その時何が起きたのか?大手アルミ製造「Norsk Hydro」に聞く！

図1　身代金を求める攻撃者からのメッセージ

出所　Halvor Molland, “The cyber attack on Hydro”,「 第5回 重要インフラサイバーセキュリティコンファレンス」（2021年2月10日）より

表2　ノルスク・ハイドロの主なサイバー攻撃内容

Cobalt Strike：標的型攻撃を模倣することができる商用ソフトウェア。インシデント対応演習などで利用されるが、攻撃者に悪用されるケースもある。JPCERT/CCは、2017年7月頃から国内の組織に対してCobalt Strikeを悪用した攻撃が行われているとして注意喚起している。
LockerGoga：2019年1月～3月に欧州の生産工場に拡がった新種のランサムウェア。攻撃対象者のファイルを暗号化し身代金を要求するという従来の方法に、新しい機能を追加した。
出所　独立行政法人 情報処理推進機構 セキュリティセンター、「制御システムのセキュリティリスク分析ガイド補足資料、制御システム関連のサイバーインシデント事例5 ～2019年ランサムウェアによる操業停止～」（2020年3月）を一部加筆・修正して作成

図2　社内外の連絡用に利用した代替手段としてのツール

WhatsAppや右側の張り紙は社内への連絡代替手段として、TwitterやFacebookは社外への連絡の代替手段として活用した。このWhatsAppの画面は、サイバーインシデントが発生したことを幹部に伝えた実際のやりとり。連絡手段を1つに頼るのでなく、攻撃を受けた際にSNSや紙などの物理的な手段も含め、普段から複数の手段を想定しておくことが大事であることがわかる。
出所　Halvor Molland, “The cyber attack on Hydro”, 「第5回 重要インフラサイバーセキュリティコンファレンス」（2021年2月10日）より

表3　頻繁にアップデートして行った社内外の広報戦略（概要）

本社では毎朝、全社員参加のミーティング（タウンホールミーティング）を行い、それをビデオカメラで録画し、その動画を同社の世界拠点に配信した。それに加えて、社員がAndroidやiPhoneなどのデバイスにダウンロードできる社内用アプリもコミュニケーションツールとして駆使した。
※1　1ノルウェー・クローネ＝約13円換算。
出所　Halvor Molland, “The cyber attack on Hydro”, 「第5回 重要インフラサイバーセキュリティコンファレンス」（2021年2月10日）、および www.hydro.com を参考にして作成