ホンダを狙ったサイバー攻撃。ADのドメインコントローラーの脆弱性が利用された可能性も。

ホンダがサイバー攻撃にあい、一部工場の操業を停止する事態となった(写真:アフロ)

 2020年6月上旬、ホンダがサイバー攻撃を受け、一部の業務を停止する事態となった。ホンダの攻撃に利用されたとされるSNAKEと呼ばれるランサムウェアを用いた攻撃が、Fresenius Group、Enel Groupにも利用されていることから、新たな攻撃トレンドとして関心が高まっている。

■ホンダを狙った巧妙な手口

 これまでに報道された内容から、今回ホンダに加えられたサイバー攻撃はSNAKE(EKANS)と呼ばれるランサムウェアであったとされている。今回ホンダで実行されたと推測されているSNAKEはパソコンに感染すると、以下の動作を実行する。

 ・一般ユーザのパソコンで実行された時の動作

 1) Snakeが起動

 2) EKANSというミューテックスをシステムに登録

   ※既に登録されてい場合は動作停止

 3) MDS[.]HONDA[.]COMの名前解決を求めるDNSクエリーを実行

   ※名前解決出来ない場合は動作停止

 4) DNS応答が170[.]108[.]71[.]15であることを確認する

   ※異なるIPが返ってきた場合には動作停止

 5) Windowsファイアウォールの送受信ポリシーを変更

 6) Windowsファイアウォールを有効化、全ての通信が遮断される

 7) ローカルPC上で動作している監視ツールやセキュリティツール等のプロセスを停止する

 8) その他、暗号化の邪魔になるプロセス等を停止する

 9) 暗号化対象の全ファイルに対して暗号化処理を実施。暗号化されたファイルの末尾にEKANSのマークが付与される。

 10) 暗号化が完了したファイルの拡張子が一斉に変更される。

 11) Windowsファイアウォールを無効化

 上記が、今回ホンダを襲ったSNAKE(EKANS)ランサムウェアの動きだが、ランサムウェアの特徴である「身代金の要求」は、一般ユーザのパソコンには表示されない。サイバー攻撃者の目的でもある「身代金の要求」は、ADのドメインコントローに表示される。つまり、ADのドメインコントローラーにてSNAKEが実行される前提で無ければ、SNAKEはランサムウェアとしての役割を果たせない。また、SNAKE(EKANS)自体には他のパソコンに感染拡大する機能は無い。

 ・ADのドメインコントローラーで実行された時の動作

 SNAKEがADのドメインコントローラで実行された場合には、暗号化は実施されず、代わりにデスクトップとc:\直下に身代金を要求するテキストファイルが作成される。

■重要な点はSNAKEの実行環境が整備された手口の解明

 多くの報道ではSNAKEと呼ばれるランサムウェアに焦点をあてて報道されているが、このSNAKEを有効な攻撃とするには、幾つかの条件を満たす必要があり、その条件を満たすためには、前提条件としてADのドメインコントローラーの管理者権限を奪われていたのではないかと推測される。従って、SNAKEが実行されたのは攻撃の最終ステップであり、この攻撃を成立させるためには、以下のような用意周到な攻撃を仕掛けられていたと推測される。

 

SNAKEの攻撃を成功させるための流れ。報道内容を基に筆者作成
SNAKEの攻撃を成功させるための流れ。報道内容を基に筆者作成

 まず、攻撃対象を選定し、「ホンダ」を狙うと明確な目標を計画されたと考えられる。次に狙った標的に対して、何らかの手段を用いて内部に侵入を試みられた。一部報道では、インターネット上にRDPが公開されていたためここから侵入されたのではないかという説もある。しかし、この公開されていたRDPが攻撃に利用されたというホンダからの見解は発表されていない。RDPが公開されていなかったとしても、フィッシングメールやID盗難でも社内への侵入は可能であるため、どういった攻撃を用いて侵入されたかは現時点では公表されていない。

 何らかの手段を用いてホンダ社内へと侵入が成功し、ネットワークの偵察が行われ、その中の一つに侵入可能なADが存在していたものと推測される。ADには一般ユーザが管理者への権限の昇格を可能にする脆弱性が存在していることは古くから知られて、こういった脆弱性を悪用され、ADのドメインコントローラの管理者権限を不正に取得されていたのではないかと筆者は推測している。

 そして、ネットワークの状況を把握し、ADのドメインコントローラの管理者権限を掌握し、SNAKEによる攻撃が成功するという確信をもって、ホンダの内部ネットワーク情報を埋め込んだランサムウェアを作成し、ADのドメインコントローラー経由でSNAKEを堂々と配布し、起動させたのでは無いか。

 現在、ホンダは攻撃の詳細公開を控えており、推測で考えるしか無い状況ではあるが、SNAKEの特性を考えるとSNAKEは武器の一種でしかなく、その前段の侵入方法等のフェーズがより重要であると言えるだろう。

■考えられる対策は?

 ホンダに加えられたサイバー攻撃は、被害の大きさもあり、企業の情報セキュリティ担当者の間でも関心が高まっている。自社が標的となった時に守ることは出来るのか?と考えるのは当然だ。SNAKEに関する報道が多いため、SNAKEを如何に検出して、駆除するか?という点に関心を持っているセキュリティ担当者も多いとは思うが、前述した通り、SNAKEは最終ステップであり、武器の一種でしかない可能性がある。その前段の部分に対する対策を強化すべきだろう。

 以下のような観点から、対策を検討することを推奨する

 ・ADやLDAP等のディレクトリサービスに関するセキュリティ対策を見直す

 ・ADのドメインコントローラーのパスワードを変更する

 ・ADのドメインポリシーとスクリプトに悪意のあるコードがないかを確認する

 ・サーバ、パソコンのWindowsタスクスケジューラでアクティブなタスクに悪意のあるコードがないか確認する

 ・各種サーバの特権IDを利用可能な状況を限定する

 ・外部に意図せず公開されているようなRDPが無いか点検する

 ・マルウェアを社内に侵入させないための、ゼロトラストセキュリティモデル採用を検討する

 ・C&Cサーバとの通信ブロックを強化し、サイバー攻撃者の偵察活動を防止する

■全体視点でのセキュリティ対策が重要に

 国内企業のセキュリティ投資の大半はパソコンやサーバに対するマルウェアの駆除を行う、エンドポイントセキュリテイに割かれていることが多く、エンドポイント中心のセキュリティ対策では、パソコンやサーバに到達されてから防御を行うことになるため「事後対応」になりがちである。

 ホンダに仕掛けられた攻撃は、無差別にバラまく旧来型のランサムウェア等とは異なり、執念深く攻撃が成功するまで狙われた可能性がある。こういった「成功するまで」狙い続ける、サイバー攻撃集団に目を付けられてしまっては、エンドポイントセキュリティだけで守り抜くのは不可能であり、侵入対策や偵察活動の検出、防止、各種システムの監視も含めた全体視点でのセキュリティ対策へとシフトすることが求められてくるだろう。