By Paul Pajares (Senior Threat Researcher, Automotive)
VicOneの脅威ランドスケープモニタリングでは、外部レポートや 専門リークサイトなどの情報源に基づき、自動車業界の組織に対する多数のランサムウェア攻撃を確認しています。2021年から2024年前半にかけて、ランサムウェア攻撃は大幅に増加しており、2023年には顕著な急増が見られました。これは、今後自動車業界にとって重要な影響や影響を及ぼす可能性のある問題が拡大し、現在も攻撃活動が行われていることを示しています。
自動車サプライチェーンにおけるランサムウェアの現状
自動車のサプライチェーンは、情報技術(IT)とオペレーション技術(OT)の実務活動を包含しています。この2つの境界線として、サイバー犯罪者が通常ITプラットフォームを標的とし、フィッシングの試み、ソフトウェアの脆弱性、設定の誤りによって弱点を突くということが挙げられます。ITは組織のフロントエンドの情報システムに焦点を当てますが、OTは独立して動作し、分離を維持し、独自のソフトウェアを使用するため、攻撃者にとって大きな挑戦となるからです。これはOTがバックエンドの生産設備や機械に焦点を当てているからですが、ランサムウェア攻撃の場合、影響はITとOTの両方に及び、ビジネスの中断やさらなる影響を引き起こす可能性があります。
この脅威の高まりは、業界全体で報告されているランサムウェア被害の規模にも反映されています。VicOneの計算では、2021年から2024年上半期までのランサムウェア被害額は、自動車業界の400社以上を対象に9,200億米ドルに及ぶと推定されています。
2023年のランサムウェアファミリーのトップ3はいずれも悪評高いものでした: Lockbit 3.0(13.8%)、BlackCat/ALPHV(9.4%)、Cl0p(4.8%)です。Lockbit 3.0は、2024年に国際的な法執行機関がOperation Cronosを通じてその活動を徹底的に阻止するまで、多数の被害者を出していました。ロシア語を話すランサムウェアグループBlackCat/ALPHVは、高度な恐喝手法を使用することで知られており、米国で大きな影響を与えました。Cl0pは、転送ソフトウェアMOVEitの脆弱性を利用して活動を加速させ、自動車業界を含む数千の被害者を出しました。
図1:世界の自動車メーカー(関連企業を含む)のランサムウェア攻撃の内訳
(2021年~2024年上半期)
2023年に突然急増したランサムウェアは、サイバー犯罪者の攻撃性と日和見主義的な性質が自動車業界にどのような影響を与えているかを例証しています。自動車サプライチェーンでは、サプライヤとサードパーティのプロバイダーが引き続きランサムウェアの主な標的となっており、この傾向はディーラーの数が増加するにつれて毎年続いています。これは、サードパーティプロバイダーが、ソーシャルエンジニアリング、フィッシング、リモートアクセス、ソフトウェア搾取といった一般的な初期攻撃ベクトルに対して脆弱なITシステム上で主に稼働しているためと考えられます。
図2:自動車業界における業態別のランサムウェア攻撃の分布
(2021年~2024年上半期)
2024年1月、自動車業界では、ドイツ、米国、メキシコで、それぞれBlackBasta、Cactus、Lockbitランサムウェアグループによる3つのほぼ連続したランサムウェア攻撃が発生しました。次の大規模な攻撃は6月に発生し、自動車業界に対して働きかけたランサムウェア攻撃の中でも最も重要なものの1つでした。ランサムウェアグループBlackSuitは、米国を拠点とする多国籍企業を標的とし、北米の15,000を超える自動車ディーラーに被害を与えました。
図3:ランサムウェア攻撃を受けた自動車関連企業の本社所在地の分布
(2021年〜2024年上半期)
ランサムウェアが自動車業界に与える影響
自動車業界におけるランサムウェアインシデントの一般的な影響について、注目すべき出来事を引用してご紹介します。
ITおよび業務の停止
ランサムウェアの深刻な影響には、業務の停止やITシステムの機能不全などがあります。内装部品やコックピットの電子ソリューションを供給していた中国の自動車部品サプライヤに対する、 Qilin ランサムウェア ギャングによる攻撃がまさにその例で、その影響は、サプライヤの業務停止により生産を一時停止せざるを得なくなった多国籍自動車製造会社にもおよび、結果として 2,600万米ドルに上る訴訟を余儀なくされました。
日本のある大手自動車OEMに部品を供給する大手サプライヤが、脅迫メッセージ付きのサイバー攻撃を受け、OEMは14の工場を閉鎖せざるを得なくなりました。これにより、何千台もの車両の生産に影響が及び、ランサムウェアが下流の生産性に重大な影響を及ぼす可能性があることを示す例となりました。
ランサムウェアが蔓延すると業務中断が頻発しますが、その頻度は企業のサイバーレジリエンスと復旧メカニズムによって異なります。日本の自動車会社へのRookによる攻撃では、メキシコの工場にある12台のコンピューターが影響を受けました。また、米国にある日本の車両用ホースメーカーの子会社では、顧客への自動車部品の供給を維持するために、手作業による生産と出荷に切り替える必要がありました。ランサムウェアは不明でした。EVバッテリーサプライヤ企業では、ランサムウェア攻撃の疑いがあるとして、ドイツ、ルーマニア、インドネシアにある5つの主要工場を停止しました。.
