Toyota to Close Japan Plants After Suspected Cyberattack
2022/02/28 Threatpost — 火曜日には、一連の工場が閉鎖され、同社の世界生産の約3分の1が停止する。Toyota は、どれくらいの期間において、14ヶ所の工場が生産停止になるのか分からずにいる。なんらかのサイバー攻撃と思われるものが、Toyota の部品サプライヤーの1社を襲い、同社は世界生産の約3分の1を停止するよう対処した。月曜日に、Toyota は、そう発表した。
Toyota は、14ヶ所の工場と 28の生産ラインが、どれくらいの期間において、操業を停止せざるを得ないのか分からずにいるという。この工場の閉鎖により、同社の生産台数は13,000台/日ほど縮小することになる。
Reuters によると、日本政府が西側諸国に協調し、ロシアの銀行による国際決済システム SWIFT へのアクセスを遮断し、ウクライナに対して $100 million の緊急支援を約束してから数時間の内に、Toyota のサプライヤーである小島工業の広報担当者が、ある種のサイバー攻撃を受けたようだと述べたという。小島工業は、Toyota にプラスチック部品や電子部品を供給している企業である。
サイバー攻撃の有無については確認されていない。Reuters によると、Toyota 側は、このインシデントを、サプライヤーのシステム障害と呼んでいる。この停止は、Toyota の関連会社である、日野自動車とダイハツが運営する工場の一部にも影響すると伝えられている。
Threatpost は、Toyota に対してコメントを求めている。
今回のインシデントがサイバー攻撃であることが判明しても、その影響を Toyota が受けるのは初めてのことではないだろう。2020年には、オーストラリアの子会社が、サイバー攻撃を受けていることを確認している。この攻撃により、従業員は帰宅せざるを得なくなった。
後始末は大変だった。この子会社の IT Infrastructure Manager である Michael Mirabito は、2021年のカンファレンスにおいて、IT ヘルプデスク・システムと Configuration Management Database (CMDB) の再構築は「苦痛」だったと述べている。
Toyota は Just-in-Time (JiT) 生産工程を採用していると Reuters は指摘する。つまり、サプライヤーから送られてくる部品を備蓄しないのだ。Toyota は、サプライヤーから送られてくる部品を備蓄する代わりに、サプライヤーから提供された部品が到着した直後に生産ラインで使用し、一度に1台ずつ生産していく。
サプライチェーン確保の弱点
専門家は、この方法には弱点があると言う。このサプライチェーンは、すでにパンデミックにより破壊されていると言う。月曜日に、OT/IoT セキュリティ・プロバイダーである Nozomi Networks の、OT Security Strategist である Danielle Jablanski は Threatpost に対して、このインシデントは生産に損失をもたらす Single Point of Failure を浮き彫りにしていると語っている。
Danielle Jablanski は、Just-in-Time (JiT) 製造業における、深刻なサイバー・リスクの一例だと断言している。彼は、「過去において Toyota は、ダイレクトな攻撃を阻止してきたが、複数のベンダーで構成されるサプライチェーン全体を保護することの難しさは、より広範で、より困難な課題である。ここ米国では、連邦政府/シンクタンク/標準化団体などが、SolarWinds 攻撃後のオープンソース・ソフトウェアなどに対処する方法を模索し、製造業全体でデバイスの脆弱性に注目している」と述べている。
悪名高い SolarWinds のサプライチェーン攻撃は、敵対者 (国家支援 APT) が Orion ネットワーク管理プラットフォームにおいて、正規のソフトウェア更新が行われる際に、悪意のコードが注入されるというものだった。それにより、Sunburst/Solorigate バックドアがプラットフォーム内部にインストールされた。その後に攻撃者たちは、米国財務省/商務省/DHS/FireEye などの組織を標的とし、これらのバックドアを利用し、サイバー攻撃を実施できた。
Jablanski Jablanski は、「サプライヤ・プールの縮小を考えると、サプライチェーン攻撃は確実に増える。製造全体において、いくつかの重要なハードウェア・コンポーネントのサプライヤーの数は減少し続けている。このサプライチェーンの複雑さは、簡単には修正できない。同様のインシデントが、引き続き発生する可能性がある」と述べている。
昨夜のテレビのニュースでも、このトヨタへのサイバー攻撃の件が報じられていました。3月1日5時の時点で、Threatpost の他にも、Bleeping Computer や、Security Affairs などが、このインシデントを報じていました。文中にもあるように、日本政府がロシアに対する経済制裁を発表した直後のことであり、また、ランサムウェアの Conti がロシア支援を表明した直後のことでもあるため、さまざまな憶測が飛び交うことになると思えます。
IoT OT Security News 