アイランドホッピング攻撃とは？ 10分でわかりやすく解説

UnsplashのMarkus Spiskeが撮影した写真      

アイランドホッピング攻撃は、攻撃者が本命企業を直接狙うのではなく、取引先、委託先、グループ会社、連携サービスなどを経由して侵入を試みるサイバー攻撃です。第三者との接続、共有システム、リモートアクセス、連携アカウントが攻撃経路になり得るため、自社の境界だけを守る対策では不十分になります。

アイランドホッピング攻撃とは

アイランドホッピング攻撃は、信頼関係のある外部組織や関連システムを経由し、最終的な標的へ近づく攻撃です。攻撃者は、まず統制が不十分な委託先や関連会社に侵入し、そこで取得した認証情報、管理権限、接続経路を使って本命企業の環境へアクセスしようとします。

この攻撃が問題になるのは、侵入経路が「不審な外部」ではなく、業務上つながりのある相手に見える点です。取引先の保守用アカウント、委託先のリモート接続、グループ会社間のネットワーク連携、共通のSaaS管理画面などは、攻撃者に悪用される可能性があります。

サプライチェーン攻撃との違い

アイランドホッピング攻撃は、サプライチェーン攻撃と重なる場合があります。ただし、両者は完全な同義ではありません。サプライチェーン攻撃は、製品、サービス、委託先、ソフトウェア供給経路などの信頼関係を悪用する攻撃全般を指します。アイランドホッピング攻撃は、そのなかでも「周辺の組織や接続先を経由し、段階的に本命へ近づく」動きに焦点があります。

例えば、委託先の管理アカウントを侵害して本命企業のシステムへ接続する場合は、アイランドホッピング攻撃として説明できます。一方、正規ソフトウェアの更新機構に不正コードを混入させ、多数の利用企業へ一斉に影響を与える攻撃は、ソフトウェアサプライチェーン攻撃として整理するほうが自然です。

狙われやすい「島」の例

攻撃者が経由点として狙いやすい対象は、標的企業と業務上のつながりがあり、かつ接続権限や管理権限を持つ組織・環境です。

• 開発、保守、運用を担う委託先・外注先
• グループ会社、子会社、海外拠点
• 販売代理店、パートナー企業、共同事業先
• 共有しているSaaS、プロジェクト管理ツール、ファイル共有環境
• リモートアクセス、保守用VPN、管理用ジャンプサーバー
• 外部に委託しているWebサイト、業務システム、クラウド運用環境

特に、外部組織に恒常的な接続権限を付与している場合、侵害時の影響範囲を事前に限定しておかなければ、本命企業側への侵入経路として使われる可能性があります。

アイランドホッピング攻撃の流れ

アイランドホッピング攻撃は、単に取引先が侵害されるだけではありません。攻撃者は、標的企業との関係、接続経路、権限、運用手順を調べ、段階的に到達範囲を広げます。

1. 本命企業と関係先の調査

攻撃者は、標的企業の取引先、委託先、グループ会社、利用サービスを調査します。公開情報、採用情報、導入事例、技術ブログ、DNS情報、メールドメイン、漏えい済み認証情報などが調査対象になります。

この段階で、攻撃者は「どの外部組織が本命企業へ接続できるか」「どのサービスを共通利用しているか」「どの担当者が管理権限を持つか」を推測します。

2. 関連先への侵入

次に、攻撃者は関連先の環境へ侵入します。使われる手段は、フィッシング、認証情報の悪用、未修正の脆弱性の悪用、リモートアクセス機器の設定不備、管理画面への不正ログインなどです。

本命企業よりもセキュリティ予算や専任人員が限られる委託先・中小規模の取引先では、監視やログ保全が十分でない場合があります。そのため、攻撃者は関連先で長く潜伏し、認証情報や接続情報を収集することがあります。

3. 信頼済み接続や正規アカウントの悪用

関連先で認証情報や権限を取得した攻撃者は、正規の接続に見える形で本命企業へアクセスします。保守用アカウント、共有アカウント、APIキー、VPNアカウント、クラウド管理権限などが悪用される場合があります。

