本記事では、自動車業界を狙う標的型攻撃「APT32」の攻撃手法を徹底分析。自動車業界がインダストリー4.0を受け入れている中で、ITとOTの統合がますます一般的になる中、IT環境がAPT攻撃の標的になると、どのようなリスクが発生するかについて解説します。
自動車業界におけるサイバー攻撃の傾向
自動車業界は、車両製造技術や重要な運用インフラなど業界が広範囲にわたるため、古くからサイバー脅威グループの標的となっていました。世界最大規模の産業の一つとして、自動車業界は、サイバー犯罪者にとってスパイ活動や金銭的利益を得るための格好の機会を提供しているのです。そこで、当社では2023年1月から2024年2月までのサイバーセキュリティインシデント公開情報に基づく分析を行い、サプライヤー、メーカー、ディーラー、インテグレーターなど、自動車業界のさまざまな側面を標的とした30件のサイバーセキュリティインシデントを特定しました。
図1にあるように、これらのインシデントの大部分は、LockBit、Black Basta、Qilinなどの悪名高いグループによるランサムウェア攻撃でした。このデータから、攻撃が金銭的な動機により、無差別に行われたことがわかります。攻撃者は二重恐喝の手口を用いて、価値の高いファイルを暗号化するだけでなく、データを窃取して標的企業への脅威を増大させています。
このような攻撃者は、ワンデイ脆弱性として知られる広範囲にわたる脆弱性を悪用する、またはソーシャルエンジニアリングの手法を用いて標的の内部ネットワークに侵入し、直接ランサムウェアを展開することが多い点が目に付きます。このような場合、境界資産を最新の状態に保ち、適切なサイバーセキュリティトレーニングを実施することで、ほとんどの攻撃を軽減できます。
しかし、調査結果によると、ランサムウェア以外の6件のインシデントも明らかになっており、これらは巧妙な手口で標的に侵入するAPT(Advanced Persistent Threat:持続的標的型脅威)グループが関与しています。これらのインシデントから、自動車関連企業がこれらのより戦略的な脅威に効果的に対抗するためには、高度な脅威の検知と対応策の採用など、カスタマイズした防御戦略を実行に移す必要があることがはっきりしています。
図1:自動車業界に対するランサムウェア攻撃(2023年1月~2024年2月)
自動車業界を狙った標的型攻撃「APT32」のスパイ活動について
ここでは自動車業界における過去の重要なサイバー攻撃を分析します。APT32などの標的型攻撃(APT)の調査から、自動車業界がこのような巧妙な脅威を回避するために採用しているレジリエンス戦略が見えてきます。
APT攻撃とは
APT(Advanced Persistent Threat)攻撃とは、特定のターゲットに対して長期的かつ計画的に行われる高度なサイバー攻撃を指します。主に国家や組織に対する情報窃盗や破壊を目的としており、攻撃者は巧妙な手法を用いてセキュリティ対策を回避します。APT攻撃は、初期の侵入から情報収集、持続的なアクセスの確保、最終的な目的達成に至るまで、段階的に実行されることが特徴です。これにより、検出が難しく、被害を与えるまでの時間が長引くことが多いです。
APT攻撃と標的型攻撃の違い
APT攻撃と標的型攻撃は、どちらも特定のターゲットを狙ったサイバー攻撃ですが、性質に違いがあります。APT攻撃は、長期間にわたり持続的に行われ、攻撃者は高度な技術を駆使してターゲットに潜入し、持続的なアクセスを確保しながら機密情報の窃取やシステムの破壊を目指します。一方、標的型攻撃は、特定の個人や組織を狙った一回限りの攻撃を指し、APTほど長期的ではなく、目的達成後に攻撃が終了します。
APT32とは
OceanLotus Groupとしても知られるハッキンググループ「APT32」は、2019年には自動車業界を標的にすることを特に好み、企業機密を盗むという明白な目的を持っていました。ここで見られる傾向は、ベトナムが自国の自動車業界を強化するために、裏で情報を盗み取ろうとしているのではないかとみられています。[1][2][3]
歴史的に、APT32は、民間の事業体、外国政府、反体制派、ジャーナリストなど、幅広い対象を標的にスパイ活動を行ってきました。戦略的な転換として、同集団は最近、自動車業界への注目を強めており、自動車メーカーのネットワークに侵入して自動車の機密情報を盗み出すことを活動の主目的としています。
