2020年6月9日、ホンダがサイバー攻撃を受け工場稼働に影響が及ぶシステム障害が発生したと複数のメディアが報じました。ここでは関連する情報をまとめます。
PC動かず休暇取得呼びかけ
サイバー攻撃によりホンダへ生じた影響は以下の通り。(6月10日時点)
社内ネットワーク | ・メール送信やファイルサーバーへの接続ができない状況が発生。 ・9日もメール使用不可の状態継続のためPC使用制限を実施。(10日までに制限解除) ・間接部門社員はPC使用できないため6月9日当日は有給休暇の取得を呼び掛け。*1 ・社内サーバーに接続するPCを中心にマルウェア感染が確認されている。社内サーバーにはマルウェアをばらまくプログラムが仕掛けられており、この対応に約2日を要した。*2 ・対策として多くのPC初期化を実施、一部データを損失。*3 |
---|---|
国内工場 | 完成車出荷前検査システム障害により次の2工場での出荷が一時停止。 ①埼玉製作所 狭山完成車工場 ②埼玉製作所 寄居完成車工場 ・検査システムは8日夕方までに復旧し9日は通常通り生産。 ・当初鈴鹿製作所も影響を受けたとされたが実際には影響を受けず出荷を行っていた。*4 |
海外工場 | 発生当時海外9拠点の工場に影響(当初11拠点と発表)、9日時点4拠点、10日時点2拠点の工場が稼働停止。11日までに全工場復旧。 ①北米 全5拠点生産停止。工場1拠点(Honda of America Mfg., Inc.、オハイオ州)を除き9日までに復旧。11日までにオハイオ州も復旧。 オハイオ州工場では生産ライン管理システムがマルウェアに感染。*5 ②カナダ 工場1拠点(四輪車)生産停止。10日までに復旧。 ③トルコ 工場1拠点(四輪車)生産停止。10日までに復旧。 ④インド 工場1拠点(ニ輪車)生産停止。10日までに復旧。*6 ⑤ブラジル 工場1拠点(二輪車)生産停止。10日までに復旧。 生産ライン管理システムで障害が発生。*7 ⑥英国 スインドン工場が影響を受けたとBBCが報道。生産停止したかは不明。*8 |
その他 | ・米国、カナダ:コールセンター、リース契約対応不可。
|
月曜9時に発覚
日付 | 出来事 |
---|---|
2020年6月8日 9時過ぎ | ホンダ社内でシステム障害が発生。 |
同日 | 国内外の工場でシステム障害の影響により出荷や生産を停止。 |
同日11時頃 | ホンダ全社員を対象にPCの使用制限を実施。 |
同日夕方 | ホンダ国内工場の検査システムが復旧。 |
2020年6月9日 | 本社や工場の間接部門社員に対し、有休取得をするよう呼びかけ。 |
同日 | メディア取材に対し、ホンダがサイバー攻撃によるものであったと回答。 |
2020年6月10日頃 | サイバー攻撃被害を受けた社内サーバーの対応が完了。 |
同日 | 本社従業員のPC使用制限を解除。 |
2020年6月12日 | サイバー攻撃でシステム障害が発生した全工場復旧。*11 |
- 8日午前中は社内ヘルプデスクへPCや社内システムの不調を訴える問合せが殺到。
- サイバー攻撃の可能性を考慮し在宅勤務者を含む全社員に対し、PCをシャットダウンして使用を控えるよう指示。*12
攻撃詳細は非開示の方針
- 社内サーバーに対し、外部より不正侵入された痕跡が確認されたと報じられている。
- ホンダはマルウェアによるサイバー攻撃により今回の障害等が発生と断定したが、広報担当者はセキュリティの観点からマルウェアの種類や詳細の開示は行わない、現時点では報道発表の予定はないと取材へ回答。*13 *14
状況証拠となったマルウェア
- Virustotalにアップロードされた検体からホンダのサイバー攻撃に用いられた可能性があるマルウェアを発掘し8日19時にツイートされていた。
- 関連を指摘された理由はマルウェアの挙動。ランサムウェアとして機能する際、特定ドメインに接続ができるかをチェックが行われており、そのドメインが
mds.honda.com
だった。 - Virustotalへは2020年6月8日9時半頃に日本のIPアドレスよりアップロードされていた模様。マルウェアのファイル名はnmon.exe。
2020-06-08: 🆕🐍#SNAKE/#EKANS #Ransomware |
— Vitali Kremez (@VK_Intel) 2020年6月8日
Possible @Honda Lockdown Incident
