事業運営

ホンダのサイバー攻撃、被害額は非公表。工場停止から読み解く財務リスクと対策

経営リスクナビ編集部

大手製造業であるホンダが受けたサイバー攻撃の被害額や事業への影響は、自社のリスク評価を行う上で重要な指標となります。特に製造業では、工場の稼働停止がもたらす機会損失は甚大であり、インシデント発生時の対応が事業継続の鍵を握ります。しかし、多くの企業が詳細な被害額を公表しないため、具体的な影響を把握することは容易ではありません。この記事では、2020年にホンダを襲った標的型ランサムウェア攻撃の概要、被害額が非公表である理由、そしてこの事例から学ぶべき企業対策を多角的に解説します。

ホンダを襲ったサイバー攻撃の概要

2020年に発生したランサムウェア攻撃

2020年6月、本田技研工業(以下、ホンダ)は大規模なサイバー攻撃を受け、事業活動に深刻な影響が生じました。この攻撃は、不特定多数を狙う従来の手法とは異なり、特定の企業を入念に調査したうえで実行される「標的型ランサムウェア」によるものでした。攻撃者は事前にネットワークへ侵入し、システムの弱点を把握してから攻撃を実行したと考えられています。

具体的には、2020年6月8日の午前中に社内システムで障害が発生しました。これを受けて、同社は被害の拡大を防ぐために迅速な初動対応を取りましたが、事業への影響は避けられませんでした。

2020年6月8日に発生した主な事象
  • 社内システムで大規模な障害が発生し、メールやファイルサーバーが利用不能になった。
  • 全従業員に対し、被害拡大を防ぐためPCのシャットダウンと使用停止が指示された。
  • 間接部門の従業員には、業務遂行が困難なため有給休暇の取得が推奨された。
  • 社内サーバーに接続するPCを中心に、ファイルを暗号化するランサムウェアの感染が確認された。
  • システム復旧のため多数のPCが初期化され、その過程で一部データが失われた。

この事件は、大企業であっても最新のサイバー攻撃によって基幹システム全体が機能不全に陥るリスクがあることを社会に示す象徴的な事例となりました。

世界9拠点の工場が生産を停止

サイバー攻撃の影響はオフィス業務にとどまらず、国内外の自動車・二輪車工場の操業停止という物理的な被害に直結しました。現代の工場は、生産ラインや出荷検査などを管理する制御システム(OT:Operational Technology)が、社内ネットワークなどの情報システム(IT:Information Technology)と密接に連携しています。このため、社内ネットワークで拡散したマルウェアが制御システムにまで波及し、安全な生産活動が不可能になりました。

影響は世界各地の生産拠点に及び、最終的に9つの工場が稼働停止に追い込まれました。

生産・業務が停止した主な拠点
  • 国内: 埼玉製作所(狭山・寄居)の完成車出荷前検査システムが停止
  • 北米: アメリカ・オハイオ州などの乗用車工場5拠点で生産ライン管理システムが停止
  • その他海外: カナダ(四輪車)、トルコ(四輪車)、インド(二輪車)、ブラジル(二輪車)の各工場が停止
  • 工場以外: 米国・カナダのコールセンターやリース契約対応システムがダウン

各拠点の復旧作業は迅速に進められ、発生から数日後の6月12日には全工場での操業再開が報告されました。この事例は、IT環境のセキュリティインシデントが、OT環境である工場の生産活動を即座に停止させるという、現代製造業が抱えるリスクを明確に示しました。

攻撃手法「Ekans」の挙動と特徴

このシステム障害を引き起こしたランサムウェアは、産業制御システムを標的とする「Ekans」(またはSnake)と呼ばれる特殊なマルウェアであったと推測されています。Ekansは、通常のファイルを暗号化する機能に加え、工場の制御システムに関連するプロセスを強制的に停止させる機能を持つ点が大きな特徴です。

専門機関による解析の結果、Ekansは標的の組織内でないと活動しないよう、極めて巧妙に設計されていることが判明しています。その挙動は計画的かつ段階的に実行されます。