APT32の手口は、国家的な利害に沿ったものであり、攻撃者の行動を理解するためのフレームワーク「MITRE ATT&CK」にカタログ化されている包括的な戦術を組み込んでいます。図2には、この複雑な攻撃手法を、理解しやすいように簡略化したプロセスに落とし込んでいます。
図2:簡略化したAPT32の攻撃プロセス
Windows、MacOS、Linuxにおけるサイバーセキュリティの強化
サイバーセキュリティ脅威の状況を見ると、APTグループは高度に標的を絞った巧妙な手法を用いる点で際立っています。従来のランサムウェア攻撃にありがちな大雑把なアプローチとは異なり、APT32などのAPTグループは、ターゲットにある固有の脆弱性を悪用する攻撃を綿密に作り込みます。このカスタマイズは、Windows、MacOS、Linuxなど、さまざまなオペレーティングシステムでシームレスに動作するマルウェアの開発にまでおよんでおり、これらの脅威の多様性と技術的な巧妙さを際立たせています。
トレンドマイクロのケーススタディでは、MacOSコンピュータに侵入するために特別に設計されたバックドアなど、このアプローチの特に精巧な例が示されています[4]。このバックドアはまず、悪意のあるマクロを含む、一見無害に見えるWord文書を通じて拡散されます。デバイスが侵害されると、マルウェアは巧妙にMacOSのネイティブコマンドを活用してデータを盗み出します。さらに巧妙な手法として、特定のMacOSコマンドの出力からMD5ハッシュを生成することで、感染した各マシンに一意の識別子を割り当てます。この方法は、単にデータを収集するだけでなく、正規のトラフィックになりすますことで防御メカニズムをすり抜けるように設計されています。
図3:トレンドマイクロが難読化を解除した、配信文書のPerlペイロード
プロジェクトの要件に応じてさまざまなオペレーティングシステムに依存している自動車業界は、このようなAPTグループにとって広範な攻撃対象とされています。この業界の従業員は、Linux、Windows、またはMacOSを使用しているため、それぞれが攻撃者にとって固有のエントリーポイント(侵入口)を提供していることになります。この多様性が、重要な脆弱性を際立たせており、APTグループがマルウェアを強化しているため、自動車企業の内部ネットワークが侵害されるリスクが大幅に高まります。そのため、これらの企業は、すべてのオペレーティングシステムにおいて、サイバーセキュリティの防御を等しく強化することが不可欠となります。MacOSやLinuxに注意を払うだけでなく、運用制御技術(OT)の包括的な可視化を急ぎ実現しなければなりません。このような全体的アプローチは、これらの脅威を検知するだけでなく、効果的に封じ込め、無力化するためにも不可欠です。
標的ネットワーク内に展開されたCobalt Strikeとは
サイバー脅威の影に潜むAPT32のようなAPTグループは、特に悪質な手法を磨いてきました。それが、侵害したデバイス上へのCobalt Strikeビーコンの設置です。このツールはAPT32に限ったものではなく、Chimera、APT29、Leviathanなど、悪名高い他のグループも、サイバー界で「ポストエクスプロイト(侵入後の活動)」に利用しています。基本的に、一度デバイスを侵害すると、これらのビーコンは侵害したシステム内で攻撃者の目と耳の役割を果たします。
Cobalt Strikeは、悪意のある技術革新の頂点と言えます。商用として包括的なリモートアクセスツールキットとして販売されているCobalt Strikeは、ネットワーク内の貴重なデータの発見から、セキュリティソフトウェアによる検知の回避、アクセス権限のエスカレーション、機密情報の流出まで、幅広い機能を攻撃者に提供します。その汎用性の高さは、Windows、MacOS、Linuxプラットフォームに互換性があることからも裏付けられています。図4は、標的のデスクトップと対話するサンプルを示しています[5]
図4:Cobalt Strikeと標的のデスクトップとの対話のサンプル
