2022.8.17 /

急増するサプライチェーン攻撃の危険性

ここ数年企業を狙ったサイバー攻撃が激しくなっていますが、その中でも「サプライチェーン攻撃」が急増しています。

サプライチェーンとは、製造業などで製品を製造する上で必要となる製品の企画や設計、原材料や部品の調達、製造や在庫の管理、製品の流通に必要な物流や販売など、一連の商流を構成している組織・企業群全体を意味します。

つまりサプライチェーン攻撃とは、そのような流れの中にある関連企業に侵入・感染し、さらに大きな企業や親会社などへサイバー攻撃を仕掛けることを意味します。

独立行政法人 情報処理推進機構(IPA)は「情報セキュリティ10大脅威」というものを個人の部と組織の部として毎年発表していますが、組織の部では「サプライチェーンの弱点を悪用した攻撃」が2019年に4位に初登場してから、2022年ではついに第3位になっているほど危険性が増大している脅威であるといえます。

サプライチェーン攻撃は何が危険なのでしょうか?また講ずることのできる対策はどのようなものがあるのでしょうか?

実際の攻撃手法や事例を元に考えてみました。

 

サプライチェーン攻撃、その危険性とは

前述のとおり、サプライチェーン攻撃はサプライチェーンの中の何処かから侵入し、感染を拡大しながらさらに大きな企業への攻撃を仕掛けていくことが特徴です。

大企業ではサイバーセキュリティについての意識も高く、ほとんどの企業では十分なレベルの対策をしているといえるでしょう。

ところが、サプライチェーンの中には中小企業も多く、それらの企業は大企業と比べて相対的にサイバーセキュリティに対して予算を割くことができないことが多くあります。

サプライチェーン攻撃とは、まさにそのようなセキュリティレベルが低い中小企業を入り口として侵入します。

攻撃者からすれば、いきなり厳重なセキュリティを備えた大企業に対して直接攻撃するより、セキュリティレベルの低い関連企業の方が攻めやすく、比較的侵入が容易といえます。

セキュリティ教育などにより、いきなり見知らぬ相手から送られたメールを簡単に開封したりしないよう注意を払っている大企業側も、関連企業からのメールなどに対しては注意がゆるくなりがちです。

このような油断からいつのまにか侵入され、感染が広がり、気が付いたときには被害が拡大しているというのがサプライチェーン攻撃の恐ろしいところです。

 

具体的な攻撃手法としてはいくつかありますが、主な例として下記のような攻撃があります。

 

1.取引先を踏み台にする

まず、ターゲットとしている企業の取引先のうち、セキュリティレベルの低い企業に対してフィッシングメールやマルウェア付きメールなどでサイバー攻撃をしかけ、メールアドレスなどの連絡先情報やログイン情報を盗み出します。

その上で取引先を装って添付ファイル付きメールなどによってランサムウェアなどを送り込み、攻撃する手法です。

 

2.納品物を通じて感染させる

取引先企業のうち、セキュリティレベルの低い企業に不正侵入し、その取引先企業の納品物(ハードウェア機器やプログラムなどのソフトウェア)にマルウェアを埋め込みます。納品物を受け取った企業がその感染に気づかず、知らないうちに感染を広げてしまうことを狙った手法です。

近年では誰でも自由に使用することのできるオープンソースソフトウェア(OSS)が感染源となることも多くなり、OSSメーカーを装って攻撃者から送られたバージョンアップのお知らせメールにあるリンクをクリックしたら、マルウェアに感染した、ということもあります。

 

3.委託先企業から情報を盗み取る

ターゲットとする企業がサーバーの運用などを外部企業に委託している場合、その委託先企業に攻撃をおこない、機密情報を盗みます。その情報を人質にして金銭を要求する攻撃手法です。

 

対策

サプライチェーン攻撃への対策はどのようなものがあるのでしょうか?

以下にまとめました。

 

リスクアセスメント

まず自社の潜在的危険性や情報資産を見つけ出し、その重要度や緊急性などを設定しリスクを考えていくことが重要になります。できれば専門的な企業など第三者的な目で定期的に確認してもらうのがより効果的です。

 

メール対策の見直し

万が一メールを誤って開いた際に、実際にマルウェアなどが活動するのはエンドポイントとなるPCです。EDRなどエンドポイント側で振る舞い検知ができるセキュリティ対策ソフトを導入することが必要といえます。

 

サプライチェーン全体のセキュリティ水準の引き上げ

各取引先企業、委託先企業にセキュリティ対策を呼び掛け、企業ごとにセキュリティ水準を上げていくことです。

取引を始める前に、取引先企業のセキュリティポリシーやセキュリティ対策状況などを確認することも重要です。

取引先企業の隅々まで確認するのは容易ではないですが、被害に遭ってからでは意味がありません。

 

最後に

サプライチェーン攻撃が大企業にとって非常に危険であるのはいうまでもありませんが、中小企業にとって恐ろしい所は、侵入を許してしまい知らないうちに踏み台にされた上、意図せず攻撃者に手を貸してしまう点です。

踏み台にされた企業は被害者ではありますが、ターゲットとなった大企業からすればサイバーセキュリティへの対策が不十分で、自社に損害を与えた企業となってしまいます。

そのようになった企業とビジネスを継続し信頼関係を維持することは難しいでしょう。

中小企業がサイバー攻撃のターゲットにならない、などということは決してないということを十分に周知徹底することが必要です。

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから