1カ月後に感染の謎

 それではなぜホンダが1カ月遅れで感染に到ったのかについて、電気通信大学情報工学研究科の新誠一教授に考察してもらった。新教授は制御システムのサイバーセキュリティーに関する技術研究組合の理事長を務めるなど、工場のサイバー防衛の第一人者だ。

「隔絶したシステムなんてない」

 近年、なぜ工場がサイバーセキュリティーの新たな標的となっているか。その理由の一端にあるのが「工場は外部インターネットと隔絶したシステムだから大丈夫」という企業側の油断にある。しかし、新教授によると「工場は外部とは常時つながっていないだけだ。完全な外部との遮断はあり得ない」と断じる。システムの更新やデータの共有のためには何らかの手段で外部と接続する必要があるからだ。実際、ホンダも「狭山は完全なスタンドアローン(孤立した)システムではなかった」と認めている。

 新教授が推測する今回の感染ルートの1つは、通信ポートの管理ミスだ。「XP以前のOSは通信ポートをむやみやたらに開けてしまう。プリンターの接続などで使っていたポートを見落とす事例は多い」という。ワナクライは次の感染先のパソコンを乱数によりランダムに決める。見落とされていた複雑なネットワークを通じて狭山工場に行き着くまでに、1カ月の時間を要したという可能性がある。

 もう1つ考えられる感染ルートは、外部から持ち込まれたパソコンや携帯電話、USBメモリーなどだ。悪意ある関係者がウイルスをばらまいたか、うかつな従業員が私用で持ち込んだ携帯電話が感染元であることも否定はできない。しかし、より可能性が大きいのは、メンテナンスに伴う外部機器の持ち込みによる感染だ。通常、こうした機器は持ち込み時に感染がないか検査をしなければならないが、「工場が保有しているウイルスチェックリストが最新のものに更新されていないなど、落とし穴があることは多い」(新教授)という。

 「工場が外部から遮断されているから安全」という考えは極めて危険だ。しかし、狭山工場のOSが修正ソフトを適用できないほど古い型だったことに象徴されるように、工場のサイバーセキュリティー対策は一筋縄ではいかない。