「サプライチェーン攻撃とは、どのような攻撃?」
「サプライチェーン攻撃の対策は何から始めればよい?」
サプライチェーン攻撃とは、組織と組織のつながりを狙ったサイバー攻撃のことを指します。
一つの組織が被害にあうと、連鎖的に取引先や委託先など関連する組織にも影響が及んでしまうため、近年、警戒が高まっています。
本記事では、以下の内容について解説します。
- サプライチェーン攻撃について
- サプライチェーン攻撃の手法
- サプライチェーン攻撃で想定される被害
- サプライチェーン攻撃の対策方法
本記事を読むことで、サプライチェーン攻撃の概要や必要な対策が分かります。セキュリティを強化してサプライチェーン攻撃を防ぎたい組織の方は、ぜひご一読ください。
サプライチェーン攻撃の対策を検討している組織の方、必見!
サプライチェーン攻撃の対策は、何から始めればよい?
取引先や関連企業と連携した上で、求められるサイバーセキュリティ対策を着実に実施していくことが大切です。一般的に必要とされる対策については、こちらの資料にまとめておりますので、ぜひご覧ください。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、組織と組織のつながりを狙ったサイバー攻撃です。
サプライチェーンとは、製品の原材料調達から製造・出荷・販売・消費までの一連の流れのことを言います。組織が製品を製造し、最終的に取引先や顧客に消費されるまでには、原材料の調達工程、製造工程、運送工程、納品工程などで、多くの組織が関わっています。
サプライチェーン攻撃は、この仕組みを狙って行われます。標的とする企業や組織に直接攻撃を仕掛けるのではなく、比較的セキュリティ対策が手薄な関連企業や取引先などを経由して(踏み台にして)不正侵入を試みます。
日本国内においても、2022年に大手自動車メーカーが、取引先部品メーカーのサイバー攻撃被害によって国内全工場の稼働を停止したり、2023年には給食委託会社へのサイバー攻撃によって、医療サービスが約2か月も停止するなど、命に係わる問題にまで発展しています。
また、サプライチェーン攻撃は、IPAが発表している「情報セキュリティ10大脅威 2024」内の組織を対象とした脅威にて、2年連続第2位にランクインしています。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
|---|---|---|---|
| 1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| 8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
上位に位置し続けていることからも、組織への影響が高いことがわかります。サプライチェーンを利用した攻撃に対するセキュリティ対策は、組織をあげて確実に行う必要があるでしょう。
なお、「情報セキュリティ10大脅威」にランクインした複数の脅威に対して、同時かつ効率的に行える「共通対策」を一つの資料にまとめています。いま必要な情報セキュリティ対策の基本が分かる資料ですので、ぜひダウンロードしてください。
サプライチェーン攻撃が注目される背景
サプライチェーン攻撃が注目されている理由は、以下の2つです。
- 攻撃が発生した際の被害の大きさ
- セキュリティが手薄な中小規模の組織が狙われやすい
1. 攻撃が発生した際の被害の大きさ
サプライチェーン攻撃が社会的に注目されている理由として、被害規模が大きくなりやすいことがあげられます。
サプライチェーン攻撃を受けると、その被害は一つの組織に留まらず、取引先から顧客まで広範囲に及びます。被害額が組織の経営規模を超える恐れもあるでしょう。サプライチェーン攻撃の対策は、自社だけではなく、関連する取引先や委託先と連携しながら進めなければなりません。
2. セキュリティが手薄な中小規模の組織が狙われやすい
サプライチェーン攻撃から組織を守るには、横断的なセキュリティ対策が必須です。しかし、サプライチェーンで関わる全ての組織が十分なセキュリティ対策を行うには、相当の困難を要するでしょう。