正規アカウントを使われると、単純な送信元IP制限や境界防御だけでは検知が難しくなります。誰が、どの端末から、どの目的で、どのシステムへ接続しているかをログで追跡できる状態にしておく必要があります。

4. 本命環境内での横展開

本命企業の環境へ侵入した後、攻撃者はラテラルムーブメントを試みます。ファイルサーバー、ID管理基盤、クラウド管理画面、バックアップ環境、業務システムなどへ移動し、権限昇格や情報窃取を進めます。

この段階でネットワークや権限が分離されていないと、委託先経由の1つの侵害が、社内全体のセキュリティインシデントに発展します。

アイランドホッピング攻撃による被害

アイランドホッピング攻撃の被害は、本命企業への不正アクセスだけではありません。取引先、委託先、グループ会社を巻き込み、調査範囲、復旧範囲、説明責任が広がります。

本命企業への不正アクセス

関連先で盗まれた認証情報や連携アカウントを使われると、本命企業のシステムへ不正アクセスされる可能性があります。侵入後は、機密情報の窃取、権限昇格、業務システムの改ざん、ランサムウェア展開などへ発展します。

外部委託先のアカウントであっても、本命企業の重要システムへ到達できる権限を持っていれば、攻撃者にとっては有効な侵入経路になります。

サプライチェーン全体の業務停止

一社の侵害が、複数社の業務停止につながる場合があります。委託先の調査、接続遮断、代替運用、契約先への説明、復旧手順の確認などが同時に発生し、通常業務の継続に影響します。

特に、同じ管理ツールやリモートアクセス基盤を複数社で共有している場合、影響範囲の切り分けに時間がかかります。どの接続を止め、どの業務を継続し、どの証跡を保全するかを事前に決めていないと、初動が遅れます。

信用・契約面のダメージ

取引先を経由した侵害でも、最終的な被害を受けた企業は、顧客、取引先、監督機関、社内関係者への説明を求められます。情報漏えい、サービス停止、納期遅延、監査対応が発生すれば、契約条件や委託先選定基準の見直しにもつながります。

反対に、自社が経由点として悪用された場合、自社の被害だけでなく、取引先への影響も説明しなければなりません。アイランドホッピング攻撃では、「自社は直接の標的ではなかった」という説明だけでは責任範囲を整理しきれません。

アイランドホッピング攻撃への対策

アイランドホッピング攻撃への対策は、自社内の防御だけでは完結しません。取引先管理、接続経路の制御、アカウント管理、横展開の抑止、ログ監視を組み合わせ、侵入されても本命環境へ到達しにくい状態を作ります。

取引先・委託先を含めたリスク管理

まず、外部組織に付与している権限と接続経路を棚卸しします。委託先や取引先に対して、どのシステムへ、どの期間、どの権限で接続を許可しているかを把握します。

• 委託先・取引先ごとに、アクセス権限の目的、範囲、期限を明確にする
• 保守契約や業務委託契約に、アカウント管理、ログ保全、通知手順を明記する
• 重要な委託先については、更新管理、脆弱性対応、認証方式、監査ログの取得状況を確認する
• 委託終了後、担当者変更後、契約変更後に、不要な権限を削除する

リスク管理では、委託先に一律で高い要求を課すだけでは不十分です。扱う情報、接続先、権限、代替可能性に応じて、求める管理水準を分けます。

連携アカウントとリモートアクセスの統制

外部組織が利用するアカウントやリモートアクセスは、攻撃者が悪用しやすい接続点です。特に、共有アカウント、長期間使われていないアカウント、広すぎる権限を持つ保守用IDは優先して見直します。

• 外部ログイン、管理画面、リモートアクセス、特権アカウントには多要素認証を適用する
• 共有アカウントを廃止し、個人単位のIDへ移行する
• 特権ID管理を導入し、利用申請、承認、作業記録、利用後の権限返却を管理する
• 接続元IP、端末証明書、端末状態、利用時間帯などで接続条件を制限する
• 不要なVPN、保守用アカウント、APIキー、連携トークンを削除する

