりあらゆるシステムが使用不能となったため、同病院は新規患者の受け入れを停止し、病院関係者はゼロから手作業でカルテを作り直すなどして対応しました。同病院は金銭の支払いを拒み、約2億円かけて新たな院内システムをゼロから構築したといいます。
このように、ランサムウェアはたった一度の感染で、企業に甚大な被害をもたらします。企業規模を問わず、経営者はランサムウェアを「新たな事業継続リスク」の1つとして意識し、対策を急ぐ必要があるでしょう。
ランサムウェアの被害事例は?
ランサムウェアの被害事例は多岐にわたり、中小企業はもちろん、安全だと思われている大企業や政府機関の被害事例も多数報告されています。国内事例は欧米諸国に比べて少ないのですが、2021年だけでも146件の被害が報告されています。
国内事例として話題となったのは、国学機器大手のHOYA、ゲーム大手のカプコン、福島県立医大病院などの事件が挙げられます。世界に目を向ければ、アメリカの最大手コロニアルパイプライン社や、オーストラリア政府所有の電力大手CS Energy社の被害事例が記憶に新しいです。
特にコロニアルパイプライン社は、アメリカ東海岸の燃料供給の45%を担うアメリカ最大手で、ランサムウェア感染によって1週間以上にわたり操業停止した結果、440万ドル(4億8000万円相当)を犯人グループに支払っています。
ランサムウェア被害に遭わないために必要な対策
ランサムウェアの被害に遭わないために、もっとも重要なのは「感染させないこと」です。基本的なセキュリティ対策から、漏れなく進めていきましょう。
例えば、システムをこまめにアップデートし最新の状態を保つことと社内全体のセキュリティ意識を高めることが感染予防につながります。
そして想定しうる感染経路※を洗い出し社内の周知/対策を徹底することも重要です。
※ランサムウェアの感染経路:メールの添付ファイル、怪しいウェブサイト、ネットワークの脆弱性、不正ログインなど。
ランサムウェア攻撃は企業の機密データを狙って行われるもので、企業側では「機密データを守る」という最も根底的なセキュリティ対策が求められます。平素に機密な情報のみ暗号化し、権限のある管理者のみアクセスできるようにしておくと、たとえデータが盗まれたりしても、管理者以外はデータを閲覧できず情報の流出を阻止できます。
Webの脆弱性を狙った不正ログインや改ざんされたWebサイトへのアクセスによる被害も依然として多く報告されています。Webアプリケーションに特化した「WAF」の導入が推奨されます。
また、中小企業では社内システムの保守運用を外部に委託していることが多いと思われます。その場合、保守業者はリモートで作業するためにVPN機器を設置しますが、機器自体に脆弱性が存在する場合、攻撃者はそこから侵入してマルウェアに感染させます。半田病院やコロニアルパイプライン社の事例は、まさにVPNの脆弱性を利用されたものです。
感染を想定した準備も必須
最悪の事態を想定することは、セキュリティ対策をする上でとても重要です。感染を防ぐ対策だけでなく、「もしも感染したら」という視点で「被害を最小限に抑える対策」も積極的に進めていきましょう。
例えば、企業にとって最悪な事態の1つは「重要情報やシステムにアクセスできず、事業継続が困難になること」だと思います。先ほど紹介した半田病院の例がわかりやすいです。
よって、企業は最低限、下記項目の対策準備を進めるべきです。
- バックアップの取得
- バックアップとネットワークの常時離断
- アクセス権限分散
- 共有サーバの分離
- 代替システム/ネットワークの構築(の準備)
「最悪を想定した準備」が企業にどれだけの恩恵をもたらすかは、今回の小島プレス工業の被害実態を見れば明らかです。
これはあくまで推測ですが、世界的大企業であるトヨタ自動車の一次取引先を担う同社が、マルウェア感染を含めた包括的なセキュリティ対策を怠っていたはずがありません。トヨタ自動車の全工場がたった1日の稼働停止で済んだのは、非常時の対策やシュミレーションを平時からしっかり行っていたからに違いありません。普段からデータを安全にバックアップし、代替システムの準備も整えていたがゆえに、早期の稼働再開が実現したといえるでしょう。
中小企業を含めたサプライチェーン対策が急務
今回の一件は、トヨタ自動車の部品供給網を狙った、ある種の「サプライチェーン攻撃」といえるでしょう。一次取引先である小島プレス工業がマルウェアに感染したことで、トヨタ自動車のあらゆるサプライチェーンが多大な影響を受けました。
マルウェアおよびサプライチェーン攻撃は世界規模で広がっており、日本でも被害事例が急激に増加しています。特に、サプライチェーン攻撃は一社単独の取り組みで防げる脅威ではなく、サプライチェーンを構成する大小すべての企業が連携して対策する必要があります。
以下の記事では、今年、企業のセキュリティ担当者が絶対に見落としてはいけない「脅威」を取り上げて詳しく解説しています。本記事を見て少しでも危機感を覚えた方は、ぜひ一度目を通してみて下さい。
【2022年版】企業セキュリティの4大脅威と、担当者がとるべき対策まとめ
