seegeのまとめサイト

もっと早く教えてくれよって思った内容を書いていきたいと思います。

トップ > ニュースより > 【サイバー攻撃】小島プレス工業が狙われたのではない?

【サイバー攻撃】小島プレス工業が狙われたのではない?

ニュースより

システム障害

2022年3月1日 トヨタ自動車が国内全工場の稼働を停止するとの発表を行った。

原因は、部品の仕入先でシステム障害が発生したためだという。

f:id:seege:20220306140314p:plain

国内仕入先(小島プレス工業株式会社)におけるシステム障害の影響を受け、3/1(火)(1直・2直ともに)国内全14工場28ラインの稼働を停止することを決定いたしました。お客様及び関連仕入先の方々には、様々なご不便をお掛けすることをお詫び申し上げます。

【出典】2022年3月 国内工場の稼働について(2/28時点) | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト

小島プレス工業は、2022年2月26日午後9時に障害を検知した。

そして午後11時に脅迫メッセージとウイルス感染を確認し、その後、外部とのネットワークを遮断することになった。

障害は、サイバー攻撃によるもので、サーバーに侵入しサーバーのデータを暗号化して復元する代わりに金銭を支払えという身代金要求型のランサムウェアだったようだ。

f:id:seege:20220306140036p:plain

トヨタ自動車の取引先企業が受けたサイバー攻撃は身代金を要求するランサムウェア型とみられることが分かりました。

トヨタの取引先の小島プレス工業サイバー攻撃を受け、ウイルスへの感染と脅迫メッセージが確認されました。

 警察関係者によりますと、サイバー攻撃は身代金を要求するランサムウェア型とみられています。

小島プレスのシステムが完全復旧するには2週間程度かかる見込みですが、トヨタは小島プレスとつなぐネットワークを暫定的に構築し、部品の供給が可能になった

【出典】トヨタへのサイバー攻撃は“身代金型”全工場再開へ|テレ朝news-テレビ朝日のニュースサイト

ロシアからのサイバー攻撃なのか?

現在、ロシアに攻撃を受けているウクライナでも政府機関や銀行がサイバー攻撃を受けているが、これはロシア側が行っているのではないか?と言われているが、ロシアの攻撃に便乗して行っている可能性もあるので何とも言えない。

f:id:seege:20220306140802p:plain

今なら、ロシアが行っていると見てくれるので、サイバー攻撃がやりやすくなる。

実際、2019年に流行した、 Emotet(エモテット)に感染する取引先が増えており、営業担当のメールアドレスにEmotetが添付されたメールが送られてきている。

f:id:seege:20220306141046p:plain

Emotetはロシアが拠点となり拡がったものになる。

ロシアが、わざわざ、Emotetというマルウェアを使用してサイバー攻撃をするとは思えないのでこれは便乗だと思っている。

なぜ、小島プレス工業だったのか?

今回のサイバー攻撃についても、直接、トヨタ自動車を狙わずに小島プレス工業というのが気になる。

トヨタ自動車を狙うより関連会社を狙う方が容易なのは間違いない。

小島プレス工業のIT化は、他社より遅れていたが、ITに積極的な社長に変わったことで、2008年頃、既にシステムをクラウド化している。

f:id:seege:20220306141525p:plain

会長は、電算化には慎重でした。そのため、システム化は他社より遅れている面もあります。

良い面の方が多いと思います。例えば、クラウド化も社長の後押しで実現しました。純粋にシステムのコストだけを考えれば社内に置いていた方が安かったかもしれません。普通の会社だったら、システム部門がクラウド化したくても社長が認めてくれないでしょう。

しかし、社長の視野はもっと広かったのです。マシンを移設したため、マシンルームのスペースが空きました。そのスペースをプレゼンルームにしました。そこで商談が成立すれば、売上げが増える。それがクラウド化した効果だと言うのです。個別の費用対効果ではなく、全体最適を考えろということです。

【出典】【お客様の声】小島プレス工業 | アシスト

上記の記事では小島プレス工業の社内システム概要について書かれている。

ベンダーからの依頼とはいっても、あまり社内システムのことを公開するというのは、通常はしないものだ。

上記の記事以外にも同じようなものがいくつか公開されていて実名や人数まで紹介されていた。

それを読めば、小島プレス工業の情報システムの「防御力」の予想がついてしまう。

今回、クラウドが狙われたのかと思っていたが、最初に狙われたのは、社内のファイルサーバーだった。

その後、取引先に部品を納入する際の処理に利用する社内サーバーも被害に合っていることからファイルサーバーに対して何らかの攻撃を仕掛けたことになる。

f:id:seege:20220306145137p:plain

小島プレス工業が狙われたわけではない?

現在は、コロナ渦かのでテレワークで外部からファイルサーバーへアクセスできるようにしている企業は多いと思う。

小島プレス工業は、ファイルサーバーの一部をインターネット上で公開していたのではないだろうか?

外部からアクセスできるということは、穴が開いているのと同じであり、穴があれば何らかの形で侵入ができる可能性が拡がる。

しかもパスワード入力回数の失敗回数に制限がされておらず、何回認証に失敗してもパスワードロックが行われなかったので、パスワードリスト攻撃等で侵入されたのではないだろうか?

パスワードロックがなければ、攻撃する側からすれば大助かりだ。

小島プレス工業が狙われたというよりは、偶々、セキュリティが脆弱な企業のファイルサーバーが小島プレス工業だったということではないだろうか?

そして、侵入してみると、天下の「トヨタ自動車」の関連会社だということがわかって、工場停止というおまけも狙ったというのが今回のストーリーのような気がする。