近年、サイバーセキュリティの専門家たちは、重要な産業分野が高度なランサムウェアや国家支援の脅威グループによる攻撃の標的となった場合、壊滅的な被害を受けるリスクが高まっていると警告してきました。
これらの警告はもはや仮説上のシナリオではなくなり、主要な産業プロバイダーが数週間にわたり生産能力を停止され、サプライチェーンが麻痺状態に陥るなど、現実のものとなっています。
IoT技術やワイヤレス接続に依存し、AIを基盤とすることが増えている自動車業界は、近年で最も破壊的な攻撃を経験しています。
「特に重要インフラや製造業における現代のサイバー脅威の現実は、根本的な意識改革を求めています」とGoogle CloudのMandiantでOTセキュリティのグローバルプラクティスリーダーを務めるポール・シェイバー氏は述べています。「これを単なる予防のゲームと捉えるのではなく、災害対策として扱う必要があります。」
パロアルトネットワークスUnit 42の上級主席研究員であるマット・ブレイディ氏は、世界の自動車業界がさまざまな脅威グループによる高度な攻撃の主要な標的となっていると述べました。
「自動車業界はダウンタイムに対する許容度が極めて低いため、非常に脆弱であり、その結果は深刻です」とブレイディ氏はCybersecurity Diveに語り、「即時かつ長期(数週間から数ヶ月)の生産停止、甚大な長期的財務損失、さらには規制による罰金や信用格付けの引き下げの可能性もある」と指摘しました。
近年、自動車業界は重要なサプライチェーンを中断させる一連の攻撃を受けています。
2024年6月に発生したCDKグローバルへの攻撃は、米国全土の15,000以上のディーラーに管理ソフトウェアを提供していた同社で大規模なシステム障害を引き起こしました。この事件は販売、在庫、顧客関係管理、車両のサービス提供能力に影響を及ぼしました。
同年のロックウェル・オートメーションの報告書によると、自動車メーカーはサイバーリスクを最大の外部懸念事項に挙げています。
「サイバーセキュリティ責任の観点から見ると、新車の生産車で日常的に使用されているデジタル要素は、基本的なセキュリティ制御すら欠如しているため、設計上安全ではないことが懸念されます」とロックウェル・オートメーションのネットワーク&サイバーセキュリティ担当ソリューションコンサルタント、チャド・ハンフリーズ氏は述べています。
このリスクは、OEMがコネクテッドカー体験に強く重点を置いていることでさらに増大していると、彼は付け加えました。
バイデン政権下での最後の主要なサイバー関連措置の1つとして、商務省は今年1月、ロシアおよび中国からのコネクテッドカーおよび関連ソフトウェア・ハードウェアの販売を禁止する最終規則を発表しました。政権は、重要インフラシステムを標的とした破壊的攻撃を行う国家関与のVolt Typhoonのようなハッカー集団や、顧客データの大規模監視への懸念を理由に挙げています。
これらの車載ソフトウェア規制は2027年モデル以降の車両から、ハードウェア規制は2030年モデル以降の自動車から適用開始となります。
トランプ政権もまた、自動車業界に関連するセキュリティ問題、特にステアリングやブレーキなどの重要システムのセキュリティや、現代車両で増加するソフトウェア設計機能の安全性について注視しています。
「これらのトレンドは重要な安全機能を支え、消費者の需要を満たす一方で、悪意ある者が被害をもたらす可能性も生み出しています」と、国家道路交通安全局(NHTSA)のチーフカウンセル、ピーター・シムシャウザー氏は自動車情報共有・分析センター会議で9月に基調講演を行いました。
一方、ここ数週間で自動車メーカーに対するサイバー関連の混乱が相次ぎ、業界が脅威グループから特に標的にされているのではないかという疑問が浮上しています。
重要分野
ジャガー・ランドローバーへの攻撃は、サードパーティーベンダーや地域経済、さらには国際的なサプライチェーンにまで壊滅的な下流影響をもたらすハッキングの典型例でした。
本国で34,000人以上の従業員を抱えるJLRは、英国ビジネス・貿易省によれば、英国最大級の輸出業者かつ雇用主の一つとされています。同社はまた、12万人以上の労働者を巻き込む英国自動車業界最大級のサプライチェーンも有しています。
2025年度、JLRは年間売上390億ドル(290億ポンド)を報告し、約42万9,000台の車両を販売しました(同社の年次報告書による)。
JLRはハッカーがどのようにシステムへアクセスしたかを明らかにしていませんが、セキュリティ研究者によれば、攻撃前の数ヶ月間、自動車メーカーは重大なサイバーリスク問題に直面していたとのことです。多くの現代自動車メーカー同様、JLRも近年、よりスマートで迅速かつ効率的な生産を実現するため、技術の大幅なアップグレードを行ってきました。
同社は2023年にTata Technologiesと提携し、エンドツーエンドのERPソフトウェアを導入して物流・サプライチェーンを変革しました。この契約の下、SAP S4 HANAが既存ソフトウェアに統合されました。
Onapsisの研究者は、脅威グループShinyHuntersが8月にエクスプロイトコードをリークしたと指摘し、これは今年発生した一連の攻撃で使われたSAPの脆弱性に関連しています。またSophosの研究者は以前Cybersecurity Diveに、Scattered Spider、Lapsus$、ShinyHuntersと関係するグループがJLR攻撃の犯行声明を出したと述べています。
3月には、Hudson Rockの研究者が、JLRがインフォスティーラーマルウェアを使ったハッキングの標的となったと発表しました。この事件はHellcatとして知られるランサムウェアグループに関連付けられました。
サプライチェーンの混乱
