Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

サプライチェーン攻撃は海外拠点も考慮する必要がある

サプライチェーン攻撃の一種と言えるのかも知れません。ロイターがHOYAの海外工場が攻撃された件を報じていました。

jp.reuters.com

 

 光学機器大手HOYAのタイにある工場のシステムが2月末、サイバー攻撃を受け、多数のパソコンがウイルスに感染する被害に遭ったことが6日、分かった。レンズ生産ラインの一部が3日間にわたりダウンしたため、日本国内の眼鏡店への在庫供給に遅れが出るなどの影響が出た。

 HOYAによると、攻撃者は仮想通貨を不正取得するウイルスを、タイ工場のパソコンに送り込もうとしたとみられる。その前段階としてID、パスワードを盗むウイルスに100台程度が感染した。仮想通貨関連ウイルスの感染は食い止めたとしている。

(ロイター記事より引用)

 

◆キタきつねの所感

あまり事件詳細が出ていません。HOYAのニュースリリースも、記事を書いている時点(4/6)では出ていません。被害を受けた工場は、タイとなっていますので、海外拠点の中では、バンコクの営業拠点(らしき)を除くと、2つの工場のうちどちらかだろうと思われますが、

f:id:foxcafelate:20190406123123p:plain

 

2011年のタイでの洪水被害の際の記事を見ると・・・

 

HOYA、タイのレンズ生産で新たに1工場操業停止 :日本経済新聞

HOYAは21日、タイで広がる洪水被害の影響により、眼鏡レンズ工場の操業を新たに1拠点停止したと発表した。パトゥムタニ工場で、浸水被害はないが社員の安全確保のため、自主判断で21日夕からの操業停止を決めた。

(中略)

HOYAは眼鏡レンズのほか、タイではチェンマイにハードディスク駆動装置(HDD)工場や光学レンズ工場を持っている。2工場とも洪水被害はなく、現時点ではタイの眼鏡レンズ生産に影響が出ている。

(日経記事より引用)

 

パトゥムタニ工場が眼鏡系レンズを生産している様でしたので、(今も同じであれば)被害を受けたのはこちらの工場であろうと推測されます。

 

以下推測を多分に含みます

眼鏡レンズ工場には金融資産・個人情報資産があるとはあまり考えられません。また、一般的に工場の生産ネットワークは閉域(クローズド)ネットワークを組むことが多いので、生産ラインの一部が3日ダウンする影響がどうやって引き起こされたのか?と考えるとネットワークに穴があった可能性が高いのではないかなと思います。

 

100台程度の被害を受けたPCの内、恐らく最初の感染はメール受信端末ではないかなと思います。勿論、0デイのAPT攻撃や、悪意がある従業員が汚染されたUSBメモリを生産エリアに持込んで・・・という手口も考えられなくもありませんが、現時点ではそうした事を伺わせる材料がありませんので、外から攻められたと考える方がしっくりきます。

その上で、従業員の誰かがマルウェア感染した(変な添付ファイルを開いてしまった)として、事務PCのネットワークが感染拡大によって大混乱になる可能性はありますが、きちんと閉域網になっていれば、生産ネットワークが影響を受ける事はあまり考えられません。

では、どんな可能性が考えられるか?という所ですが、

 

 ①ネットワークが実は繋がっている部分があった

 ②感染PCからUSBメモリあるいは、感染PCを作業PCとして生産ネットワークに接続した

 

という所でしょうか。①はランサム攻撃では良く出てくる、実は閉域網の一部が外部と繋がってましたというオチです。②は運用ミス、あるいはアンチウィルスソフトのアップデートミスが起因という事も影響する事があるかも知れません。

一気に100台規模の感染まで引き起こしている事から考えると、①が怪しい気もしますが、公式発表あるいはマスコミの続報が出るまでは、想像できるのはこの程度かなと思います。

 

海外に進出している日本企業は、海外工場のサプライチェーンまで含めて、セキュリティ体制を再チェックする必要がある、そんな事を今回の事件は示唆していると言えそうです。

 

 

ロイターの記事には、もう1つ気になった所があります。

 HOYAによると、攻撃者は仮想通貨を不正取得するウイルスを、タイ工場のパソコンに送り込もうとしたとみられる。その前段階としてID、パスワードを盗むウイルスに100台程度が感染した。仮想通貨関連ウイルスの感染は食い止めたとしている。

(ロイター記事より引用)

 

仮想通貨マイニングの攻撃が次に来ると、どうしてHOYA(防衛)側は気づいたのでしょうか?この辺りも推測の域を越えませんが、最初のIDを窃取するマルウェアを防げなかった事から考えると、エンドポイントで検知したというより、C&Cとの不審な通信(通信量の増大、普段使わないポートからの大量のデータ送信等々)を検知できたのかも知れません。(SOCが検知したという可能性も高そうですが・・・)

 

仮想通貨マイニングのマルウェアは、ビットコイン下落などの影響を受けて、下火という印象でしたが、bitFlerの相場を見ると、4月に急騰している様ですね。

 

仮想通貨マイニングのマルウェアは減少も、仮想通貨を要求するランサムウェアが増加=サイバーセキュリティレポート【アラート】

 

f:id:foxcafelate:20190406174911p:plain

この事件(2月)との直接の関係性はありませんが、仮想通貨相場がこの水準で推移すれば、また2018年前半に猛威を振るった仮想通貨マイニング攻撃の波が来ても不思議ではないかも知れません。

 

■4/9追記(続報出てました)

www.chunichi.co.jp

 光学機器大手HOYAのタイにある工場のシステムが二月末、サイバー攻撃を受け、多数のパソコンがウイルスに感染する被害に遭ったことが分かった。レンズ生産ラインの一部が三日間にわたりダウンしたため、日本国内の眼鏡店への在庫供給に遅れが出るなどの影響が出た。

(中略)

 工場では三月一日にネットワークを管理するサーバーの動きが重くなり、受注や生産を管理するソフトが使えなくなったタイの二工場の稼働率が合わせて40%程度落ちたという。

 調査したところ最初に感染したウイルスが別のパソコンに感染しようとする不正な動きを続け、サーバーに過度の負荷がかかっという。

 ネットワークには日本国内のパソコンもつながっており、請求書が発行できなくなるといった影響も出た。情報流出などはなかった。

中日新聞記事より引用)

 

ネットワーク管理のサーバダウンが原因。。。。危ない通信を発する端末をすぐにIT部門が特定して隔離(ネットワークケーブル抜く等々)する対処が出来なかったという事でしょうか。

3月1日は金曜日ですので、もしかするとIT部門の体制が整ってない深夜帯に攻撃が開始された、という事なのかも知れません。ですが、ネットワーク管理している重要なサーバであれば、副系(バックアップ)もあるでしょうし、サーバダウン(に近づいた)警告を、IT部門は検知して対応できたはずなのに・・・とHOYA側の対処に何らかの問題があったのではないかと想像します。

 

もう1つ気になるのが、2工場が影響を受けたと書かれている点です。どうやって2工場同時にマルウェアが入り込んだのか?

推測になりますが、2工場の内部ネットワークは分離(セグメンテーション)されてなく、普通に繋がっていたのではないでしょうか?いわゆるフラッとネットワークにするのは、内部に入られる事が無いという閉域網での設計思想としては普通かも知れませんが、WannaCry以降のワーム型のマルウェアの流行を懸念材料としていれば、その危険性も把握できたのではないかなと思います。

 

ã¿ã¤ã»ããã¤ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年4月6日PM(予約投稿)
  • 2019年4月9日(追加記事を受けて追記)