セキュリティー・インフラへの投資が進んでいないサプライヤーがサイバー攻撃の標的にされている。事業の仕組みが複雑なことと、高額になるセキュリティー投資は実施されていないことが理由だ。

◇被害は甚大

オートモーティブ・ニュースによると、自動車のサプライチェーンに属する企業、特に利幅が狭く、自動車メーカーや部品大手のような経営資源を持たないサプライヤーに当てはまる。法律事務所ワーナー・ノークロス＋ジャッドは「脅威は現実であり、深刻で、人工知能（AI）の能力が高まれば高まるほど悪質な犯罪者が攻撃を仕掛けやすくなる」と警告している。

サイバー攻撃が自動車業界に与える損害は大きい。ディーラー管理システム、CDKグローバルに対する攻撃の場合、システムを利用するディーラーの損害は10億ドルを超え、約5万6200台の新車販売機会が失われた。

自動車サプライチェーンへの攻撃としては、21年にドイツのエバスペッヒャー、23年にはジェンテックスが被害に遭った例がある。また、中国の延鋒汽車内飾（Yanfeng）は、サイバー攻撃によってステランティスへの部品供給が滞ったため同社から「3億ドルを超える売り上げを失った」として訴えられ、サプライヤーへの攻撃でメーカーに損失が生じた場合、誰が責任を負うべきかという議論に発展している。

◇格好のターゲット

サイバー犯罪者にとって、ランサムウェア（身代金要求型ウイルス）などによる攻撃で工場が止まればたちまち損失が出るため、サプライヤーはすぐに身代金を払う可能性が高いように見える。

IBMによると、23年にはサイバー攻撃の標的の26%を製造業が占め、他のどの業界よりも多く、そのうち71%がランサムウェア攻撃だった。

デトロイトの法律事務所バッツェルによると、重要な情報に接する従業員を厳密に管理し、多重認証システムを導入すべきだという。部品大手や自動車メーカーはサイバーセキュリティーの実施する信頼できる相手とだけ取り引きしたいと考えている。こうした姿勢に対して、サプライヤーはしばしば当惑し「うちは大丈夫だ」とか「できることには限界がある」と答えることが多いが、相手と協力して基準を設けるべきだと指摘する。

(U.S. Frontline News, Inc.社提供)