現在、日本の製造業はデジタル化からさらに進んだDX (デジタルトランスフォーメーション) を進めています。これに伴い、サイバー攻撃を実行できる領域も拡大し、サイバーセキュリティの脅威も増加しています。今春、警察庁が発表した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害を受けた国内企業の3割ほどが製造業であり、製造業を取り巻くサイバー脅威のリスクが浮き彫りになっています。
本連載では、日本で重要な位置を占める製造業に焦点を当て、さまざまな角度から、製造業を脅かす脅威とデータ保護について解説します。
初回となる今回は、最近の傾向を含め日本の製造業に起きたサイバー攻撃、台頭しているハッカー集団の広がりや特徴などについて見ていきます。
サイバー攻撃者に狙われる日本企業
アクロニスの調査では、2023年第1四半期に多くのサイバー攻撃を受けた国はシンガポール、ブラジル、日本となっています。攻撃手法としては、ランサムウェアが依然として最大の脅威となっている他、データ窃盗の攻撃も猛威を振るっています。
感染経路は、引き続きフィッシングや悪意のあるメールが多いですが、脆弱なドライバを悪用してシステムに侵入しセキュリティーツールを無効化する手法も広がっています。加えて、ログイン情報を悪用する手法も大多数のデータ侵害を引き起こす原因となっています。
今回注目したいのは、ランサムウェアグループです。その被害の増加はダークウェブの広がりにも暗示されています。よく見られるグループとしては、LockBit、Clop、 BlackCat(別名ALPHV)、Royalなどがあり、特にLockBitは圧倒的な存在を示しています。
最も記憶に新しいところでは、今年7月、多くの日本の製造業が物流拠点として使用している名古屋港のターミナル管理システムがダウンし、貨物の荷下ろしが約2日間ストップしました。一部報道によると、このサイバー攻撃にはLockBitが使われていたそうです。
今年1月には電子部品メーカーのフジクラがタイのグループ会社への不正アクセスがあったことを発表し、その後LockBit3.0 が攻撃を名乗り出ています。
そのほか、今年3月には、日立製作所の子会社である日立エナジーが、Clopによるファイル転換ソフトウェアの脆弱性を悪用したデータ侵害があったと発表。日立から影響を受けたすべての従業員、該当するデータ保護当局、および執行機関に対してこのことが通知されました。
悪質になる恐喝戦術と増えるプレーヤー
こうしたハッカー集団は交渉を有利に進めるため、盗難データを公表するためのWebサイトを立ち上げています。そのサイトの情報を見たメディアが被害にあった企業より先にサイバー攻撃を知るといったケースも起きています。
直近では腕時計メーカーのセイコーが、今年8月に同社サーバへの不性アクセスについて公表し、ランサムウェア攻撃によってグループ会社の従業員および関係者に関する一部の情報が漏えいした事実を確認したと発表しました。
一部報道では、BlackCat/ALPHVランサムウェアのハッカーグループが同グループのリークサイトにセイコーを被害者として挙げており、セイコーのネットワークから盗んだとする従業員のパスポートの写しや内部情報のデータをサイトに掲載したと伝えています。
このように犯罪を公にするのは企業にプレッシャーをかけるためですが、自分たちの名を上げることで他の犯罪者を誘い込む目的も兼ねています。一部のランサムウェアグループはアフィリエイトと呼ばれる業務提携者にランサムウェアを貸し出すビジネスもしています。
彼らはインフラやバックエンドサービスを提供する代わりに、集めた身代金の7~8割をアフィリエイトに提供し、残りを受け取るといった形で収入を得ているのです。FBIのインターネットレポート2022によると、米国のサイバー攻撃による被害額は去年で100億ドルを超えており、2021年の69億ドルから急増しています。1カ月に1000万ドルの収入を稼ぐ犯罪グループもいますが、月額2000ドルから3000ドルの稼ぎでも十分魅力的な金額です。
こうした事情から、従業員が自分の会社のネットワークにランサムウェアを感染させるという残念な事例も見られます。特に、新型コロナウイルスが登場してから見られるケースですが、職場への不満がある会社員にハッキングが成功したら身代金の何割かを支払うと約束する、または前払金を払うなどと持ちかけ犯罪に誘い込むのです。
加えて、ダークウェブでは倫理的なフィルターが取り外されたChatGPTが出回っており、簡単にフィッシングメールが作成可能になっています。つまり、違法行為を犯しやすい環境があり、サイバー犯罪が身近なものになっていることでダークウェブは広がりをみせ、参加者も増えているのです。
広範囲にわたるサイバー攻撃の影響
このようなサイバー攻撃は製造業にとって致命的なリスクです。なぜなら、製造ラインはどこかが止まってしてしまうとそれ以外の業務も停止してしまうからです。再開するまでの時間、顧客先への納品の遅れ等影響は広範囲にわたります。また、突然のシャットダウンから元通りに製造ラインを再開できる保証はありません。
以前、ドイツの製鉄所がサイバー攻撃の被害に遭い、正常な手続きで高炉をシャットダウンすることができず、無理やりシャットダウンしたために設備にかなりのダメージを与えてしまったケースがありました。アクロニスのサイバープロテクション研究所の調べでは、2023年8 月、日本はランサムウェアの攻撃で韓国(17.3%)、中国(10.6%)、フィリピン(8.3%)に次ぐ4.9%と世界第4位にランクされています。
日本はここ数年間でランサムウェア攻撃の標的の上位に上がってきているのです。製造業にとってバックアップを取るだけではなく包括的なサイバーセキュリティ対策が求められています。
次回はなぜ製造業が狙われるのか、貴重なデータを保護するためのヒント等を検証していきます。
著者プロフィール
キャンディッド・ヴュースト(Candid Wuest)Acronis リサーチ担当バイスプレジデント
IBM 、シマンテックなどで20 年近くにわたってサイバーセキュリティの脅威分析などに携わる。2020 年3 月から、スイスとシンガポールに本社を持つサイバーセキュリティ企業であるアクロニスのサイバープロテクション研究所担当バイスプレジデントを務めている。2022 年3 月からは、アクロニス リサーチ担当バイスプレジデントとして日々情報収集にあたっている。