Ekansランサムウェアの攻撃ステップ
  1. 起動時に特定の内部ドメインの名前解決を行い、標的のネットワーク内であることを確認する。
  2. 標的環境外では自己停止し、意図しない場所での活動を避ける。
  3. 動作を開始すると、ファイアウォール設定を変更し、セキュリティ対策ソフト等を無効化する。
  4. 工場の産業制御システム(OT)関連を含む多数のプロセスを強制的に停止させる。
  5. ファイルの暗号化を一斉に開始する。
  6. ネットワークを管理するドメインコントローラー上で実行された場合のみ、身代金要求の脅迫文を表示する。

これらの特徴から、攻撃者は事前にホンダのネットワーク構造を深く調査し、管理者権限を奪取したうえで、事業への影響が最大化するように調整された専用のマルウェアを用意したと考えられます。

被害額が非公表である理由と内訳

被害額が公式発表されない背景

ホンダは、このサイバー攻撃による具体的な被害額や侵入経路を公式に発表していません。これは、単なる情報隠蔽ではなく、次なる攻撃を防ぐための戦略的な情報統制の一環です。被害の詳細を公表することは、攻撃者に追加情報を提供し、さらなるリスクを招く可能性があるためです。

被害額を非公表とする主な理由
  • 追加攻撃の誘発防止: 攻撃者に自社のセキュリティ体制の弱点や対応能力に関する情報を与え、さらなる攻撃を招くリスクを避けるため。
  • 模倣犯の抑止: 攻撃手法の有効性が証明されることで、同様の手口を用いる模倣犯の出現を防ぐため。
  • 企業価値の維持: 巨額の被害額が公になることによる株価への悪影響や、ブランドイメージの毀損を最小限に抑えるため。
  • ステークホルダーとの関係: 投資家や株主からの過度な経営責任追及を避け、冷静な事態収拾を図るため。

このように、高度なサイバー攻撃を受けた企業は、社会に対する説明責任と、将来のセキュリティリスクの低減というジレンマの中で、情報開示の範囲を慎重に判断する必要があるのです。

推定される損害の構成要素とは

公式発表はありませんが、サイバー攻撃が企業に与える損害は、システムの復旧費用といった直接的なコストだけでなく、事業停止に伴う利益損失など多岐にわたります。一般的に、大規模なインシデントでは、総額が数千万円から数億円規模に達することも珍しくありません。

損害は、直接的な対応費用から事業活動への間接的な影響まで、様々な要素で構成されます。

損害の分類 具体的な内容
直接損害(事故対応費用) フォレンジック調査費用、システムの復旧費用、コンサルティング費用、弁護士費用など。
間接損害(利益損失) 事業停止に伴う売上減少、生産機会の損失、従業員の給与など回収不能な固定費。
賠償損害・その他 顧客への損害賠償、見舞金の支払い、信用失墜によるブランド価値の毀損、株価下落など。
サイバー攻撃による損害の主な構成要素

このように、サイバー攻撃の損害は単なるITコストにとどまらず、企業の財務基盤を揺るがす経営課題として認識する必要があります。

機会損失が財務に与えるインパクト

製造業におけるサイバー攻撃被害で、最も財務的なインパクトが大きいのは、工場の稼働停止に伴う「機会損失」です。製造業は、工場を安定稼働させて製品を供給し続けることで収益を上げており、生産の停止は売上の喪失に直結するためです。

工場の稼働が停止すると、財務に対して多角的なマイナスの影響が生じます。

工場停止が引き起こす主な機会損失
  • 売上機会の逸失: 生産・出荷が停止した期間に得られるはずだった売上の喪失。
  • 固定費の負担: 工場が稼働していなくても発生し続ける人件費、減価償却費、施設維持費。
  • 生産回復の追加コスト: 休日稼働や残業による割増賃金、追加の光熱費など。
  • サプライチェーンへの波及: 部品サプライヤーの生産調整や連鎖的な操業停止による経済的損失。
  • 信用の低下: 納期遅延による取引先との関係悪化や、将来的な取引縮小のリスク。

機会損失は、企業の収益力を直接的に奪い、キャッシュフローを著しく悪化させます。製造業にとって、サイバー攻撃による工場停止は、単なるITトラブルではなく、財務上の重大な危機なのです。