テラバイト単位のデータ流出
ハッカーが2021年から2024年前半にかけて少なくとも1テラバイト以上のデータを窃取したと主張した企業は、およそ20社ありました。最もよく盗まれたデータには、スタッフ情報、スマートコックピット、自動運転、モビリティなどの研究開発ファイル、その他のエンジニアリングファイル、CRMログおよび顧客情報、さらにはドライブ制御やセンサーなどの車載システム機能に関するデータが含まれています。テラバイト単位のデータの動きは、ネットワーク監視における異常なダウンロード行動を示すものであり、攻撃の予防策となります。 参考までに、流出が記録された最大のサイズは、LockBit 3.0による攻撃で、グループが40TBのデータを盗んだケースです。これに続くのは、中国の自動車システム上位サプライヤから20 TBのデータを窃取したSnatchです。 窃取されたデータのサイズは通常、1 TBから4 TBの範囲です。 しかし、ある事例では、米国の自動車会社からエンジニアリングデータや自動車用ハイテク電子製品に関する情報を含む5 TBのデータを窃取したと豪語する攻撃者もいます。
顧客や従業員に関する個人情報の侵害
サイバー攻撃を受けた企業は、データ侵害について顧客に通知し、影響の有無に関わらず随時その状況を報告する義務があります。
報告によれば、Akiraランサムウェアの犯罪グループがオセアニア地域にある日本の自動車メーカーの子会社を攻撃した際、被害を受けた同社は、事件について約1万人の顧客に通知し、影響を受けた可能性のある顧客への対応策として、IDCAREというIDおよびサイバー犯罪サポートサービスを無料で提供することになりました。これには、無償のクレジット監視、政府発行IDのリニューアル費用の払い戻し、サイバー関連の問い合わせに対応する専用コールセンターなどが含まれます。
また、米国の某大手自動車診断ツールサプライヤは凶悪なContiランサムウェアによる侵害を受けたことを認め、流出した可能性のあるデータの種類について顧客に通知しました。流出したデータには同社の関連会社およびフランチャイズ加盟店の従業員の社員ID番号を含む、社会保障番号、生年月日の個人情報が含まれます。前出の例と同様に同社は、被害者に対して、クレジットの監視と詐欺の検出を目的として、IDXという個人情報の盗難防止サービスを1年間無料で提供しました。
データ漏洩は顧客データを危険にさらすため、企業は漏洩を防止し、最小限に抑えるために必要な措置を講じなければなりません。例えば、サードパーティの車両ソフトウェア プロバイダーに対するサイバー攻撃は、さまざまなディーラーや自動車関連のパートナー企業にも影響を与えました。この企業は、オンラインで流出してしまったクライアントの機密情報が悪用されることを防ぐため、高等裁判所で情報の使用や共有について差し止め命令を強化したうえで、システムのセキュリティ強化や改善など必要な措置を講じました。
BlackCatランサムウェアの犯罪グループは、自動車部品サプライヤを標的にし、25,000人の従業員のデータを流出させたとされています。被害を受けた企業は流出した個人情報や銀行情報が、サイバー犯罪者によってローンやクレジットカードの申請など詐欺的なスキームに利用される可能性があること、またはさらに悪いことに、闇市場で取引・販売される可能性があることを従業員に通知しなくてはなりませんでした。
100万ドル超の身代金要求
大規模なランサムウェア犯罪組織は特に収益性の高い企業に対して、巨額の金銭を要求します。以下に、実際の事例とそれに対応する身代金の要求額を記載します。
- Medusa ランサムウェア犯罪グループは、盗み出して暗号化したファイルと引き換えに800万米ドルを支払うよう、自動車メーカーに10日間の期限付き通告を行いました。.
