「飲酒運転はやめよう」とサイバー攻撃者が警告

サイバー犯罪者が同じ月に高級自動車メーカーと大手ビールメーカーの両方を停止させることができる今、どの業界も業務の混乱から安全とは言えないことが明らかになった。

ジャガー・ランドローバー（JLR）は、現在政府の緊急資金援助を受けており、生産再開の準備を進めている。これはイギリス史上最悪のサイバーインシデントの一つと呼ばれている。一方、日本のビールメーカー・アサヒは、悪意あるサイバー攻撃による生産停止に直面している。

専門家によれば、攻撃者の目的はもはや機密データの窃取だけではなく、企業の完全な麻痺を狙い、現実世界での具体的な影響をもたらすことにあるという。

「これら最近の事例は、サプライチェーンの侵害が重要な製造業セクターを標的にし、生産・販売・物流を停止させ、被害者が支払うか諦めるまで続けるという明確な目的があることを示しています」とエリック・アヴァキアン氏（Info-Tech Research Groupのテクニカルカウンセラー）は述べている。

JLRの「大きく影響を受けた」サプライチェーンの保護

JLRへの攻撃は8月31日に始まり、翌日（9月1日）に同社は生産を一時停止した。攻撃の影響で数万人の従業員が一時的に休業となり、同社は週あたり5,000万ポンド（6,730万ドル）の損失を出していると見積もられている。

Scattered Lapsus$ Huntersグループが犯行声明を出しており、従業員をだましてシステム認証情報を渡させるボイスフィッシング（ビッシング）を使ったと考えられている。

JLRはイギリス最大級の輸出企業であり、イギリス自動車業界で最大のサプライチェーンを運営しており、約12万人が雇用されている。

同社のサプライチェーンは「大きく影響を受けて」おり、イギリス政府はJLRに15億ポンド（20億ドル）のローン保証を提供した。資金は商業銀行から提供され、JLRは5年以内に返済する必要がある。JLRは、この財政的支援により「数日以内」に自動車生産を再開すると発表している。

「このサイバー攻撃は、イギリスを代表するブランドへの攻撃であるだけでなく、世界をリードする自動車産業と、それに生活を支えられている男女への攻撃でもあります」と、イギリスのビジネス・貿易大臣ピーター・カイル氏は述べた。

JLRは、サイバーセキュリティの専門家、イギリス政府の国家サイバーセキュリティセンター（NCSC）、法執行機関と「24時間体制で」連携し、「安全かつ確実な方法」での再開を目指していると述べている。

アサヒでビールが止まる

一方、アサヒグループホールディングスは今週、サイバー攻撃による「システム障害」が発生したと発表した。日本国内のグループ各社で、受注・出荷・コールセンター業務（お客様相談室を含む）を停止している。

アサヒは現時点で、個人情報や顧客データの「漏洩は確認されていない」としている。原因の調査と業務復旧に取り組んでいるが、復旧の見通しは立っていない。

攻撃者の「フィーディング・フレンジー（集団襲撃）」

デビッド・シプリー氏（Beauceron Security）は、これらの事例は製造業におけるサイバーリスクの「根本原因」ではなく「症状」であり、いわば「世界的なサイバー犯罪税のコスト」であり、企業が「サイバー防御の破綻」を宣言したときに起こることだと述べている。

ITやセキュリティへの支出が削減され、組織は「脅威のランニングマシンから落ちて怪我をする」状態になっているという。企業は競争力を高めるため自動化に資本投資を注いでいるが、それが逆にサイバー攻撃への脆弱性を高めている。

「これらの組織は防御力を維持できず、最悪のタイミングで防御が弱まっています。脅威アクターはこの機会を見て、JLRと同じ状況にある企業が多いことに気づき、今まさに集団襲撃が起きているのです」と述べている。

ロジャー・グライムズ氏（人間リスク管理プラットフォームKnowBe4のCISOアドバイザー）も、サイバーセキュリティ投資の著しい不足を懸念している。「30年以上にわたり悪質なハッキングが悪化するのを見てきましたが、世界が目を覚まし、本当に優れたサイバーセキュリティを導入するためには、どんな『転換点』が必要なのか想像もできません」と述べている。

攻撃者は依然として一般的な攻撃手法で成功している

アサヒがどのように攻撃されたかはまだ明らかにされていないが、JLRは古典的なフィッシング攻撃の被害者となった。

脅威アクターは、フィッシングやスピアフィッシングが有効であるため、引き続きこれらを利用しているとInfo-Techのアヴァキアン氏は指摘する。多層的な防御がなければ、「悪意ある添付ファイルを1回クリックするだけで、標的となったユーザーが何が起こったか気づかないまま、簡単に侵害が成立してしまう」と述べている。

「ランサムウェアは非常に破壊的になり得ます」とKnowBe4のグライムズ氏も同意する。成功したハッキングの70～90％はソーシャルエンジニアリングが関与していると主張しながらも、企業はサイバーセキュリティや人間リスク管理の改善に動機付けられていないと述べている。

パッチ適用についても同様で、Google Mandiantは、未パッチのソフトウェアやファームウェアが成功したハッキングの33％に関与している（多くはソーシャルエンジニアリングと組み合わされる）と報告しているが、それでも企業のネットワークや重要インフラには何千もの未パッチ要素が残っている。

ハッカーは依然として未パッチのVPN、ネットワークセキュリティ機器、ミドルウェアを狙い、Active Directoryの変更による権限昇格も行っているとアヴァキアン氏は指摘する。さらに、サードパーティ製ソフトウェアのサプライチェーン侵害も増加している。

一度不正アクセスを得ると、攻撃者は存在を隠し、証拠を消し、「絶好のタイミング」を待ってシステムへの侵入をさらに進めることができる。「一部のグループは数週間も潜伏し、最大の混乱をもたらすために企業の構造を把握する」と述べている。

企業には多層的なアプローチが必要

企業は、堅牢で多層的なセキュリティ対策・対応・サイバーハイジーンを採用し、アクセスが「分離・監視・取り消し可能」となるゼロトラストを導入すべきだとアヴァキアン氏は述べている。ERP、物流、倉庫、その他の重要業務システムをマッピングし、マイクロセグメンテーション、特権ユーザー管理（PAM）、多要素認証（MFA）などの対策を適用することを推奨している。

「侵害前提」マインドセットが重要であり、これは定期的なテーブルトップ演習、継続的な監視、脅威ハンティングを行うことを意味する。レジリエンス（回復力）には、インシデント対応計画やプレイブックの見直し、エアギャップバックアップの活用も含まれるとアヴァキアン氏は述べている。

「結局のところ、攻撃者は依然としてビジネスオペレーションのボトルネックを狙い、ランサムウェアや恐喝を利用して迅速な経営判断を迫ることで成功しています」と述べている。

AIはさらに高度化をもたらし、攻撃者は「驚異的なスピードと規模」で活動できるようになる。フィッシングの生成、スキャン、脆弱性テストなどがより速く行えるようになるという。

実際、グライムズ氏は2026年までに、ほぼすべてのハッキングがAI対応になると予測している。組織は、エージェンティックAI対応のサイバー防御ツールを使って、ハッカーと同じ土俵で戦わなければならない。「善玉のAIボット対悪玉のAIボット、そして最良のアルゴリズムが勝つでしょう」と述べている。