米連邦捜査局(FBI)は、食品・農業分野の企業向けに、サプライチェーンの混乱を目的としたランサムウェア攻撃について注意を促す通知を送付した。この分野を狙うランサムウェア攻撃グループは、「業務を混乱させ、経済的損失を引き起こし、食品のサプライチェーンに悪影響を及ぼす」とFBIは警告している。
FBIは、「ランサムウェアは、小規模農場から大規模な生産者、加工業者や製造業者、市場やレストランなど、あらゆるセクターの企業に影響を与える可能性がある。この分野では、スマート技術、産業制御システム、インターネットベースの自動化システムへの依存が高まっており、サイバー犯罪の脅威アクターはこの分野で、ネットワークの脆弱性を悪用して、データを盗み出し、システムを暗号化する」と述べている。
「ランサムウェアの被害を受けた食品・農業関連企業は、身代金の支払い、生産性の低下、修復関連コストなど、多大な経済的損失を受ける。また、企業はランサムウェア攻撃によって、機密情報や個人を特定できる情報を失ったり、自社の評判を損なったりする可能性がある」(FBI)
また、食品・農業は、重要インフラの分野でますますサイバー攻撃の標的とされるようになっている業界だとFBIは指摘する。さらなるスマート技術やIoTを導入するようになり、アタックサーフェスが拡大しているという。
食品企業の大手は現在、多数のIoTデバイスやスマート技術をプロセスで活用している。FBIによると、大規模な農業事業者は、高額の身代金を支払う財力があるため標的になる。一方、小規模な事業体は、高品質のサイバーセキュリティ対策を講じる余裕がないため、攻撃されるという。
「2019〜2020年にかけて、要求される平均身代金額が2倍になったほか、サイバー保険の平均支払い額も65%増加した。民間の業界報告書によると、2020年に要求された既知の最も高額な身代金は2300万ドル(約25億円)だった。『2020 Internet Crime Report』によると、IC3が受理した、ランサムウェアと確認された訴えの件数は2474件で、報告された調整済み被害額は2910万ドル(約32億円)だった」(FBI)
「また別の調査から、身代金を支払った被害者の50〜80%が、同じ攻撃者あるいは別の攻撃者から、再びランサムウェア攻撃を受けていることが分かった。サイバー犯罪者が被害者をランサムウェアに感染させる手口はさまざまだが、最も一般的なのは、電子メールによるフィッシング、リモートデスクトッププロトコル(RDP)やソフトウェアの脆弱性だ」(FBI)
この通知は、2020年11月以降に食品・農業分野で発生した複数の攻撃について触れている。直近のものからさかのぼると、2021年7月に米国のベーカリー企業が「Sodinokibi/REvil」によるランサムウェア攻撃を受けたほか、5月に米食肉加工大手JBS、3月に米国の飲料企業が標的となった。1月には、米国の農場が狙われ、約900万ドル(約9億9000万円)の損害が発生した。
JBSは、攻撃の影響で米国やオーストラリアなどで食肉不足が発生したことなどから、1100万ドル(約12億円)の身代金をREvilグループに支払った。
2020年11月には、米国の国際的な食品・農業関連企業がOnePercent Groupから攻撃され、4000万ドル(約44億円)の身代金を要求された。同社は身代金を支払わず、バックアップからシステム復旧することができたという。
FBIは食品・農業関連企業に対し、定期的なバックアップ、ネットワークのセグメント化、多要素認証、リモートアクセス/RDPログの予防的監視などの対策を講じ、ランサムウェアから自衛するように促している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
