By Paul Pajares (Senior Threat Researcher, Automotive)
米国の多国籍企業CDKグローバルは、2024年6月19日からシステム障害に見舞われました。これはBlackSuitと呼ばれるランサムウェアグループによる攻撃が原因とされています。CDKは自動車ディーラーとメーカー(OEM)を繋ぐソフトウェアを提供し、顧客サービスの向上に貢献しています。同社は最新の技術とAPI(アプリケーションプログラミングインターフェース)を駆使し、OEMのウェブサイトからディーラーの業務システムまで、顧客情報や支払い見積もり、在庫状況、販売書類などを一元管理しています。このような統合データシステムは特に電気自動車(EV)の販売に不可欠で、多くのディーラーがCDKのようなサードパーティのソフトウェアに頼っています。
インシデントの概要
自動車業界は今、様々な要素が複雑に絡み合ったエコシステムを形成しています。特に、APIサービスを介して各システムが連携する仕組みが、攻撃を受けやすい状況を生み出しています。このため、より強固なセキュリティ対策が急務となっています。例えば、VicOneは増加するAPIセキュリティの脅威に対応するため、42Crunchと提携を結びました。
VicOneが発表した「2023年自動車サイバー脅威動向」によると、2022年後半から2023年前半にかけて、アプリケーションとAPIに関連する事件が自動車業界のサイバー攻撃・セキュリティ事故の12%を占め、3番目に多い分類となりました。同レポートはまた、この期間中にサイバー攻撃の標的となりやすかったのは、サードパーティ(41%)とサプライヤー(34%)で、続いてディーラー(16%)、自動車メーカー(9%)という結果を示しています。
CDKのサービス停止は、北米の15,000を超える自動車ディーラーの業務を麻痺させる連鎖反応を引き起こしました。インシデントから2週間が経過し、CDKは少しずつシステムを再開し回復に向かっていますが、完全に通常業務に戻るまでには更に時間を要する見込みです。
被害状況
CDKのシステム障害により、多くの自動車ディーラーと販売業者の業務が完全に停止する事態となりました。数千のディーラーに影響を与えたこのインシデントは、自動車業界の歴史の中でも最も深刻な出来事の一つとされています。もしこの障害が3週間続けば、直接的な損失は約9億4400万ドル(約1370億円)に達すると推定されています。ディーラーの従業員は紙と鉛筆やExcelなど、原始的な方法で対応せざるを得なくなりました。さらに悪いことに、顧客は「早期復旧」を謳う詐欺電話やフィッシングリンクの標的にもなっています。一方で、少なくとも一つの正規の自動車関連プラットフォームが、業務不能に陥ったディーラーへの支援サービスを開始しました。CDKのソフトウェアへの依存度が高かったため、販売、新車購入、車両登録など広範囲にわたって混乱が生じ、Asburyなどの大手自動車ディーラーにも大きな打撃を与えています。
ランサムウェアグループBlackSuitについて
2024年6月26日の時点で、BlackSuitの被害企業リストには81社の企業が含まれており、その約3分の2(66.7%)が米国の企業です。その他の被害を受けた国としては、英国、カナダ、オランダが挙げられます。BlackSuitの攻撃は、製造、教育、ヘルスケア、建設、そしてCDKが属するITコンサルティング業界など、幅広い分野に及んでいます。ただし、CDK自体は、まだ現状のBlackSuitの被害企業リストには掲載されていません。これは両者間で何らかの交渉が続いている可能性を示唆しています
図1. 2024年6月26日時点でランサムウェアグループBlackSuitが公表した被害件数の業界別ランキング
今回のインシデントから得られた教訓と推奨されるセキュリティ戦略
今回のCDK社への攻撃を受けて、多くの自動車ディーラーがサードパーティのソフトウェアに依存している現状を踏まえ、自動車業界全体で今後の事件を防ぎ、対応するために重要な教訓といくつかの推奨セキュリティ戦略について考えてみましょう:
- システムの冗長化と切り替え機能: CDKの事件は、大規模な障害を防ぐためのバックアップシステムの重要性を示しています。自動車ディーラーがサードパーティのソフトウェアに頼っている以上、障害時に別のシステムへ速やかに切り替えられる仕組みを整えておくことが、業務停止時間を最小限に抑えるために不可欠です。
- データのバックアップと復旧計画: データの損失や破壊を防ぐには、定期的なバックアップと確実な保管が鍵となります。「3-2-1ルール」が推奨されます。これは、2つのコピーを異なる媒体に保存し、1つのコピーを別の場所に保管するという方法です。CDKが数千万ドルの身代金を支払う可能性があるという事実は、データの完全性と可用性を確保するための復旧計画のテストとシミュレーションの重要性を浮き彫りにしています。
- 効率的なセキュリティ監査と侵入テスト: 攻撃者はシステムの弱点を狙ってくるため、脆弱性の発見と対策が極めて重要です。脅威分析とリスク評価(TARA)などの定期的なセキュリティ評価は、法令遵守と脆弱性対策に役立ちます。
- 適切な事件対応計画: 事件発生時の迅速で組織的な対応が不可欠です。自動車システムに特化した定期的な対応訓練と、事後の詳細な分析が、備えと学習のために重要です。
- サードパーティとベンダーのリスク管理: 相互に依存し合うシステムと共有データを守るために、厳格な規制遵守が必要です。サードパーティのソフトウェア提供者のリスク評価と管理、そしてセキュリティ基準の順守確認が欠かせません。
その他の戦略としては、サイバー脅威の包括的な監視、従業員と関連会社向けのセキュリティ意識向上トレーニング、パッチ管理、ネットワークの分離、そして業界全体での事件情報の共有などが挙げられます。
結論
CDKグローバルへのランサムウェア攻撃は、自動車業界のサプライチェーンにおける強固なサイバーセキュリティ対策の重要性を改めて浮き彫りにしました。このインシデントは、数千もの自動車ディーラーの業務を混乱させただけでなく、サイバー犯罪者に狙われやすいセキュリティの弱点を露呈させました。CDKのようなサードパーティのソフトウェアにディーラー管理システムが大きく依存している現状は、自動車業界全体で包括的なセキュリティ対策が必要であることを示しています。具体的には、システムの冗長化、データのバックアップと復旧計画、定期的なセキュリティ監査、そして効果的な事件対応計画などが挙げられます。
CDK社のインシデントがもたらした影響は、事業運営、販売、そして顧客の信頼にまで及ぶ広範なものでした。デジタルシステムへの依存は効率性と利便性を高める一方で、サイバーセキュリティに対する積極的な取り組みが不可欠であることも示しています。このインシデントから教訓を学び、推奨される対策を実施することで、自動車業界は同様の攻撃からより効果的に身を守ることができるでしょう。そして、サイバー脅威に直面しても、しなやかに対応し、事業を継続できる強さを身につけることができるはずです。
