2020年6月8日午前9時過ぎ、本田技研工業株式会社(ホンダ)の社内ネットワークに異変が走った。「マルウェアによるサイバー攻撃」として公表されたこの事案の正体は、産業制御システム(ICS/OT)を明示的に標的とするよう設計されたランサムウェア「SNAKE(EKANS)」だった。マルウェアのコード内には「mds.honda.com」というホンダ固有のドメインが記述されており、ホンダを最初から標的として作成されたことを示していた。埼玉製作所の狭山・寄居の国内2工場に加え、北米・欧州・インド・ブラジルを含む海外工場が相次いで停止するという世界規模の影響を受け、製造業のOTセキュリティに改めて警鐘を鳴らした事案として今も参照される。
組織概要
本田技研工業株式会社は東証プライム上場の二輪・四輪・航空機エンジン等を手がける総合輸送機器メーカーで、売上高は約16兆円(2020年度)、世界に約21万人の従業員を持つ。国内工場は埼玉(狭山・寄居)・熊本・鈴鹿・浜松等に展開し、海外は北米・欧州・アジア・南米に及ぶ。生産現場では製造実行システム(MES)・産業制御システム(ICS/SCADA)・産業用ロボット等のOT(Operational Technology)環境が稼働しており、これらがITネットワークと接続している。今回の攻撃はこのIT-OT接続を標的にした。
何が起きたのか
タイムライン
- 2020年6月8日(月)午前9時過ぎ:ホンダの社内ネットワークでシステム障害が発生。社員に対してPC使用制限が指示される。
- 2020年6月8日(月)夕方:国内工場(埼玉製作所)の生産ライン関連システムで異常が検知。一部の検査システムが停止するが、夕方には復旧。この日の国内工場の操業への影響は限定的だった。
- 2020年6月8日〜9日:北米・欧州・インド・ブラジルの海外工場でも影響が広がり、生産ラインが相次いで停止。
- 2020年6月9日(火):ホンダが「マルウェアによるサイバー攻撃」を公式に認める。社員に対して有給休暇取得を呼びかける(通常業務ができない状態であったことを示す)。セキュリティ上の観点からマルウェアの種別・詳細については開示しない方針を示す。
- 2020年6月10日(水)頃:社内サーバーの対応がおおむね完了し、本社PCの使用制限が解除される。
- 2020年6月11日(木):オハイオ州工場(米国)、ブラジル工場などの海外工場が生産を再開。
- 2020年6月12日(金):残る全工場が生産を再開し、影響はほぼ収束。発生から約4日間での復旧となった。
ホンダは情報漏洩については「顧客を含む外部への情報流出の可能性はない」と公表した。
攻撃経路の分析
マルウェアの正体:SNAKE(EKANS)——製造業OTを標的にした専用設計
今回使用されたランサムウェア「SNAKE」(別表記:EKANS)は、2019年末〜2020年初頭に初めて確認されたマルウェアだ。その最大の特徴は、暗号化の前に産業制御システム(ICS/OT)関連プロセスを意図的に停止させるリストを内包していた点にある。一般的なランサムウェアが「まず暗号化ありき」であるのに対し、EKANSは製造・インフラの制御プロセスを先に止めてから暗号化を行う設計になっていた。
ホンダ固有のドメインチェック(確認済み)
三菱UFJリサーチ&コンサルティングやMalwarebytesなどのセキュリティ研究者が検体を解析したところ、このマルウェアは実行前に「mds.honda.com」というホンダ固有のドメインにDNSクエリを送り、特定のIPアドレス(170.108.71.15)が返ってくることを確認するロジックが組み込まれていた。このドメインに到達できない環境(ホンダの社内ネットワーク外)では動作しない設計になっており、このマルウェアがホンダを最初から標的として特別に作成されたことを証明しているとセキュリティ研究者らは判断した。
初期侵入経路(未確認)
ホンダは侵入経路を公式に公表していない。各種報道・研究者分析では、Active Directory(AD)のドメインコントローラーの脆弱性が利用された可能性が指摘されているが、これは確認情報ではない。フィッシングメール・VPN脆弱性・ウォーターホール攻撃等の他の侵入経路の可能性も排除されていない。
マルウェアの動作詳細(解析確認済み)
- ドメインチェック:「mds.honda.com」にDNSクエリを実行し、期待するIPが返らなければ処理を中止
- ファイアウォール設定変更:全プロファイルの受信・送信規則を変更して有効化(セキュリティツールによる遮断を回避)