自動車業界は、自動化された生産やクラウドコンピューティング実現に向けて、情報技術(IT)と運用制御技術(OT)の統合への依存度を高めているため、Cobalt Strikeのようなツールによる脅威は特に深刻です。従業員が使用するオペレーティングシステムは、プロジェクトのニーズに基づいて柔軟に選択されるため、潜在的な攻撃対象が広がります[6]。このシナリオでは、自動化され柔軟な生産プロセス[7][8]実現に向けて前進する自動車企業は、ITおよびOT環境がCobalt Strikeのような巧妙なツールを携えたAPTグループにとって魅力的な標的になるという重大な課題が浮き彫りになっています。
図5:自動車業界に対する脅威グループの攻撃シナリオ
自動車業界を、攻撃者と防御者が常に進化しているデジタル領域の戦場として想像してみてください。図5は、脅威グループが自動車業界の標的に対して使用した攻撃の例を示しています。この例で示されているように、攻撃の最初のステップでは、自動車業界内で標的とする電子メールアドレスを慎重に収集します。攻撃者はその後、悪意のあるツールをホストするために、Dropbox、Amazon S3、Googleドライブなどの一般的なクラウドストレージサービスを巧妙に利用します。これはAPT集団よく見られる手法です。これらのグループは多くの場合、次の2つの主要な方法で侵入を開始します。ドライブバイコンプロマイズ、つまり侵害されたウェブサイトを閲覧するだけでユーザーを騙してマルウェアをダウンロードさせる方法と、スピアフィッシングメール、つまり受信者を騙して有害な添付ファイルやリンクを開かせるように設計したカスタマイズメッセージを送りつける方法です。
より巧妙な攻撃になると、特にエネルギー業界などの重要な標的を狙う場合、国家から支援を受けたグループのAPT攻撃のレベルでは、ゼロデイ脆弱性(これまでに知られていないソフトウェアの欠陥)を利用する可能性があります。無防備な従業員が不注意でシステムにマルウェアを取り込んでしまうと、攻撃者がCobalt Strikeビーコンを展開するための舞台が整います。これらのビーコンは単に足場を固めるためのツールであるだけではなく、サイバー犯罪者にとってのスイスアーミーナイフ(十徳ナイフ)となり、脆弱性の悪用、悪意のあるファイルの偽装、データの窃取、コマンド&コントロール(C&C)サーバーとの通信によるさらなる指示の受信など、様々な機能まで備えています。
これらの攻撃者にとっての最終的な目標は、多くの場合、自動車企業の企業機密や知的財産であり、競争上の優位性をもたらすか、ダークウェブにおいて高値で売却できる貴重な資産の奪取です。攻撃者が企業のネットワーク内を水平移動し、最終的に自動製造プロセスを制御する重要なシステムを侵害した場合、事態はさらに深刻化します。このような侵害の影響は壊滅的なものになる可能性があり、機密情報の損失につながるだけでなく、生産ラインを停止させる可能性まであります。
TXOneが行った自動車工場におけるサイバー脅威リスク分析では、自動車工場が直面する多面的なサイバー脅威に着目し、結果的に、このようなセキュリティ侵害に関連する重大な財務的および運用上のリスクがあぶり出されました。今回の調査結果は、デジタル技術と相互接続システムへの依存度が高まっている業界において、堅牢なサイバーセキュリティ対策の必要性を強く認識させるものとなりました。
まとめ
2023年1月から2024年2月までの自動車業界における30件のサイバーセキュリティインシデントを分析した結果、大多数が無差別なランサムウェア攻撃であることが判明しました。しかし、ランサムウェアを含まないインシデントも6件あり、中には生産停止に至ったケースもありました。
差別なランサムウェア攻撃と比較して、持続的標的型脅威攻撃(APT)は、標的を侵害するために高度な手法を用いることがよくあります。このような攻撃者は、標的を綿密に偵察するだけでなく、Cobalt Strikeなどの高度なツールを使用して侵入後に緻密な活動を行い、生産の継続性と知的財産のセキュリティに重大なリスクをもたらします。
自動車業界がインダストリー4.0を受け入れている中で、IT環境と運用制御技術(OT)環境の統合がますます一般的になっています。IT環境が国家支援のAPT攻撃の標的になると、規制されたOT環境であっても水平移動攻撃のリスクにさらされる可能性があります。攻撃者がOT環境にアクセスできると、生産ラインを混乱させられる、というのは周知の事実です。また、企業機密や知的財産の窃取も、これらの攻撃者の主な目的の一つです。
