セキュリティ担当者が知っておきたい「サプライチェーン攻撃」とは？特徴から具体的なセキュリティ対策まで解説！

企業・組織において、「高い情報セキュリティレベルの維持」「セキュリティインシデントが発生した際のマネジメント」は重要な経営課題のひとつです。膨大な個人情報を取り扱っているため、情報を正しく管理して、漏洩や紛失を起こさないようにすることこそ、企業の社会的責任と言えるでしょう。

 

この記事では、企業の情報システム担当・セキュリティ担当者が押さえておきたい「サプライチェーン攻撃」の概要と、対策が必要な理由を深掘りして解説します。

 

サプライチェーン攻撃とは何か？

「原料調達を行った後に、商品製造を行い、各種交通機関を利用して消費者に届ける」ことを「サプライチェーン」と呼びますが、この仕組みを悪用したサイバー攻撃を指します。

 

具体的には、ターゲットとする企業に直接サイバー攻撃を仕掛けるのではなく、セキュリティ対策に弱点がある関連企業・取引先・委託先に攻撃を仕掛けて、この企業を経由した上で、ターゲット企業に不正侵入を行うのです。

 

サプライチェーン攻撃は、攻撃の起点の違いによって以下の3種類に分類できます。

 

 ソフトウェアサプライチェーン攻撃

ソフトウェアの製造・提供工程を侵害して、「ソフトウェアそのもの」や「アップデートプログラム」などに不正コードを混入し、標的となる組織に侵入する攻撃です。

 

 サービスサプライチェーン攻撃

主に、MSP(マネージドサービスプロバイダ)などのサービス事業者を侵害して、サービスを通じて顧客に被害を及ぼす攻撃です。MSP事業者は企業から委託を受けてネットワークの管理・運用を行っているため、攻撃者はMSP経由で、ランサムウェアを拡散させることができます。

 

 ビジネスサプライチェーン攻撃

標的となる組織の「関連組織」「子会社」「取引先」などを侵害して、業務上の繋がりを利用して標的となる企業に攻撃を行います。近年、サプライチェーン攻撃の中でも常套手段となっているため注意が必要です。

 

サプライチェーン攻撃対策が必要な理由

数ある脅威の中で「サプライチェーン攻撃対策」が絶対的に必要とは思わない方も多いのではないでしょうか。

この項目では、どの企業でも対策が必須となっているサプライチェーン攻撃対策が必要な理由を紹介します。

 

 中小企業こそ攻撃対象になりやすい

「私たちの会社は中小企業だから、そもそもサプライチェーン攻撃の対象にならない」と考えるかもしれませんが、現実には「中小企業の方がサプライチェーン攻撃の対象になりやすい」です。

 

サプライチェーン攻撃とは、真の目的である大企業を攻撃するために、関連する中小企業を攻撃する必要があります。あくまで「踏み台」が必要であり、「規模が小さいからこそ、セキュリティが甘く攻撃しやすい」と考えられるのです。

 

そのため、どんなに小さい企業でも、サプライチェーン攻撃の対象となる可能性があることを頭に入れておきましょう。

 

 攻撃を受けた際の被害が大きい

「私たちの会社は小さいから大きな被害にはならない」と考えるかもしれませんが、「サプライチェーン攻撃」の目的は、中小企業に攻撃を仕掛けた上で、その先に繋がる大企業に攻撃を行う手法です。

 

自分達の企業だけであれば被害は大きくないかもしれませんが、攻撃をきっかけに取引先などにも被害が加わる恐れがあるため、サプライチェーン攻撃に対するセキュリティ対策は必須と言えるでしょう。

 

サプライチェーン攻撃を防ぐ主な5つの対策とは？

中小企業への攻撃を踏み台にして、より大きな被害を与える「サプライチェーン攻撃」ですが、被害を防ぐために必要な5つの対策を以下で紹介します。

 

 OS・ソフトウェアは常に最新にする

関連企業のセキュリティにおけるあらゆる脆弱性がターゲットとなり得るため、OS・ソフトウェアを常に最新版に更新する基本のセキュリティ対策は必須です。アップデートを怠ってしまうとセキュリティの脆弱性が放置されてしまうため、注意が必要です。

 

 ウイルス対策ソフトを導入する

社内端末のウイルス感染を防ぐために有効な対策です。ウイルス対策ソフト導入によって、ネットワークを常時監視して、不審な行動を速やかに検知できるようになります。その他、フィッシングメールをはじめとした、企業を狙った多様なサイバー攻撃をブロックすることも可能です。

 

 パスワードは10文字以上のフレーズの組み合わせにする

当たり前に入力している「パスワード」ですが、パスワード窃盗によって甚大なセキュリティ被害を受けることは珍しくありません。一定以上の長さを持つ複雑なパスワードを設定して、定期的に変更することが有効です。

 

 社員のセキュリティ意識を高める

会社で働いている従業員の行動からセキュリティインシデントに繋がることは多くあります。

従業員に対してセキュリティ意識を高める研修を行ったり、問題発生時の報告から相談の流れなど、一連の対応についても取り決めておき、組織的に防御することがポイントです。

 

 セキュリティ対策に人員と予算をきちんと付ける

企業側が、セキュリティインシデントに対する対策を進める人員・予算を割り当てることが大切です。

 

「IPA(独立行政法人)情報処理推進機構」の調査によると、過去3期における「IT投資」「情報セキュリティ投資」を行っていない企業は約3割もあることが分かっています。

出典:IPA 情報処理推進機構 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」

 

投資を行っていない理由のトップが「コストが掛かりすぎる」ことですが、現実は予算をかけてでも行わないと、大きな損失を生み出す結果となってしまうのです。

 

自社で人材を賄えないのであれば、外部にセキュリティ対策を委託することも選択肢に入れて、セキュリティ対策を行うことが求められます。

 

サプライチェーンの被害事例

最後にサプライチェーン攻撃における具体的な被害事例をいくつか紹介します。

 

PC最適化ツール「CCleaner」を踏み台にした攻撃

「CCreaner(クラップクリーナー)」とは、ハードディスク内にある不要になってしまったファイルやレジストリの掃除・クリーンアップを行うことができるシステムクリーナーソフトです。このソフトのマルウェア入り実行ファイルが正規のダウンロードサーバーで配布されている事例が2017年に発生しました。

 

8月15日〜9月15日の1ヶ月にかけて計227万台が被害を受けたのです。

 

ファーウェイ問題

携帯通信機器大企業である「ファーウェイ」は、2019年5月にファーウェイ製スマートフォンに使用されてきたAndroidシステムが、米国の禁輸措置によって使用できなくなる可能性が言及されました。これによってファーウェイの新型スマートフォンが日本国内での販売が中止、延期され、ファーウェイ側は大きな変化を余儀なくされたのです。

 

甚大な被害を受けるサプライチェーン攻撃を防ぐため、外部ツール導入も検討しよう！

この記事では、「ソフトウェア」「サービスサプライ」「中小企業」などを踏み台にして、大企業への攻撃を狙う「サプライチェーン攻撃」について解説しました。

 

初動は小さい被害で済むかもしれませんが、進行していくと大きな被害になるのが「サプライチェーン攻撃」の怖さです。サプライチェーン攻撃を防ぐために、対策の検討が求められる他、人員・時間のリソース確保が難しい場合は、外部ツール導入も検討しましょう。