連携アカウントは、便利さのために権限が広がりやすい領域です。業務に必要な範囲だけを許可し、利用状況を定期的に確認します。

ネットワーク分離と横展開の抑止

関連先経由で侵入される可能性を前提に、ネットワーク分離と到達制御を設計します。外部接続用の領域、業務システム、管理系ネットワーク、バックアップ環境を分け、1つの認証情報で広範囲へ移動できないようにします。

• 委託先接続用のネットワークと、重要システムのネットワークを分離する
• 管理系ネットワークへの接続は、専用端末、専用経路、追加認証を求める
• ファイルサーバーやクラウドストレージの権限を最小化する
• バックアップ環境へ通常アカウントから直接到達できないようにする
• 重要システムへの接続は、通信先、プロトコル、時間帯、作業内容で制限する

目的は、侵入そのものを完全に防ぐことではなく、侵入後に移動できる範囲を狭めることです。被害範囲を限定できれば、調査と復旧の負担を抑えられます。

ログの統合と早期検知

アイランドホッピング攻撃では、正規アカウントや信頼済み接続が悪用されるため、ログの監視が重要になります。認証ログ、VPNログ、クラウド監査ログ、EDRログ、管理ツール操作ログを関連付けて確認できる状態にします。

• 連携アカウントの異常ログイン、失敗回数、普段と異なる接続元を監視する
• 権限変更、管理者追加、APIキー発行、MFA設定変更を検知対象にする
• 委託先作業の予定時刻、作業内容、接続元とログを照合する
• 外部組織側で取得すべきログと、共有手順を契約・運用手順に含める
• 長期間使われていないアカウントの突然の利用を検知する

ログを集めるだけでは不十分です。どの事象を重大な兆候として扱い、誰が確認し、どの接続を止めるかまで決めておきます。

インシデント時の連絡・遮断手順

取引先や委託先が関係するインシデントでは、技術対応と連絡調整が同時に発生します。初動で迷わないよう、連絡先、権限、判断基準を事前に整理します。

• 委託先・取引先の緊急連絡先、責任者、技術担当者を管理する
• 侵害が疑われる場合に、どの接続を一時停止するかを決める
• ログ保全、証跡提出、調査協力の範囲を契約や手順に明記する
• 社内の法務、広報、情報システム、事業部門の判断権限を整理する
• 復旧後に、権限再付与の条件と再発防止策を確認する

関係先との調整を事故発生後に始めると、遮断判断、証跡保全、顧客説明が遅れます。平時から手順を決めておくことで、被害拡大を抑えやすくなります。

優先して見直すポイント

すべての取引先や接続経路を同時に精査するのは困難です。まずは、本命環境へ到達できる権限を持つ外部接続から確認します。

• 外部組織が利用する管理者権限・特権アカウント
• 保守用VPN、リモートデスクトップ、ジャンプサーバー
• 委託先が操作できるクラウド管理画面、SaaS管理画面
• 共有アカウント、長期間使われていないアカウント
• 契約終了後も残っているアカウントやAPIキー
• ログが取得できない、または保存期間が短すぎる接続経路

優先順位は、「重要システムへ到達できるか」「特権操作が可能か」「外部組織が利用するか」「ログで追跡できるか」で決めます。この4点に該当する接続経路は、早めに棚卸しと制限を行います。

まとめ

アイランドホッピング攻撃は、取引先、委託先、グループ会社、連携サービスなどを経由し、本命企業へ侵入しようとする攻撃です。自社の境界だけを守っていても、信頼済み接続や正規アカウントを悪用されると、外部組織の侵害が自社のインシデントに発展します。

対策では、取引先・委託先を含めたリスク管理、連携アカウントとリモートアクセスの統制、ネットワーク分離、ログ監視、インシデント時の連絡・遮断手順を組み合わせます。まずは、外部組織が使う特権アカウント、保守用リモートアクセス、共有ID、重要システムへ到達できる接続経路から見直すことが、被害拡大の抑制につながります。

よくある質問（FAQ）