出典:Richard OD / Shutterstock
高級車メーカーのジャガー・ランドローバー(JLR)における1か月にわたるシステム障害は終息に向かっているようだ。同社は今週、大規模なサイバー攻撃によってシステムを停止した後、「管理された段階的な再開」を進めている。
JLRは9月2日に「サイバーインシデント」を受けて「積極的に」業務を停止したと発表し、当初は顧客データが盗まれた形跡はないとしていたが、1週間後にその声明を修正した。タタ・モーターズの子会社であるJLRは、1週間あたり5,000万~7,000万ドルの売上損失があったとみられ、インシデント全体の損失額は17億~24億ドルにのぼると推定されている。
この攻撃とその甚大な影響は、企業に対する警鐘であると、インシデント対応およびセキュリティチームのフォーラム(FIRST)のエグゼクティブディレクター、クリス・ギブソン氏は語る。
この障害は「多大なリソースを持つ大企業であっても完全に業務が妨害される可能性があり、重要産業がこれまで考えられていた以上に脆弱であることを浮き彫りにした」と同氏は述べる。「これは単なるデータ窃取を超えた、完全な業務停止だった。」
自動車メーカーはランサムウェア集団の標的となることが増えており、ITシステムが侵害されると業務停止につながり、迅速な支払いを促すことができるためだ。ホンダは2017年にWannaCry攻撃の影響で生産工場を停止し、2020年にもサイバー攻撃を受けて生産を停止した。全体として、上位100社の自動車メーカーの約半数がランサムウェアに非常に脆弱であると、2022年の報告書は結論付けている。
しかし、サイバー犯罪者の標的は自動車メーカーだけではない。テスラ、スペースX、ボーイングに部品を供給するサードパーティメーカーのVisser Precisionも2020年に情報漏洩を被った。HELLCAT集団は、2024年に産業用制御システム(ICS)メーカーのシュナイダーエレクトリックから機密データを盗んだと主張している。また、6月には鉄鋼メーカーのニューコアが2025年5月にさかのぼるシステム侵害を認めており、業務への影響は限定的だった。
防御失敗の機会損失
「Scattered Lapsus$ Hunters」と名乗るTelegramチャンネル(Scattered Spider、Lapsus$、ShinyHuntersという3つの有名グループの合成名)が、JLRの内部システムのスクリーンショットを公開し、攻撃の犯行声明を出したと脅威研究者は伝えている。一方、JLRは調査の詳細を公表していないが、外部と連携して対応を進めている。
「本日、従業員、小売業者、サプライヤーの皆様に、今後数日で一部の製造業務を再開することをお知らせします」とJLRは9月29日の声明で述べた。「私たちは引き続き、サイバーセキュリティ専門家、英国政府のNCSC、法執行機関と連携し、再開が安全かつ確実に行われるよう24時間体制で取り組んでいます。」
同社は複数の工場で生産を停止しており、通常は1日あたり1,000台の車両を生産していると報じられている。当初は短期間の「一時停止」とされていたが、10月1日まで延長された。
8月末のITシステム障害は、同社にとって初めての問題ではなかった。3月にはHELLCATランサムウェアグループが700件の内部文書をリークし、JLRの内部ネットワークがJiraの認証情報を使って侵害されたと主張した。これには開発ログ、ソースコード、ユーザー名、メールアドレス、表示名、タイムゾーンを含む大規模な従業員データセットも含まれていたと、脅威インテリジェンス企業Cyfirmaの分析は伝えている。
Scattered Lapsus$ Hunterグループが投稿したスクリーンショットには開発上の問題が示されているようで、情報漏洩自体が直接的なリスクをもたらしたわけではないが、内部システムの露出は懸念すべきだったとアナリストは指摘している。
「運用システム、重要インフラ、コネクテッド車両モジュールの標的化は、制御力や影響力を誇示し、企業やそのパートナーを威嚇する意図があることを示唆している」とCyfirmaは分析で述べている。「身代金要求の直接的な証拠はないものの、グループはこのデータを将来の悪用や販売に利用する可能性があり、経済的動機があることを示している。」
障害発生の経緯
JLRへの攻撃がもたらした甚大な影響には教訓があると、FIRSTのギブソン氏は語る。今回の侵害が特に深刻だったのは、同社のシステムが適切に分割されておらず、攻撃者がITとOT(運用技術)の両方に影響を及ぼすことができたためだ。さらに、攻撃者は3月の侵害からネットワークへのアクセスを維持していた可能性が高く、年間で最も販売が多い「ナンバープレート新規発行日」という最悪のタイミングを狙って障害を引き起こした。
「要するに、JLRは戦略的に脆弱なタイミングで、攻撃者が既に把握していたネットワーク上で標的にされ、その結果、混乱の深刻さが増した」と同氏は述べる。
製造業者は防御を強化し、サイバー攻撃に対する業務のレジリエンス(回復力)を高める必要がある。その第一歩は、ネットワークを厳格に分割して横移動を制限し、多要素認証(MFA)を活用して外部からのアクセスを制限することだ。さらに、小さなセキュリティインシデントであっても、攻撃者が持続的なアクセスを維持できないよう、徹底的な事後対応が必要である。
「JLRのインシデントは、予防が重要である一方、レジリエンス(回復力)が影響の規模を左右することを示している」とギブソン氏は述べる。「製造業者は、不可避な侵害にも耐え、回復できるシステムの構築という重要な教訓に注力すべきだ。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/jaguar-land-rover-cyberattacks-bad-business
