近年、日本国内でも大企業から中小企業に至るまで、サイバー攻撃の被害が相次いで報告されています。特に、重要インフラや消費財メーカーのように社会生活に直結する業種が攻撃を受けると、その影響は企業内部にとどまらず、消費者や取引先、さらには社会全体に広がる可能性があります。
今回取り上げるアサヒグループホールディングスへのサイバー攻撃は、まさにその典型例といえるでしょう。
本ブログでは、報道内容を整理しながら以下の点について考察します。
- 攻撃手法と侵入方法
- 攻撃目的
- 今後の対策
アサヒグループホールディングスを襲ったサイバー攻撃の現状
先月のブログでは、中国系のサイバー攻撃集団による、世界の重要インフラへのサイバー攻撃の注意喚起に触れました。そんな中、先月末に発表されたアサヒビールを襲ったサイバー攻撃によるシステム障害は、1日、同社が「ランサムウエア(身代金要求型ウイルス)の被害にあったようだ」と捜査当局に報告したことを明らかにしました。
(日経新聞:https://www.nikkei.com/article/DGXZQOUC016K00R01C25A0000000/)
アサヒグループホールディングス(アサヒビールは、グループ傘下企業)は、言わずと知れた、我が国の飲料業の中核企業であり、昨年度の連結売上高が3兆円に迫る大企業です。そんな企業が受けたサイバー攻撃の影響は現在も継続しており、同社が6日以降に発売する飲料や食品の計12商品の発売時期を延期することも発表した、とのことです。(同上)
現時点では、サイバー攻撃の概要もはっきりしないなか、複数のAI分析も参考にしながら、現時点
で想定されるサイバー攻撃の手法やその対策方法を考察します。
攻撃手法
ランサムウェア攻撃
システム内のデータを暗号化したり、システム自体を使用不能にしたりすることで、企業活動を停止させます。そして、その解除やデータの復元と引き換えに身代金(ランサム)を要求することが目的です。報道では、現時点で企業からの公式発表でランサムウェアであるとは明言されていませんが、これほどの業務停止を引き起こす攻撃としては、ランサムウェアの可能性が高いと考えられます。
その他の可能性
システムの破壊を目的としたワイパー攻撃や、特定の政治的・イデオロギー的な主張を目的としたハクティビズムによるDDoS攻撃なども考えられますが、現時点での「復旧を目指している」という企業の対応から、やはりシステムを人質にするランサムウェアがより有力です。
| 関連ページ |
| ランサムウェアとは |
侵入方法
フィッシング(従業員メール経由)
最も一般的な認証情報の窃取手法です。認証情報窃取から様々なプロフィール情報を収集し、その後、
内部システムへのアクセス権取得→侵入に至る、という流れです。
脆弱なリモートアクセス(VPN/RDP)や
外部ベンダの踏み台
国内システムのみ影響であることから、国内向けの外部接続(VPN、サプライヤ接続、オンプレのリモート管理)を狙われた可能性があります。
サプライチェーン経由
システム連携しているグループ内やサプライチェーン構成企業の脆弱性やERP/受注系を提供するSIerやサードパーティのアプリケーションの脆弱性(ソフトウェアサプライチェーンリスク)によるケースも考えられます。
攻撃目的
企業活動に多大な影響が出ている現状より、攻撃者の目的は主に以下の3点に絞られますが、現状では、金銭目的のランサムウェアが最も可能性が高いと推定されます。
金銭の要求(身代金)
ランサムウェア攻撃の最大の目的であり、システム復旧のための対価として、暗号資産(仮想通貨)での高額な身代金を要求するケースがほとんどです。特に、今回のように受注や出荷が全面的に停止し、生産までもがストップしている状況は、企業にとって一日に数十億単位の甚大な経済的損失を発生させ、攻撃者への「身代金支払い圧力」を高めることにつながります。
とはいえ、わが国における攻撃者の身代金要求への対応として、攻撃者を利する(身代金支払いに応じる)ことは現実的に非常に困難な状況です。
業務妨害(政治的・報復的)
主要インフラ・消費財メーカーに対し混乱を引き起こすことで二次的利益や注目を得ること。このようなケースでは、攻撃グループが犯行声明を出すことも多いが、現時点ではそのような声明は出ていないので可能性は低いと考えられます。
情報窃取 / 産業スパイ(知財・取引情報)
販売計画、取引先情報、財務情報などの窃取や、特定技術や取引情報を狙うケースも考えられますが、可能性は低いと思われます。
| 関連記事 |
対策方法
アサヒビールにて、実際にどのような対策が取られていたのかわかりませんが、相応のサイバーセキュリティ対策が実施されていたことは想像に難くありません。したがって、実際は具体的な攻撃手法やセキュリティ設定・運用がなされていたかによりますが、下記に、このような攻撃に対する教訓として、特に重要と思われる対策方法を下記します。
短期対策(インシデント対応)
- 重要システムの隔離
疑わしい端末・サーバをネットワークから切り離しつつ、ログを保存。バックアップは切り離して保護。 - 被害範囲の特定
アセットリストと影響判定(どの工場、どのERPモジュール、配送センター等) - 外部専門家/法令対応
法務、監督機関(必要に応じて)への一報。サイバー保険、フォレンジック調査会社への連絡。 - 顧客・取引先への通知
業務務影響(受注・出荷停止等)について正確に伝える(広報チームと連携)
抜本対策
- IT/OTネットワークの分離
特にOTへの影響を防ぐために、強固なネットワーク分離し必要最小限の通信のみ許可する。 - サプライヤ・ベンダ管理の強化
サードパーティアクセスの監視・制御の強化。 - 脅威情報の収集/分析の迅速化
攻撃者の動向に注意を払い、想定される脅威に対する適切、迅速な対策準備を行う。
これ以外にも、当然、EDR/XDRの導入や、認証強化(多要素認証や特権ID管理)、フィッシング訓練なども重要ですが、本件であれば、既に実施されていることも想定されますので、上記3点は、特に重視すべきポイントとして、既に対策されている場合でも、その設定や運用、強度などを点検すべきかと思います。
まとめ
アサヒグループに対するサイバー攻撃は、企業規模や既存のセキュリティ対策の有無にかかわらず、どの企業も被害者となり得ることを改めて示しています。特に、ランサムウェアを中心とする攻撃は「業務停止」という直接的かつ深刻な影響をもたらし、経済的損失だけでなく企業の信頼にも大きな打撃を与えます。
弊社では、抜本対策に記載した「1~3」の対策ソリューションをご用意しております。
- ネットワークの分離・ラテラルムーブメントの防止
Janus netKeeper (OT・IoT機器向けの内部ファイアウォールソリューション) - 外部と接する全てのデバイスの脅威管理と対策
Device Total (OT・IoT・ネットワーク機器向けの脆弱性管理ソリューション) - サプライヤ・ベンダ管理の強化
Labrador Labs(SBOM管理ソリューション) - 脅威情報の収集/分析の迅速化
脅威分析(OSINTサービス)
| 執筆者 |
|
名前:岡山 大 『セキュリティソリューションプロダクトマネージャー』 |