- 中国のある自動車メーカーは、内部データを盗み出したと主張するサイバー犯罪者グループから225万米ドルを要求されました。
- DoppelPaymerランサムウェア犯罪グループは、米国の自動車メーカーに2,000万米ドルを要求しました。
- LockBit 3.0の犯人グループは、200以上の企業にサービスを提供している英国の高級車ディーラー グループ企業に対して6,000万米ドルを要求しました。
- Lockbit 3.0の犯人グループは、ドイツのタイヤおよび自動車部品会社の監督委員会の会議に関する情報を含むと推測される40TBのデータを流出させたと言われています。このデータは、闇市場に5,000万米ドルで売りに出されたと言われています。
ランサムウェア攻撃が繰り返される可能性
ランサムウェア攻撃によってもたらされるもう一つの主な懸念は、それらに伴うアンダーグラウンド活動です。こうした活動によって、サイバー犯罪者たちはソフトウェアの脆弱性や盗まれた認証情報に関する情報を交換し、度重なるランサムウェアの拡散を可能にしてしまいます。
サイバー犯罪者は、闇市場で取引や販売を行う場合、盗まれたデータの価値が高い多国籍企業を標的にします。例えば、ContiやMount Lockerなど、さまざまな攻撃者による一連のランサムウェア攻撃が、ドイツの自動車部品サプライヤを襲ったと報告されています。これらの攻撃により、ITインフラへの不正アクセスが引き起こされ、製造部門に影響が及び、工場の操業が停止しました。
データ侵害に伴う法的措置、訴訟
顧客データの漏洩や業務中断が発生した場合、その影響は容易に訴訟に発展しかねません。その一例として、英国の自動車ディーラーが、機密データの流出を伴うランサムウェアギャング「Play」の攻撃を受け、機密データが流出した事件が挙げられます。この例ではランサムウェア攻撃による業務への影響(インターネットの停止、業務遂行の困難、サードパーティやディーラーによる回避策の模索など)に加え、同社は、電子メールアカウントが流出したことにより詐欺行為を受けそうになったり実際に被害を受けたりした顧客による集団訴訟にも対応しなければなりませんでした。
詐欺の試行
データ漏洩の後遺症により、盗難された個人情報を悪用した詐欺行為に顧客が晒される可能性があります。例えば、前述の英国に拠点を置く自動車関連会社の顧客は、詐欺被害が増加したため、法的措置に踏み切りました。さらに最近では、ある自動車ディーラー向けソフトウェア プロバイダーがランサムウェア攻撃を受けたのではないかとの噂が、フィッシング攻撃を招いてしまいました。この攻撃では、詐欺師が同社の代表者を装い、攻撃によるIT停止中に支援を提供すると申し出ていました。
サイバー保険の喪失
保険による損失補償が常に100%有効ではないとしても、一部の費用はカバーしてくれるはずです。しかしながら、ある多国籍自動車販売会社はRansomEXXの被害に遭い、サイバー保険の補償をめぐる危機に直面しました。被害者が状況を収束させるためにフォレンジックや復旧などの即時の修復を優先したため、保険契約のポリシー適用外とされたのです。オーストラリアで行われたこの裁判は被害者の行為による保険契約の失効という判決で幕を閉じ、保険の適用範囲と保険契約の明確な定義に基づく合意がいかに重要であるかを浮き彫りにしました。
自動車業界におけるランサムウェアにブレーキを
企業がランサムウェア攻撃によって直面する具体的な影響を想定しておくことは極めて重要です。最悪なのはドミノ倒しのように連鎖的に影響が派生してしまう可能性ですが、ほぼすべての場合、ビジネスに悪影響が及び復旧には時間がかかります。例えば、最近自動車ディーラーの販売・サービス管理を支援するソフトウェアプロバイダーがランサムウェア攻撃を受けた疑いのあるケースでは、ディーラーが業務を継続するためにそのプロバイダーに依存せざるを得なかったため、すべての顧客ディーラーの業務が影響を受け、完全に通常の状態に戻るまでには数週間を要し、その間、日々金銭的な損失が発生しました。
あらゆるセキュリティ対策を講じ、ゼロトラストモデルのアプローチを採用し、ランサムウェアに対抗すべくバックアップと復旧計画を立て、単一障害点を管理すること。また、サイバー攻撃の検出と防止のためのサイバーセキュリティに投資し、ランサムウェアの事象に備えるためのセキュリティ演習を実施することが不可欠となります。
現代の自動車の相互接続性により、従来のITシステムを遥かに凌ぐ高度な自動車サイバーセキュリティが求められるようになっています。 車両とあらゆるもの(V2X)を結ぶ道路は、ランサムウェア攻撃の次の潜在的な標的となり、特に稼働中の車両への影響と被害が拡大する可能性があります。 このような状況において、車載のトラフィック監視、脆弱性の効果的な管理、そしてクラウドサービス、API、エンドポイントの強固なセキュリティを重視したソリューションがますます重要になっています。