情報開示方針が問われるステークホルダー対応

インシデント発生時における情報開示の方針は、顧客、取引先、株主といったステークホルダーとの信頼関係を維持するうえで極めて重要です。不正確な情報や対応の遅れは、隠蔽体質との不信感を招き、風評被害を拡大させる危険性があります。

サイバー攻撃を受けた企業は、セキュリティ上の機密保持と、ステークホルダーへの説明責任とのバランスを取るという難しい判断を迫られます。しかし、製品供給の遅延が取引先に与える影響や、個人情報漏えいの有無など、確定した事実については迅速に発信する必要があります。危機的状況下における透明性の高いコミュニケーションは、事後の企業評価を左右する生命線となります。

ホンダの事例から学ぶべき企業対策

IT・OT環境のセキュリティ分離

この事例から得られる最も重要な教訓の一つは、情報システム(IT)環境と、工場などの制御システム(OT)環境のネットワークを分離することの重要性です。デジタルトランスフォーメーション(DX)の推進により、従来は独立していたOT環境がITネットワークに接続される機会が増え、オフィスへの攻撃が工場にまで波及する構造的な弱点が生まれています。

EkansのようなOT環境を直接狙う攻撃から工場を守るためには、ネットワークの境界防御を再設計する必要があります。

IT・OT環境で実施すべきセキュリティ対策
  • ネットワークの分離: 情報システム(IT)網と制御システム(OT)網をファイアウォールで論理的・物理的に分離する。
  • 通信の厳格な制限: IT側からOT側への通信は、業務上必要最小限のものに限定する。
  • アクセス管理の強化: 保守用のリモートアクセス経路には多要素認証を導入し、アクセス権限を厳格に管理する。
  • ネットワークの細分化(セグメンテーション): OTネットワーク内をさらに分割し、万一侵入されても被害が全体に拡大しないようにする。

ITとOTの融合は生産性を向上させる一方、サイバーリスクを増大させます。セキュリティ分離の徹底は、事業継続を担保するための必須の防御策です。

インシデント発生時の初動体制

サイバー攻撃の被害を最小限に抑えるには、インシデントを検知した直後の初動対応が極めて重要です。そのためには、有事を想定した対応体制を事前に構築し、訓練しておくことが不可欠です。誰が、どのような状況で、何を判断するかが不明確では、対応が後手に回り被害が拡大してしまいます。

効果的な初動体制には、組織横断的な視点と実践的な準備が求められます。

効果的なインシデント初動体制の構築ポイント
  • 専門チーム(CSIRT)の設置: IT、法務、広報、経営層が参加する組織横断的な対応チームを組成する。
  • 意思決定プロセスの明確化: システム停止などの重大な判断基準と、経営層へのエスカレーションフローを事前に定める。
  • 迅速な被害拡大防止策の準備: ネットワークの遮断や端末の隔離といった具体的な初動手順をマニュアル化しておく。
  • 外部専門家との連携体制: フォレンジック調査会社や弁護士事務所と緊急連絡体制(ホットライン)を構築しておく。
  • 定期的な訓練の実施: 策定した体制や手順が実効性を伴うか、実践的な訓練を通じて検証・改善する。

インシデントは必ず発生するという前提に立ち、迅速な初動を可能にする組織体制とルールを整備することが、企業のレジリエンス(回復力)を高めます。

事業継続計画(BCP)の見直し

多くの企業で自然災害を想定して策定されている事業継続計画(BCP)を、ランサムウェアなどの深刻なサイバー攻撃を想定した内容に見直す必要があります。サイバー攻撃は、物理的な設備が無傷でも、システムやデータが利用不能になることで事業を停止させる特有のリスクを持つためです。