攻撃者がOTシステムに侵入し、製造プロセスを妨害する可能性があることから、強力な防御対策が必要であることは明白です。自動車企業は、Windowsだけでなく、MacOSやLinuxシステムも対象にサイバーセキュリティ対策を拡大し、あらゆるデジタル資産を包括的に保護しなければなりません。OT環境の保護も同様に重要であり、侵害に対する脆弱性を認識する必要があります。「常に疑い、常に検証する」というゼロトラストの考え方を採用することが不可欠です。このゼロトラストアプローチでは、すべてのユーザー、デバイス、プロセスを厳密に検証し、正当性が確認されるまでアクセスをデフォルトで拒否します。
このような複雑な脅威に効果的に対抗するには、自動車企業はOTネットワークを徹底的に理解し、監視する必要があります。積極的なアプローチを採用することで、サイバー脅威が損害を与える前にそれを特定し、無力化することができ、業界の進歩と貴重な資産の保護を確実に行うことができます。
TXOneにまずお気軽にご相談ください。
自動車業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
おすすめ記事
JAMA/JAPIA自動車産業サイバーセキュリティガイドラインとTXOneソリューションの関連性
JAMA/JAPIAサイバーセキュリティガイドラインが制定された背景を分析し、サイバーセキュリティの規制
自動車サプライチェーンのサイバーリスク軽減:ISO/SAE 21434ガイドラインを読み解く
自動車業界のサイバーセキュリティ管理として、国連規制であるUN-R155の準拠が、今後日本国内でも必要になることが考えられます。そこで本ホワイトペーパーでは、自動車業界のサイバーセキュリティ管理ガイドラインとWP.29/R155、ISO/SAE 21434が自動車サプライチェーンを取り巻く影響について解説します。
なぜサイバーセキュリティが自動車業界の品質向上に貢献できる理由
本ホワイトペーパーでは、自動車メーカーを対象に、サイバー犯罪が自動車産業にもたらす危険性の概要を説明し、OT Zero Trustの4つの基本要素を活用することで、サイバー攻撃者をいかに阻止できるかを解説しています。
参考資料
- [1] Julia Sowells, 『またか!トヨタ自動車にサイバー攻撃でデータ侵害発生(Yet Again! Cyber Attack on Toyota Car Maker – Data breach)』、HackerCombat、2019年4月2日。
- [2] Kayla Matthews, 『今週のインシデント:トヨタの2回目のデータ侵害で影響を受ける数百万人のドライバー(Incident of the week: Toyota’s second data breach affects millions of drivers)』、Cyber Security Hub、2023年8月29日。
- [3] LIFARS, 『BMWとHyundaiのネットワークに侵入したAPT32(APT32 in the Networks of BMW and Hyundai)』、LIFARS、2019年12月21日。
- [4] Jaromir Horejsi, 『OceanLotusにリンクした新しいMacOSバックドアを発見(New MacOS backdoor linked to OceanLotus found)』、トレンドマイクロ、2018年4月4日。
- [5] Fortra, 『スクリーンショット| Cobalt Strike』、Fortra、2023年7月25日。
- [6] Kevin Bostic, 『BMW、顧客サービスにiPadを導入し、Apple Geniusプログラムを模倣(BMW to deploy iPads and mimic Apple Genius program to serve customers)』、AppleInsider、2013年2月11日。
- [7] Robbie Dickson, 『インダストリー4.0がEV製造に革命を起こす可能性(How Industry 4.0 could Revolutionizing EV Manufacturing)』、Firgelli Automations、2023年7月5日。
- [8] Amazon Web Services, 『Volkswagen、稼働環境をクラウドに移行(Volkswagen Takes Production to the Cloud)』、Amazon Web Services、アクセス日2024年3月15日。