理由の一つに関連企業や取引先のセキュリティ対策があります。特に中小規模の組織においては、コスト面や教育不足などの背景からセキュリティ対策が手薄になりがちなのが実情です。攻撃者は、そのような組織を入口としてサイバー攻撃を仕掛け、標的に影響を与えようとするため、「サプライチェーン全体が手厚いセキュリティ対策を実施すること」が必要です。そのため、リスクのある組織を特定し対策を行う必要がありますが、「全組織が協力的になる」という点が課題になるでしょう。
サプライチェーン攻撃の手法
サプライチェーン攻撃には、大きく3つの手法があります。
- サービスサプライチェーン攻撃
- ビジネスサプライチェーン攻撃
- ソフトウェアサプライチェーン攻撃
1. サービスサプライチェーン攻撃
サービスサプライチェーン攻撃は、システムの運用・捕手を提供するMSP(マネージドサービスプロバイダ)や、クラウドサービスなどの事業者に攻撃を仕掛けることで、利用顧客に影響を与えるものです。侵害したサービスを経由し、正当なアクセス権をもって顧客のシステムに侵入したり、ランサムウェアなどのマルウェアを拡散させます。実際にMSP事業者が攻撃を受け、ランサムウェアが広く拡散してしまった事例が過去にあり、大きな損害が発生しました。
2. ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃は、業務上関わりのあるセキュリティが手薄な組織に攻撃を仕掛けることで、標的とする組織に影響を与えるものです。
業務のつながりを利用した自然なメール文面でマルウェアを送りつけるなどして、標的へ攻撃を仕掛けます。標的とする組織が明確な場合、侵入するための常套手段として使われる傾向があり、日本でもインパクトの大きい事件が発生しています。
3. ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃は、ソフトウェアの製造・提供過程に攻撃を仕掛けることで、利用顧客に影響を与えるものです。ソフトウェアそのものや、アップデーターなどに不正なコードを混入し、標的へ攻撃を仕掛けます。
利用者が多ければ多いほど被害規模が大きくなり、過去には世界中で使用されているセキュリティ製品が攻撃に使用された事件も発生しました。
サプライチェーン攻撃で想定される被害
サプライチェーン攻撃による代表的な被害は、次の4つです。
- 個人情報漏えい
- 機密情報流出
- 事業活動の停止
- 信頼の喪失
1. 個人情報漏えい
個人情報の漏えいは、サプライチェーン攻撃による典型的な被害の一つです。サプライチェーン攻撃の標的にされると、マルウェア感染やネットワーク・サーバーへの不正アクセスなどを受け、個人情報が不正に取得されてしまう恐れがあります。
2. 機密情報流出
個人情報だけでなく、組織の機密情報が流出してしまう恐れもあります。攻撃者は、新製品の企画や設計図など、今後の経営にとって重要な機密情報を狙います。入手した機密情報を第三者に売り、不当に金銭を得ることが攻撃者の目的です。
3. 事業活動の停止
サプライチェーン攻撃による被害として、組織の事業活動が一時的に停止してしまうことがあります。サプライチェーン攻撃にあい、情報漏えいなどが発生すると、被害対応のため組織の活動に影響が出てしまいます。また、ランサムウェアに感染してしまうと、システムを何日も使えなくなってしまう可能性もあるでしょう。組織の活動停止による経済的な損失は大きく、また、取引先や関連組織にも影響を与えてしまいます。
4. 信頼の喪失
サプライチェーン攻撃による間接的な被害として、組織としての信頼を失ってしまうリスクも無視できません。一度サプライチェーン攻撃を受けると、「セキュリティが手薄で信頼できない組織」という印象を持たれてしまう可能性があります。最悪の場合、既存の取引先から取引停止の申し出を受ける恐れもあるため、その後の経営に大きな打撃を与えます。
サプライチェーン攻撃を防ぐための対策
サプライチェーン攻撃を防ぐために有効な対策は、以下の4つです。
- 取引先との連携・契約
- 従業員へのセキュリティ教育
- 脆弱性診断の実施
- セキュリティソフト・WAFの導入
1. 取引先との連携・契約
