ホンダのサイバー攻撃、スタックスネット、EKANS、・・・、仮説ゲームは続く!

仮説ゲームになっているサイバー攻撃事件

ここ最近の大きなニュースになっているホンダが受けたサーバー攻撃、まだ先週のサイバー攻撃ニュースですが
セキュリティ関係者の間では、仮設ゲームの最中です。

サイバー攻撃事件のニュースが流れると同時に、サイバーセキュリティの関係者の「仮説ゲーム」が始まります。
特にセキュリティエンジニアにとってみれば、この仮説はありがたいものです。
この様々な仮説からセキュリティ技術を学んだり、発想力を高めたりもします。被害者にとってみれば、失礼きわまりない話で申し訳なくも思います。
このセキュリティ関係者の言動が世の中のメディアから沢山の誤ったニュースが流れることになります。
サイバー事件のニュースは、事件発生から1週間、とにかくあらゆる種類の仮説があたかも事実のようにニュースに流れます。
そして、1か月後、3か月後、半年後の分析調査の結果を見ると全く違った結果になったりします。

私も職業柄すぐに仮説を想いうかべてしまいますが、自分の頭の中だけで留め、あらゆる防御策を考えるようにしています。

ホンダの被害

ホンダにとってみれば、多大な被害であり、重大な問題です。
サイバー攻撃事件は、犯人が捕まるものではありません。その被害を賠償してくれるものもありません。風評被害などもあり経営上、大きな弊害になったりします。

ホンダは世界的な企業であり、サイバー攻撃は常時受けているはずです。、何年か前にもそれなりの規模のサイバー攻撃を受けています。
今回の攻撃は、攻撃者からホンダの国内外の重要施設を時間をかけて、ボディブローのような小さい攻撃から今回の攻撃の準備がなされ、最終的に各施設を同時期に一斉攻撃をしたケースです。

今回のニュースでは、いくつかのマルウェアが使われたというニュースがあります。
特に、スタックスネット、EKANSと言ったキーワードが出ています。
簡単にそれぞれのキーワードを簡単に説明します。

今回狙われたホンダの各工場には生産制御システムがあります。
一般的に生産制御システムは、企業オフィスとは違ってパソコンがインターネットに繋がれているものではありません。
パソコンは、生産ロボットや各種機械につながって制御するものです。
なのでインターネットから攻撃者はそのシステムの侵入するわけではありません。

Stuxnet(スタークスネット)

そこで今回名前のあがった「Stuxnet(スタークスネット)」というマルウェアがあります。

これは、2010年ころに、イランの核燃料施設が攻撃されたときに使われたとされるワーム系のマルウェアです。
ウラン濃縮遠心分離機の制御を乗っ取り、機器を破壊したとされています。
この「Stuxnet(スタークスネット)」は、USBメモリやリムーバブル機器からパソコンに侵入するのが特徴です。
感染してしまうと、ワームですので自己繁殖能力があるので、ネットワークを通して他の機器やコンピュータに感染拡大していきます。
このマルウェアは、世界的にも有名な制御機器メーカー「シーメンス」の機器やシステムへの攻撃を得意としております。
イランの核燃料施設では、このシーメンスの制御システムや各種機器が導入されており、正にこの施設を攻撃するために作られたマルウェアのようなものです。

EKANS、Snake、MegaCortex

そして、もう一つのキーワードは「EKANS」です。

これはノルウェーのアルミメーカー工場が攻撃された際に使われたランサムウェアです。
生産制御システムに侵入し、稼働中のプロセスを停止させたり、データを暗号化し、システムを停止させます。
そして、身代金を要求し、要求に応じれば、システムを正常に戻すという手口です。
この種のランサムウェアでは「MegaCortex」というものもありますが、攻撃機能が似ていることから、同じハッカー集団が作ったのではとも言われています。
それから「EKANS(Snake)」や「別名:Snake」という表現がされているニュースもあります。
これは、EKANSとSnakeは非常に似ているので、SnakeからEKANSが作られたのではという説があるそうです。

VirusTotalにあがった「mnon.exe」

今回、ホンダのサイバー攻撃に使われたマルウェアは「mnon.exe」であろうと言われています。
このマルウェアは、VirusTotalに6月8日あたりに複数上げられたそうです。

VirusTotalとは、怪しいファイルをアップロードし、マルウェアを検出したり、マルウェアの情報公開するサイトです。

このプログラム「mnon.exe」を逆アセンブルすると「mds.honda.com」というワードがオンコードされていたそうです。これを見る限り、確かにホンダを狙うマルウェアであると思われます。