- セキュリティ製品・ログの停止:イベントログサービス・セキュリティ関連サービスを停止(フォレンジック証拠を残さないための対策)
- ICS/OTプロセスの停止:産業制御システム関連プロセス(製造実行システム等)を停止リストに従って終了
- ファイル暗号化:全ファイルを処理後に一括でリネーム(暗号化完了)
また、このマルウェアには情報窃取機能・ネットワーク自己拡散機能は含まれていないことが解析で確認されている。今回の目的は「暗号化による業務停止と身代金要求」であり、データ盗取を並行する二重脅迫型ではなかった。
IT-OT接続が感染の拡大を許した(推測)
工場の生産システム(OT環境)が社内ITネットワークと接続されていたことで、マルウェアがIT側からOT側のシステムに到達できたと考えられる。OT環境は従来、物理的に分離(エアギャップ)されていることが多かったが、生産データのリアルタイム共有・リモート管理・DXの推進により、IT-OT接続が常態化しつつある。この接続が今回の工場停止の原因になったとみられる。
被害内容
停止した工場
- 国内(2工場):埼玉製作所 狭山完成車工場・寄居完成車工場(6月8日の影響は夕方に復旧)
- 北米(5拠点):オハイオ州(メアリーズビル・イースト・リンカーン)・インディアナ州・アラバマ州
- その他海外:カナダ1拠点・英国スウィンドン工場・トルコ1拠点・インド1拠点・ブラジル2輪工場
業務影響
- 最大4日間にわたる生産停止(工場によって停止期間は異なる)
- 社員の通常業務停止(PC使用制限・有給休暇対応)
- ホンダの顧客向け販売・金融サービスシステムにも影響が及んだという報告あり(確認済み)
金銭的損失
生産停止4日間の損失は公式には公表されていない。ホンダの年間生産台数から単純換算すると、4日間の損失は数十億〜百億円規模と推定されるが、確認できる公式数値はない。身代金の支払い有無も公表されていない。
情報漏洩
ホンダは「顧客を含む外部への情報流出の可能性はない」と公表しており、今回の攻撃は暗号化(破壊)型であり情報窃取型ではなかったことが解析でも確認されている。
なぜ被害が拡大したのか
1. 標的型で事前に設計されたマルウェア——「汎用」ランサムウェアとは次元が違う
一般的なランサムウェアはランダムに配布され、感染した環境でそのまま動作する。EKANSはホンダ固有のドメインを事前にチェックする仕組みを持ち、ホンダの内部ネットワーク環境にしか感染しない設計だった。これは攻撃者がホンダの内部ネットワーク構造(ドメイン名・使用しているIPアドレス帯)を事前に把握していたことを意味する。事前の偵察・内部情報の収集が行われていた可能性がある。
2. IT-OT接続がなければ工場は止まらなかった
今回の工場停止は、製造ラインのOT環境が社内ITネットワークと接続されていたことで発生した。ITが感染すれば工場が止まる——この連鎖は、デジタル化・接続化が進む製造業の構造的な脆弱性を露わにした。DXの推進でIT-OT接続は避けられない方向性だが、セキュリティ設計なきIT-OT統合は「工場全体がサイバー攻撃の射程内に入る」リスクを生む。
3. OT環境の特殊性——Windows XP・旧OSの残存
産業制御システム(ICS/OT)は稼働中の機器の入れ替えが難しく、WindowsXPや旧バージョンのOSが現役で動いているケースが多い。これらは最新のセキュリティパッチが適用できない状態であることが多く、攻撃者にとって既知の脆弱性を悪用しやすい環境となっている。ホンダの詳細は公表されていないが、業界全体の傾向として老朽化OTシステムの問題は深刻だ。
4. 週明け月曜の開始——インシデント対応体制への配慮のなさが逆説的に影響を拡大
攻撃が月曜午前9時過ぎに顕在化したことは、多くの従業員が出社した状態での混乱を引き起こした。インシデント対応チームの構成・連絡フローが確立されていなければ、初動対応に混乱が生じる。「攻撃者は月曜朝や休日明けを好む」という知見はサイバーセキュリティ担当者の間で共有されている。
同様の攻撃を防ぐ方法
IT-OTネットワークの適切な分離
- ITネットワークとOTネットワークの間に産業用ファイアウォールまたはデータダイオード(一方向通信のみ許可する装置)を設置し、不要なIT→OT方向の通信をすべて遮断する
- OT環境へのリモートアクセスは、ジャンプサーバー(踏み台)経由・MFA必須・アクセス記録の保存を義務化する
- OT環境内でのネットワークセグメント分割を実施し、1台の感染が工場全体に広がらない設計にする
産業制御システムの可視化と脆弱性管理
- OT環境に接続されているすべての機器(PLC・SCADA・HMI・産業用PC)のインベントリを整備する
