次は日本か 自動車産業を狙う大規模サイバー攻撃

自動車業界は産業規模も大きく、サイバー攻撃で狙われた場合、損害は計り知れない。2024年6月の攻撃事例を振り返る。

[David Jones，Cybersecurity Dive]

　自動車業界がサイバー攻撃に狙われるとどうなるだろうか。2024年6月の攻撃事例から、被害の規模がうかがえる。

どの程度の被害になるのか。

　被害規模はさまざまな指標で表現できる。1株当たりで見るとどの程度なのだろうか。

　2024年6月19日に起こったCDK Global（以下、CDK）に対するサイバー攻撃は自動車ディーラー各社に広範な悪影響をもたらした（注1）。CDKは北米の1万5000以上のディーラーに対して、ディーラー管理ソフトウェアを提供しているからだ。この攻撃は業界全体に波紋を広げ、多くの自動車ディーラーで直後からサービスが中断した。

　被害を受けたのはAutoNation（注2）やSonic Automotive（注3）、Penske Automotive Group（注4）、Group 1 Automotive（注5）、Lithia Motors（注6）を含む多数の自動車ディーラーの管理システムだ。CDKのシステムが停止したことで販売はもちろん、サービスや在庫管理、顧客関係管理、会計の業務が影響を受けた。

最大手の被害額が判明した

　AutoNationは米国でも最大級の自動車小売りチェーンとして知られている。全米に多数の販売拠点を持ち、新車や中古車の販売の他、自動車部品販売や修理サービスを提供している。同社は2024年7月15日に米証券取引委員会（SEC）に書類を提出した（注7）。そこには次のような記述がある。「ソフトウェアプロバイダーのCDKに対するサイバー攻撃は、当社の2024年第2四半期の収益に対して1株当たり1.50ドルの打撃を与えると推定される」。同社の2024年第2四半期は、CDKがサイバー攻撃からサービスを復旧させる前の同年6月30日に終了した（注8）。

　AutoNationに対する財務的な影響は主に2つある。2024年6月19日〜同年6月30日の生産性の低下と、歩合制従業員の保証報酬に関連する一時的な費用だ。同社によれば「このインシデントが長期的な財務状況や継続的な運営に重大な影響を及ぼすとは考えていない」。

　AutoNationはSECに提出した書類の中で「ディーラー管理システムと中核機能は復旧したが、スケジューリングや注文、支払い、報告機能には影響が残っている」とした。同社は2024年7月末までにこれらのシステムが完全に復旧するだろうとしていた。

※次の文章では原文「non-GAAP earnings」を「一般会計原則に基づかない指標から算出される利益」と訳しています。

　AutoNationは「一般会計原則に基づかない指標から算出される利益を計算するために一時的なコストを考慮する予定だ」と述べた。一般会計原則に基づいて算出される2024年6月30日に終了する四半期の利益は1株当たり3.15〜3.30ドルになると予想した。サイバー攻撃による1株当たり1.50ドルの打撃がいかに大きいのが分かる。

　AutoNationは、この予想は2024年7月15日現在で入手可能な情報に基づくものであり、まだ更新が必要な可能性があるとした。同社の第2四半期の業績は2024年7月31日に発表された。

出典：AutoNation warns CDK cyberattack will dent quarterly earnings（Cybersecurity Dive）
注1：CDK cyberattack stalls industry as car dealers disclose widespread impacts（Cybersecurity Dive）
注2：AutoNation（SEC）
注3：Sonic Automotive’s sales dip as CDK cyberattack causes material impact（Cybersecurity Dive）
注4：Penske Automotive Group（SEC）
注5：Group 1 Automotive（SEC）
注6：Lithia Motors（SEC）
注7：AutoNation（SEC）
注8：CDK eyes service restoration for all car dealers by Fourth of July（Cybersecurity Dive）