RW References to Honda:
1⃣Honda ISP ("AHMC") 🇺🇸IP "170.108.71. 153"
2⃣"MDS. HONDA. COM" Check
Source:
C:/Users/Admin3/go/src/.../<RAND>.go@malwrhunterteam @BleepinComputer pic.twitter.com/45vguO0Hnk
mds.honda.com
は社外に公開されておらず、社内で使用されるドメインだったと推定されている。Office 365が動いていたらしきo365.mds.honda.com
も存在する。(6月9日時点で404)またサブドメイン上である社員のRDPが稼働していたとする報告もある。- 発掘されたマルウェアはEKANSと呼称されるランサムウェアの一種だった。2020年1月初め頃からその存在が報告されており、産業制御システムを狙ったサイバー攻撃を行うマルウェアとしてレポートが公開されている。
MBSDが解析結果を公開
- MBSDが2020年6月16日にこのマルウェアの解析レポートを公開。次のような特徴が確認された。
- 純粋に暗号化を行うのみで、このマルウェア自体には情報を盗み出したり、ネットワーク上で拡散させたりする機能は確認されていない。
- 起動時に
mds.honda.com
の名前解決を行い、その結果が170.108.71.15
であるかを確認しそれ以外の場合はそこで処理が終了する。 - ファイアウォールの全プロファイルに対し、受信・送信規則に一致しない接続をブロックする設定変更後、有効にする。
- FW有効後にイベントログやセキュリティ製品のサービスの停止を行う。
- 複数サービス停止後に暗号化の処理を開始し、すべてのファイルの処理が終わった後に一斉にリネームを行う。
- 暗号化完了後にファイアウォールをすべて無効化する。
- 暗号実行時は負荷がかなり高く、操作がもたつく事象が起きた。実行後は自分自身も暗号化されていた。
- 脅迫メッセージはドメインコントローラーの環境で起動された場合に、デスクトップに
Decrypt-Your-Files.txt
というファイルが生成される。
関連発表
- ホンダ健康保険組合 システム障害に関するお知らせ
- ホンダ健康保険組合 システム障害復旧に関するお知らせ
更新履歴
- 2020年6月10日 AM 新規作成
- 2020年6月10日 PM 続報反映
- 2020年6月11日 AM 続報反映
- 2020年6月12日 AM 続報反映
- 2020年6月13日 AM 続報反映
- 2020年6月17日 PM Snakeランサムウエアの解析報告を追記
*1:ホンダ、サイバー攻撃受け社内ネットワーク障害 海外4地域で生産停止、有給休暇呼びかけ,毎日新聞,2020年6月9日
*2:サイバー攻撃、企業危機感 ホンダは復旧途上「想定以上の手口」,朝日新聞,2020年6月11日
*3:サイバー攻撃受けたホンダ、世界の工場復旧,読売新聞,2020年6月12日
*4:ホンダ、サイバー攻撃で生産休止中の全工場が操業再開,Newsweek,2020年6月12日
*5:ホンダ アメリカの主力工場で生産停止続く サイバー攻撃,NHK,2020年6月10日
*6:つながる工場、攻撃7倍 サイバーリスク、IoT普及で高まる ホンダ 9工場一時停止,日本経済新聞,2020年6月11日
*7:(経済ファイル)サイバー攻撃、ホンダ全工場復旧,朝日新聞,2020年6月13日
*8:ホンダにサイバー攻撃 海外工場で操業停止も,2020年6月10日
*9:ホンダの社内システムで障害発生 メールやファイルサーバなど使えず サイバー攻撃の可能性も,ITmedia,2020年6月9日
*10:ホンダにサイバー攻撃か、世界4地域の生産拠点で稼働停止,読売新聞,2020年6月9日
*11:ホンダ、サイバー攻撃で停止の全工場再開,日本経済新聞,2020年6月12日
*12:三たび狙われたホンダ、業務停止の犯人はランサムウエア「Ekans」か,日経クロステック,2020年6月9日
*13:ホンダにサイバー攻撃 ウイルスで社内ネット障害、工場一時停止,sankeibiz,2020年6月9日
*14:ホンダ大規模障害の原因は「サイバー攻撃」、一部海外工場で停止続く,日経クロステック,2020年6月10日