- 旧OS(Windows XP等)が稼働している機器を特定し、ベンダーに更新の可否を確認する。更新不可の場合は当該機器を最大限に隔離する
- Claroty・Dragos・Nozomi NetworksなどのOT専用セキュリティツールを導入し、ICS環境の可視化と異常通信の検知を実現する
ADドメインコントローラーの保護
- Active DirectoryのDCへのアクセスを最小権限に制限し、不要なアカウントの特権を剥奪する
- DCのイベントログをSIEMに転送し、異常なレプリケーション・大量のアカウントロックアウト・権限昇格を監視する
- Microsoft提供の「Securing Privileged Access(SPA)ロードマップ」に基づいてAD保護を強化する
ランサムウェアレジリエンスの確保
- OT環境のシステム設定・シーケンスプログラム(PLCラダー等)のバックアップを取得し、オフラインで保管する
- 「工場OT環境が全停止した場合の復旧手順書」を整備し、IT担当者だけでなくOTエンジニア(制御系担当者)と合同で復旧演習を実施する
- ICS/OT向けのインシデント対応計画を単独で整備する(IT向けのIRP/BCPとOT向けのIRP/BCPは要件が異なる)
情シス担当者が確認すべき項目
- 工場・設備のOTネットワーク(PLC・SCADA・HMI)が社内ITネットワークと接続されているか。接続範囲と経路を把握しているか
- IT-OT接続点にファイアウォールが設置されており、不要な通信が遮断されているか
- OT環境で使用しているOSのバージョンを把握しているか。Windows XP・2003等の旧OSが稼働している場合、隔離対策を実施しているか
- OT環境の機器インベントリ(接続デバイスの一覧)が最新の状態で管理されているか
- 産業用制御機器のベンダーからのセキュリティアドバイザリを受信しているか
- OT環境でのランサムウェア感染を想定したBCP(事業継続計画)・復旧手順書が存在するか
- OT環境へのリモートアクセスにMFAが設定されているか
- PLCラダープログラム・設備設定ファイルのバックアップがオフラインで保管されているか
- IT担当者とOT(制御系)担当者が合同でインシデント対応訓練を実施したことがあるか
- NISC「産業用制御システムに関するセキュリティガイドライン」またはIEC 62443を参照しているか
類似事例
- Colonial Pipeline(米国、2021年5月):米国最大の石油パイプライン運営会社がDarkSideランサムウェアに攻撃され、米国東海岸への燃料供給が5日間停止。ガソリン不足とパニック買いが発生し、バイデン大統領が非常事態宣言。身代金として約440万ドル(約4.8億円)を支払った。OTインフラへのランサムウェア攻撃が社会インフラにまで影響を与えた最大規模の事案の一つ。ホンダ事案と同様にビジネスITからOTへの波及が問題の本質。
- Norsk Hydro(ノルウェー、2019年3月):アルミニウム大手NorskがLockerGogaランサムウェアに攻撃され、世界40か国の事業が影響を受けた。OT環境への被害が深刻で、一部工場で手動操業に切り替えた。身代金を支払わずにバックアップからの復旧を選び、復旧コストは約7,100万ドル(約78億円)に達した。製造業ランサムウェア対応の教科書的事例として業界で参照される。
- 小島プレス工業 × ランサムウェア(日本、2022年2月):トヨタ自動車のTier1サプライヤーがランサムウェアに攻撃され、トヨタ国内全14工場が1日停止した。IT側の攻撃が製造ラインの停止に直結するという構造はホンダ事案と共通しており、日本の製造業サプライチェーンのセキュリティ脆弱性を示す。
参考情報
- 本田技研工業株式会社 公式ステートメント(2020年6月9日)
- piyolog「国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた」(2020年6月10日)
- MBSD(三菱UFJリサーチ&コンサルティング)解析レポート「EKANS詳細解析」(2020年)
- 日経クロステック「ホンダ襲った標的型ランサムウエアの正体、3度目のサイバー攻撃で世界9工場が停止」
- ITmedia「ホンダのシステム障害、原因は産業制御システムを狙うランサムウェア『Ekans』か」(2020年6月11日)
- NISC「産業用制御システム(ICS)のセキュリティガイドライン」
- IPA「制御システムのセキュリティリスク分析ガイド」