サイバー攻撃を想定したBCPには、デジタルインフラが機能しない状況下での事業継続シナリオを盛り込む必要があります。

サイバー攻撃を想定したBCPに盛り込むべき項目
  • 代替業務プロセスの策定: システムが停止した場合に備え、手作業や電話などアナログな代替手順を準備・周知する。
  • オフラインバックアップの徹底: ネットワークから物理的に隔離された場所に、世代管理されたバックアップデータを保管する。
  • 復旧手順の明確化と訓練: バックアップからのシステム復旧手順を具体的に定め、定期的な復旧訓練を実施する。
  • 重要業務の優先順位付け: 事業継続に不可欠な業務を特定し、限られたリソースを集中させる計画を立てる。

ホンダが数日間でグローバルな工場システムを復旧できた背景には、こうした有事を想定した堅牢なバックアップと復旧計画があったと推測されます。

インシデント対応後の「人的資本」のケア

大規模なサイバー攻撃の事後対応では、システムの復旧だけでなく、対応にあたった従業員という「人的資本」のケアも不可欠です。原因究明、システム再構築、顧客対応といった業務は、担当者に極度の緊張と長時間の過重労働を強いるため、深刻な精神的ストレスを与えかねません。

対応が長期化する場合は、適切な交代要員を配置して負担を分散させることが重要です。また、事態収束後には、産業医やカウンセラーによる面談の機会を設けるなど、組織的なメンタルヘルスケアを行うべきです。過酷な危機を乗り越えた従業員への配慮は、企業の持続的な成長を支える重要なリスクマネジメントの一環です。

製造業全体が直面するリスク

サプライチェーンを狙う攻撃の脅威

近年の製造業が直面する大きな脅威の一つが、関連企業や取引先を踏み台にして最終的な標的を狙う「サプライチェーン攻撃」です。大企業はセキュリティ対策が強固でも、資金や人材が限られる中小の取引先が、攻撃者にとって格好の侵入口となるためです。

自動車産業のように複雑なサプライチェーンでは、この攻撃のリスクが特に高まります。

サプライチェーン攻撃の特徴と脅威
  • 攻撃経路: セキュリティ対策が手薄な子会社や取引先を最初の侵入口(踏み台)として利用する。
  • 攻撃手法: 取引先のシステムから認証情報を窃取し、正規の通信を装って大企業のネットワークに侵入する。
  • 影響範囲: 自社のセキュリティが強固でも、取引先が停止すれば部品供給が途絶え、自社の生産ラインも停止する。
  • 対策の難しさ: 自社だけでなく、サプライチェーンを構成する企業全体でセキュリティレベルを向上させる必要がある。

もはや自社だけの対策では不十分であり、取引先への支援を含めたサプライチェーン全体でのエコシステム構築が急務となっています。

DX推進がもたらす新たな脆弱性

生産性向上を目的としたデジタルトランスフォーメーション(DX)の推進は、一方で新たなサイバー攻撃の標的を生み出しています。これまで安全だったクローズドな工場ネットワークがインターネットに接続されることで、新たな脆弱性が生まれているのです。

特に、古いシステムが十分に保護されないまま外部ネットワークに接続されるケースが問題となっています。

DX推進に伴う新たなセキュリティ脆弱性
  • レガシーシステムの露呈: セキュリティパッチが適用困難な古いOSを搭載した制御機器が、インターネットに接続されてしまう。
  • 無防備な外部接続: 十分なセキュリティ設計なしに、工場内の機器にセンサーが取り付けられ、外部ネットワークに接続される。
  • 攻撃対象領域の拡大: ITとOTの融合により、オフィスへの攻撃が直接工場の操業停止につながるリスクが増大する。

DXは企業の競争力を高める武器ですが、セキュリティという盾とセットで進めなければなりません。最新技術の導入と並行して、既存システムのリスク評価と保護策を講じることが不可欠です。

発注元の大規模障害がサプライヤーに与える影響

巨大企業がサイバー攻撃で生産停止に陥ると、その影響は部品を納入する多数のサプライヤーにも連鎖します。特に、在庫を極力持たない「ジャストインタイム方式」を採用している場合、発注元の工場ラインが止まれば、サプライヤーからの部品受け入れも即座に停止するためです。

発注元の工場が停止している間、サプライヤーは製品を出荷できず、自社の生産ラインも停止せざるを得なくなります。その結果、売上が立たないまま固定費の負担だけが続き、経営状況が急速に悪化します。大企業のシステム障害は、サプライチェーン全体の中小企業を巻き込む経営危機を引き起こす可能性があるのです。

よくある質問

ホンダは身代金を支払ったのですか?