JLRへのサイバー攻撃は自動車生産に直接的な影響を与え、同社は先週、小売販売台数が17%減の85,495台となったと第2四半期の数字で警告しました。
卸売台数はさらに悪化し、前年同期比24%減の66,165台となりました。
JLRの主要サプライヤーはCybersecurity Diveに対し、攻撃後にJLRが生産を停止せざるを得なくなった際、手元にある在庫で生産を続けたが、結局在庫が尽きてしまったと語りました。
「最初は在庫で生産を続けられますが、長くは持ちません」と、匿名を希望したベンダーはCybersecurity Diveに語りました。「状況が長引けば長引くほど、より困難になります。」
英国の大手自動車ディーラーで191拠点を持つVertu Motors plcは、6ヶ月間の決算報告でJLR攻撃が730万ドル(550万ポンド)の2026年度利益への影響を及ぼす可能性があると警告しました(復旧時期による)。JLR車を扱う10拠点を持つVertuは、サードパーティによる事業中断を補償する保険への請求を予定しています。
「今後数ヶ月間でサイバー攻撃や保険請求による潜在的なプラス影響について、株主に明確に報告します」とVertu MotorsのCEO、ロバート・フォレスター氏はアナリスト向け電話会議で述べました。
同社および主要ベンダーを訪問した後、英国ビジネス・貿易省は9月、JLRのサプライチェーン復旧を支援するため20億ドル(15億ポンド)のローン保証を行うと発表しました。同社は保険仲介業者Locktonと交渉していたものの、攻撃前にサイバー保険を確保できなかったとThe Insurerの報道による
JLRは先週、英国ウェスト・ミッドランズ地域にある電動推進製造センターおよびバッテリー組立センターの2つの主要拠点で段階的な再稼働を開始し、完全復旧に向けた最初の大きな一歩を踏み出しました。他にも、プレス工場、車体・塗装工場、他の製造拠点に部品を送る物流センターなど、主要施設が再稼働しました。
しかしアナリストは、このような大規模サイバー攻撃からの復旧は依然としてセキュリティリスクを伴うと警告しています。なぜなら、ハッカーが長期間JLRのシステムにアクセスしていたためです。
「おそらく今彼らが直面しているのは、悪意ある者が侵入する前のどこまで復旧できるかという問題です」と、リスク管理などの助言を行う資産運用会社Plante Moranのパートナー、マイク・リピンスキー氏は述べています。
ムーディーズは、サイバー攻撃がJLRに重大な財務的影響を及ぼす可能性があると警告し、同社の見通しを「ネガティブ」に引き下げました。現在、ムーディーズはJLRの2026年度売上高が14%減の250億ポンド(333億ドル)未満に落ち込むと予測しています。
ブリヂストン・アメリカスへのサイバー攻撃
日本のタイヤメーカー・ブリヂストンの米国子会社であるブリヂストン・アメリカスは、9月初旬に別の事件の標的となりました。この攻撃により、米国、カナダ、ラテンアメリカの複数拠点で生産停止が発生しました。同社はこの地域で50以上の拠点を運営し、55,000人以上を雇用しています。
同社は木曜日、「影響を受けた拠点をネットワークに再接続した」と発表しました。「これらの拠点で生産を事故前の水準まで回復させるため、積極的に取り組んでいます」と広報担当者はCybersecurity Diveに語りました。
サイバー攻撃により、ブリヂストンは輸入品でバックログの穴埋めを余儀なくされ、ブルームバーグが報じたように、今年後半にも影響が及ぶ見込みです。
石橋秀一CEOは先週、関税や攻撃、その他の問題についてブルームバーグの取材に応じました。彼は、サイバー攻撃に起因する安全・セキュリティ問題がないか、ブリヂストン・アメリカスの生産再開を注意深く監視していると述べました。ブリヂストンは11月に決算発表を予定しており、通期見通しは維持しているとブルームバーグは伝えています。
ここ数週間、Stellantis N.V.も北米事業を支援するサードパーティのカスタマーサービスセンターでのサイバー侵害の影響を受けました。Sophosの研究者によれば、ShinyHuntersに関連するハッカーが1,800万件以上の記録を入手したと主張しています。
Stellantisは、この侵害は顧客連絡先データの漏洩に限定されており、機微な財務データは盗まれていないと発表しました。
英国、サイバー・レジリエンスを最優先
JLRへのサイバー攻撃は、マークス&スペンサーやCoopグループを標的とした過去のランサムウェア事件と相まって、英国当局に決定的な行動を促しました。英国のナショナル・サイバー・セキュリティ・センター(NCSC)は第9回年次レビューを火曜日に発表し、204件の「国家的に重要な」サイバー攻撃(うち18件は「非常に重大」)が記録されたことを明らかにしました。
NCSCのリチャード・ホーンCEOは、報告書発表の場で、企業はサイバーリスク管理を企業経営の最上層で担う責任があると警告しました。また、事業継続計画の策定も求められると述べました。
「あなたがキッチンテーブルで一人で事業をしていようと、何千人もの従業員を抱える経営者であろうと、犯罪的なサイバー攻撃に備える計画を持たなければなりません」とホーン氏は述べました。「そして…事業継続の計画も必要です。」
ホーン氏や他の英国当局者はまた、企業CEO宛の書簡を送り、サイバーレジリエンスを取締役会レベルの最優先事項とするよう直接行動を促しました。9月にビリントン・サイバーセキュリティ・サミット(ワシントンD.C.)での講演でも、英国当局が一連の大規模な破壊的攻撃を受け、事業レジリエンスを新たに重視する方針を示唆していました。
翻訳元: https://www.cybersecuritydive.com/news/auto-sector-cyber-threats-business-continuity/802974/
