なぜあの業界はランサムウェアの“カモ”になりやすいのか?
業種、業界を問わず、ランサムウェアによる被害が止まない。アナリストによれば、特に注意すべき業界と時期があるという。
米国の食肉加工メーカーJBSが2021年5月下旬にランサムウェア攻撃を受け、北米とオーストラリアの食肉工場と食肉加工が一時的に操業停止に追い込まれた。それから1年が過ぎ、食品・農業関連企業は警戒を続けている。
食肉サプライヤーであるブラジルのJBS SAの米国法人は、米国における食肉供給の約20%を担う。同社はランサムウェアの侵入が発覚して1週間後に、サイバー犯罪者に身代金1100万ドルを支払った。
サイバー攻撃を受ける恐れがある企業の特徴は、広範なサプライチェーンを持ち、レガシー機器の運用を続け、最新のセキュリティが施されていないシステムを持つ企業だ。サイバー攻撃者は、企業が最も脆弱(ぜいじゃく)な時をめがけて、弱点を突いてくる。
食品業界がサイバー攻撃の被害連発で悪目立ちに
2021年は複数のサイバー攻撃が食肉業界を襲った。FBIは、収穫の季節に食品・農業協同組合がターゲットになる可能性があると警告した。農業機械メーカーのAGCOは、FBIの警告からわずか16日後の2021年5月5日にランサムウェアの攻撃を受けた。
Gartnerのカーテル・ティーレマン(Katell Thielemann)氏(リサーチ担当 バイスプレジデント)によれば、食品・農業分野のセキュリティチームの多くは、いまだ資産目録を作成し、最も露出度の高いシステムを特定している段階だという。
かんきつ類の輸出シーズンの最中に、JBSと農業・農産物供給協同組合、機械生産者および南アフリカの港が攻撃されたことを受け、ティーレマン氏は「食品業界と農業は今までに聞いたことのない注目のされ方をしている」と電子メールで伝えた。
なぜ、食品・農業関連企業は攻撃者の“カモ”になりやすいのか?
米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によれば、食品業と農業は米国の16の重要インフラ部門の一つに指定されており、それらは約210万の農場と93万5000のレストラン、約20万の生産・加工施設を持つという。
食品・農業関連企業は、2021年にサイバー攻撃による大きな被害を受けた。ランサムウェアがもたらす脅威を認識しているにもかかわらず、その多くの企業がセキュリティ対策を施していなかった。
FBIによると、2021年秋の収穫期にサイバー攻撃者が6つの穀物協同組合に対してランサムウェア攻撃を仕掛けた。そして、2022年初めにも2つのサイバー攻撃があり、種子や肥料の供給に支障を来す可能性があった。
ロシアのウクライナ侵攻は、世界の食糧供給の逼迫(ひっぱく)をますます深刻化させた。国連によると、食糧価格はこの1年で30%近くも高騰している。その他のマクロ経済的要因や穀物不足、気候変動、過去数十年で最も高いインフレ率など、食料を供給する業界への“試練”が続いている。食品業や農業分野で広く普及している運用技術資産がセキュリティリスクの一因になっているとも言われる。
セキュリティ企業のClarotyの最高製品責任者であるグラント・ガイヤー(Grant Geyer)氏は、電子メールで次のように述べた。
「食品・農業分野の機械の多くは、インターネットに接続するように設計されていないレガシーOTで動いている。OTネットワークはインターネットより先行しており、デジタルトランスフォーメーションが進んで組織が生産プロセスの一部を自動化するようになると、OTはWebに潜むサイバー脅威にさらされることになる」
食品・農業のビジネスは、農家や輸送会社、加工業者、流通業者の間で広範な情報共有を必要とする幅広いエコシステムに依存している。これには、OT環境へのサイト間アクセスを維持する膨大な数のサードパーティーのオートメーション・ベンダーが含まれるとガイヤー氏は指摘する
「OT環境にはサイバー攻撃の潜在的な侵入口が非常に多いため、攻撃者はIT/OT境界を通過する必要さえなく、大惨事を引き起こすことが可能だ」と同氏は述べる。
セキュリティチームはサプライチェーン全体の回復力を考慮する必要があり、また、24時間体制の運用中に頻繁にパッチを適用できない一部の旧式のシステムや機器にも対処する必要があるとしている。多くの攻撃では、旧式のユーザー認証情報など悪用されやすい脆弱性が侵害の要因となっている。
ティーレマン氏によれば、世界の食糧供給を担う企業の統合と集中はリスクポイントとなっているという。新型コロナウイルス感染症のパンデミック時、食料不足や粉ミルク不足は業界の回復力のなさを露呈した。
「食品・農業への組織的なサイバー攻撃は、1週間以内に全国の棚を空っぽにするだろう。しかし、われわれは鶏やトウモロコシを自由に育てられるわけではない」とティーレマン氏は語る。
出典:Food supplier cyber risk spreads 1 year after JBS attack(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
3万件の個人情報流出か 月桂冠ランサムウェア被害、子会社キンレイと合わせて要確認
2022年4月2日、月桂冠が管理運用するサーバが、ランサムウェアによるサイバー攻撃およびデータの暗号化の被害を受けた。個人情報が流出した可能性があるため、関連子会社キンレイの被害状況と合わせて報告する。該当する情報がないか確認してほしい。
中堅企業5400人のIT担当者が答える、ランサムウェア被害の実情
世界の中堅企業に在籍するIT担当者5400人を対象にした調査から、ランサムウェアの被害を受けた企業の実態が明らかになった。狙われやすい組織の特徴は何か、ランサムウェアにどのように対抗できるのか。最終手段として身代金は払うべきか――。
役員家族が"リスク"を持ち込む? サプライチェーン先を襲う脅威の実態
サイバー攻撃者の多くはあらゆる手段で攻撃の機会をうかがっている。大企業のサプライチェーンを対象とするなど、近年増加傾向にある中堅・中小企業を対象としたサイバー被害の実例を紹介する。