ホンダは身代金の支払いについて公式な見解を示していませんが、一般的には支払いに応じていないと推測されます。コンプライアンスを重視するグローバル企業にとって、身代金の支払いは極めてリスクの高い選択だからです。

企業が身代金を支払うべきでない理由
  • コンプライアンス違反: 犯罪組織への資金提供とみなされ、反社会的勢力への利益供与に該当するリスクがある。
  • 保証の不在: 身代金を支払っても、データが確実に復元される保証はない。
  • 再攻撃のリスク増大: 「支払う企業」として認識され、将来的に再び標的となる可能性が高まる。
  • 犯罪の助長: 攻撃者の活動を資金面で支え、サイバー犯罪のエコシステムを拡大させてしまう。

数日で操業を再開していることから、ホンダは身代金の要求を拒否し、事前に準備していたバックアップデータを用いて自力でシステムを復旧したと考えられます。

なぜ製造業は標的になりやすいのですか?

製造業がサイバー攻撃の標的となりやすい背景には、経済的な価値の高さと、システム上の構造的な脆弱性が存在します。攻撃者にとって、製造業は「攻撃効果が高く、成功しやすい」魅力的なターゲットと映っています。

製造業が標的となりやすい主な理由
  • 事業停止インパクトの大きさ: 工場停止が莫大な機会損失に直結するため、身代金支払いの交渉で攻撃者が優位に立ちやすい。
  • システムの脆弱性: 長期間稼働する古い制御システム(レガシーシステム)が多く、セキュリティ対策が困難な場合がある。
  • 豊富な機密情報: 独自の設計データや製造ノウハウといった知的財産が豊富で、情報窃取の標的価値が高い。
  • 二重脅迫の有効性: 「操業停止」と「機密情報の公開」という二重の脅迫が極めて効果的に機能する。

これらの理由から、製造業はランサムウェア攻撃者にとって主要な標的の一つとなっています。

被害額は一般的にどう算定されますか?

サイバー攻撃による被害額は、単一の費用ではなく、複数の損害要素を合算して算定されます。インシデント対応の直接的な費用から、事業停止による間接的な損失、さらには将来にわたる無形の損害まで、広範囲にわたる評価が必要です。

サイバー攻撃被害額の算定に含まれる項目
  • 事故対応費用: フォレンジック調査、システム復旧、代替機器の購入、外部専門家へのコンサルティング費用など。
  • 利益損失: 事業停止期間中の売上減少、生産機会の損失、回収不能な固定費(人件費、賃料など)。
  • 賠償・関連費用: 顧客や取引先への損害賠償、情報漏えい時の見舞金、コールセンター設置費用、広報・広告費用など。
  • 無形の損害: ブランド価値の毀損、社会的信用の失墜、株価下落による企業価値の低下。

このように、被害額の算定は多岐にわたる項目を網羅的に評価する必要があり、目に見えるITコストだけでなく事業全体への波及効果を金額換算することが求められます。

まとめ:ホンダの事例に学ぶサイバー攻撃対策と事業継続の要点

ホンダのサイバー攻撃事例は、ITシステムへの侵入が工場の生産ライン(OTシステム)を停止させ、深刻な事業影響を及ぼす現代製造業のリスクを明確に示しました。被害額は公式には発表されていませんが、その損害はシステム復旧費用だけでなく、生産停止による甚大な機会損失が中心であったと推測されます。この教訓から、企業はITとOTネットワークの分離、インシデント発生を前提とした初動体制(CSIRT)の構築、そしてサイバー攻撃を想定した事業継続計画(BCP)の策定が不可欠です。まずは自社のセキュリティ体制、特にバックアップの状況や復旧手順が実効性を伴うかを確認し、必要に応じて外部の専門家と連携することが重要です。本記事で解説した対策は一般的な指針であり、具体的な対応は各社の状況に応じて異なるため、必ず専門家を交えて検討してください。



Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

記事URLをコピーしました