ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性
ホンダは6月9日、社内システムで起きた障害の発生により、メール、ファイルサーバ、業務システムに接続できない状況であることを明らかにしています。
障害は6月8日の午前中から発生しており、当初は国内工場の端末から検査システムなどへのアクセスもできない状況だったとのことです。
その影響により、国内工場での出荷が一時できなくなり、8日の午後になるまで国内の3工場すべてで出荷を停止していたとのことです。
その後、6月9日午前の段階で、検査システムなどへの国内工場からのアクセスについては復旧したものの、社内システムへ接続できない状況は続いているとのことでした。
現在コロナの影響を受け多くの社員が在宅勤務をしているとのことですが、業務への影響のため、有給休暇の取得が呼びかけられているようです。
さらに、本件に関して、サイバー攻撃の疑いもあり、被害拡大防止の観点から、パソコンの使用制限を全社的に行っているとのことも広報担当者を通じて確認されています。
また、影響はヨーロッパでも起きていることが、英国のニュースサイトSkynewsの報道から明らかになっています。
本記事では、現時点で確認されている情報を基にまとめます。
目次
VirusTotalで確認された検体
セキュリティ研究者のmilkreamによると、今回ホンダに影響を与えたとみられる検体が、VirusTotal上で確認されています。
#Honda sample: d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
— milkream (@milkr3am) 2020年6月8日
- Resolving internal domain
- Modifying firewall settings
- And extracting RSA public key pic.twitter.com/5WtR3x4VJg
また、当該Tweetに反応する形で、別のセキュリティ研究よりリプライがあり、当該検体が日本のアカウントよりアップロードされたことが確認されています。
My favorite part ^ pic.twitter.com/xbDh442ee7
— Larry Davis (@LarryDa47334381) 2020年6月8日
そもそも、このSubmissionsはVirusTotalの有料アカウントからじゃないと見られないはずだから、この人もこの人なのだけれども。。
したがって、可能性としては、発見されたファイルがマルウェアであるかどうかの確認のため、VirusTotalにアップロードしたということも考えられます。
なお、当該検体は、mds.honda[.]comへの名前解決を試みるようですが、BleepingComputerの調査では、名前解決に失敗し、ファイルの暗号化を行わないままプロセスが終了するとのことです。
おそらく、侵入に成功したかどうかの判断を、内部ドメインだと推測されるmds.honda[.]comへの名前解決の成否に基づいて行っているというところでしょうか。
また、別のセキュリティ研究者Vitali Kremezによると、ホンダの米国支社に紐づいているIPアドレス170.108.71[.]153が、検体中で確認されています。
2020-06-08: 🆕🐍#SNAKE/#EKANS #Ransomware |
— Vitali Kremez (@VK_Intel) 2020年6月8日
Possible @Honda Lockdown Incident
RW References to Honda:
1⃣Honda ISP ("AHMC") 🇺🇸IP "170.108.71. 153"
2⃣"MDS. HONDA. COM" Check
Source:
C:/Users/Admin3/go/src/.../<RAND>.go@malwrhunterteam @BleepinComputer pic.twitter.com/45vguO0Hnk
SNAKEランサムウェアについて
実はこのSNAKEランサムウェア、別名EKANSとも呼ばれており、暗号化したファイルの末尾をEKANSで終了することから来ているのかなと思っています。
Sophosより
ところで、このEKANS、ポケモンのアーボの英名もEKANSなのですよね(笑)
SNAKEを逆読みしたのが英名だなんて、なかなか面白いですね。
話を戻すと、この暗号化されたファイルの末尾につけるEKANSというマーカーは、身代金の支払いに被害者が応じた際、暗号化されたファイルが識別しやすくなるように行われているものだと推測されています。
それは、これまでのランサムウェアに多かった、ファイルの拡張子を特有のものに変更するパターンとは少し異なりますよね。
WannaCryのときは「.WNCRY」、GandCrabのときは「.GDCB」や「.KRAB」でした。
変わり種でいうと、SamSamランサムウェアでは「.weapologize」ですね。
ごめんなさいって、おいおい。
SNEAKの場合、拡張子は変更せずランダムな文字列をファイルの後ろに付加します。
SNAKEによる被害の例
日本にも支社がある、ドイツの医療機器メーカーFresenius Medical Careでも今年の5月にSNAKEランサムウェアの被害に遭いました。
Fresenius Medical Careは製品の提供だけではなく、医療サービスの提供も行っています。
当該攻撃の影響によって、セルビアのセンターの患者情報がインターネット上に公開されてしまったとのことでした。
医療データには、一般開業医の名前と電話番号、アレルギーに関するメモ、検査結果、治療に関する医師の観察結果も含まれており、大変深刻な漏洩となってしまいました。
この時の感染マルウェアがSNAKEランサムウェアだと分かったのも、先述のEKANSの文字列からだったとされています。
こちらは3年前の記事にはなりますが、医療データについては、その活用の広さから攻撃者にとっての格好の標的だということが言及されていますので、ご参考までに。
攻撃対象としての医療データの魅力と価値(上) - 攻撃対象としての医療データの魅力と価値:CIO Magazine
まとめ
現時点でも、今回ホンダで起きたインシデントの全貌はわかっていません。
とはいえ、今回の場合、コロナ禍の中ということもあり、システムが使えず出社もできないという八方塞がりの状況に、同情するばかりです。
続報がなるべく早く、そして吉報であるといいですね。