サプライチェーン攻撃の対策においては、サプライチェーン全体の連携が大切です。サプライチェーンの上流を担う立場であれば、関連企業や取引先へのセキュリティ対策の要求はもちろん、点検や監査などの対応が求められます。下流を担う立場であれば、その要求に従いながら対策を実行し、難しい場合には支援を要求することも必要でしょう。
また、事故が発生した時の対応や双方の責任範囲を明確化する契約を結んでおくことも大切です。万が一、サプライチェーン攻撃に巻き込まれても、自社の被害を最小限に抑えられるようにしておくことが重要です。
サプライチェーンの中に一つでもセキュリティが弱い組織があれば、他の多くの組織も影響を受けてしまいます。組織間の連携は、サプライチェーン攻撃対策として欠かせません。
2. 従業員へのセキュリティ教育
従業員のセキュリティ教育も、サプライチェーン攻撃対策に欠かせません。従業員のセキュリティ意識が甘く、不審なメールやサイトを開いてしまうことによって、サプライチェーン攻撃の突破口をつくってしまうリスクがあります。
セキュリティ対策の必要性を落とし込むことはもちろん、よくある攻撃事例などを具体的に示し、巧妙な手口に引っかかってしまうリスクを低減することが大切です。また、万が一感染してしまった際の対処法を提示することで、被害を最小限に抑えましょう。
IPA(独立行政法人情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」の「付録4:情報セキュリティハンドブック(ひな形)」では、従業員に周知すべき具体的な対策が提示されています。本書を参考に、セキュリティ教育を実施すると良いでしょう。
3. 脆弱性診断の実施
脆弱性診断の実施は、特に自社でITシステムを開発・運用している場合に欠かせないセキュリティ対策の一つです。攻撃者はネットワークやWebアプリケーションの脆弱性を放置している組織を狙って攻撃を仕掛けてきます。中小規模の組織が狙われやすい点が、そこにあるでしょう。
また、脆弱性診断の実施は、サプライチェーン攻撃以外にも効果を発揮するセキュリティ対策です。脆弱性診断の実施にはまとまった費用がかかりますが、診断ツールを使えば、費用をおさえつつ実施できます。
▼関連記事
脆弱性診断(セキュリティ診断)とは|必要性からやり方まですべて解説
4. セキュリティソフト・WAFの導入
セキュリティソフトやWAFの導入も、代表的なセキュリティ対策の一つです。端末やサーバーにセキュリティソフトを導入したり、Webアプリケーションを運用している組織であればWAFを導入して攻撃を防御することで、リスクを軽減できます。
しかし、セキュリティソフトやWAFは根本的な対策にはならないことを念頭に入れておきましょう。根本的な対策は、やはり脆弱性自体を最小限に減らすことです。セキュリティソフトやWAFは、攻撃を受けた場合に被害が発生するリスクを「軽減」するものなので、脆弱性診断の実施やOS・ソフトウェアの更新など、基本的な脆弱性対策も併せて実施しましょう。
▼関連記事
WAFとは|どこまで守れる?セキュリティ対策の効果をわかりやすく解説
まとめ|サプライチェーン攻撃対策には組織間の連携がカギ
サプライチェーン攻撃は、組織が事業を行う上で関わる組織の中から、セキュリティ対策が手薄な組織に攻撃を仕掛け、そこから標的の組織に被害を与えるサイバー攻撃です。攻撃を受けてしまうと、自社だけでなく関連する組織や顧客にも影響を与えてしまいます。
サプライチェーン攻撃で想定される被害は以下の通りです。
- 個人情報漏えい
- 機密情報流出
- 事業活動の停止
- 信頼の喪失
サプライチェーンで関わる組織と連携し、以下の対策を中心にセキュリティを強化しましょう。
- 取引先との連携・契約
- 従業員へのセキュリティ教育
- 脆弱性診断の実施
- セキュリティソフト・WAFの導入
対策に不安がある場合は、セキュリティベンダーへの相談をおすすめします。脆弱性診断の実施や、脆弱性診断ツールの導入など、自社に合うセキュリティ対策を支援してくれるので、セキュリティ全般の強化に有効です。
サプライチェーンで関わる組織全体のセキュリティを強化し、サプライチェーン攻撃に備えましょう。
