トレンド解説

すべての企業が警戒すべき「サプライチェーン攻撃」とは

アイキャッチ
目次

近年のサイバー攻撃は多様化・巧妙化の一途をたどり、企業にはより一層のセキュリティ対策が必要となっています。


サイバー攻撃とは? 種類と対策をわかりやすく解説 | ネットアテスト

企業が活動を続けるなかでセキュリティ対策は欠かせません。情報化が進んだことで企業が持つ情報の価値は高まり、サイバー攻撃の標的になるようになったからです。適切なセキュリティ対策を取るためには、サイバー攻撃の種類についてもしっかりと理解しておく必要があります。この記事では、企業が注意...

netattest.com

og_img

なかでも、特に注意したいサイバー攻撃の一つが「サプライチェーン攻撃」です。言葉として聞いたことがあっても、具体的な攻撃手法や危険性についてはわからない、という方も多いのではないでしょうか。

この記事では、サプライチェーン攻撃の概要や種類、被害事例の解説と併せて、具体的な対策方法の一例を紹介します。

サプライチェーン攻撃とは

サプライチェーン攻撃とは、原材料の調達から販売までの一連の流れを指す「サプライチェーン」の特性を悪用したサイバー攻撃です。ターゲットとなる企業を直接狙うのではなく、より脆弱と見られる関係企業や団体、取引先を踏み台にして、最終的なターゲットへの侵入および攻撃を試みます。

たとえば、小規模ながらよく信頼されているソフトウェアのメーカーにまず侵入してから、つながりのある大企業になりすましメールを送り、添付ファイルからマルウェアに感染させ重要情報を盗み取る、といったことが考えられます。あるいは納品物にマルウェアを仕込んだり、関係会社用のリモートアクセス経路から直接サーバーに侵入したりと、サプライチェーンを利用した具体的な攻撃手法はさまざまです。

ターゲット企業からすると、通常業務の中でいつの間にか攻撃を受けているため、攻撃に気づかないケースも多々あります。不正アクセスやランサムウェア感染などのさまざまな被害に遭う可能性があるうえ、実害が出るまで気づきにくいという点も、サプライチェーン攻撃のやっかいな特徴の一つです。

「サプライチェーン攻撃」は情報セキュリティ10大脅威の一つ

サプライチェーン攻撃の被害は、世界的に増加し続けています。アメリカのSonatype社の調査結果によれば、オープンソースソフトウェアを対象としたサプライチェーン攻撃が2021年には1万2,000件を超えたとされ、前年比650%にもなり一気に注目が集まりました。

日本の情報処理推進機構(IPA)が公開する「情報セキュリティ10大脅威2023」においても、組織部門で第2位に位置づけられ、ますます危険視されています。前年順位は3位、前々年順位は4位であり、年々脅威度は高まっているといえるでしょう。

同資料のなかでは、攻撃手口として「ソフトウェア開発元や MSP(マネージドサービスプロバイダ)等を攻撃し、標的を攻撃するための足掛かりとする」といった点も挙げられています。MSPは企業システムの運用・監視等を請け負う事業者のことであり、システム内でマルウェアを容易に拡散させられるといった可能性が指摘されています。

サプライチェーンという在り方は、今日の企業活動において欠かせないものとなっています。自組織のみでの対策には限界があるため、関係企業・団体が一体となって、サプライチェーンリスク対策を行うことが必要です。

サプライチェーン攻撃の主目的と攻撃対象

サプライチェーン攻撃の目的は大企業等の機密情報や身代金である場合が多いですが、そのための足がかりとして、むしろ中小企業がターゲットにされやすいということを理解する必要があります。

攻撃者にとって、大企業の機密情報などは非常に価値があります。しかし、多くの場合セキュリティ対策がしっかりされており、容易に侵入したり情報を窃取したりできません。そこで、ターゲットとなる大企業に関連する企業・組織のなかで、十分なセキュリティ対策が実施されていない企業・組織を足がかりとします。

このことから、最終的なターゲットとなりやすい大企業も、踏み台とされやすい中小企業も、それぞれの立場から適切なセキュリティ対策を行う必要があるというわけです。

サプライチェーン攻撃によるリスク

サプライチェーン攻撃は企業・組織間のつながりを悪用し、攻撃の踏み台とするサイバー攻撃の総称です。攻撃を受けた場合のリスクとしては、次のようなものが考えられます。

  • 不正アクセス
  • マルウェア感染
  • 情報漏えい
  • 金銭被害(不正送金、身代金の支払い)
  • 企業としての信用の失墜

サプライチェーン攻撃で踏み台とされた企業は、マルウェア感染や不正アクセスにより、情報漏えいなどの被害を受ける可能性が考えられます。また、最終的なターゲットとされた企業では、ランサムウェアによって重要情報を人質に取られ身代金を要求されたり、不正送金の被害にあったりと金銭的な被害に遭う可能性が考えられます。

どのような企業もサプライチェーン攻撃を受けてしまうと、社会的な信用や取引先からの信用を失うことにつながります。攻撃の踏み台とされるだけであっても、自社のちょっとした対策不足から、被害はサプライチェーン全体まで広がってしまうかもしれません。攻撃のターゲットとされる前に、いちはやく可能な取り組みをはじめていきましょう。

サプライチェーン攻撃の種類と手法

サプライチェーン攻撃は、以下3つの種類に大別することができます。それぞれの手法・特徴について一つずつ見ていきましょう。

ビジネスサプライチェーン攻撃

ビジネスサプライチェーンは、最終的なターゲットとなる企業の関連組織や子会社、取引先などを足がかりとし、業務上のつながりを利用してターゲットを攻撃する手法です。ターゲットに対する侵入の常套手段化されているため、特に注意が必要です。

攻撃者は子会社や取引先などのネットワークに侵入し、同じネットワークを介してターゲット企業へ侵入したり、取引先を装ってマルウェアなどを添付したメールを送付したりします。このとき、情報を盗むだけでなくランサムウェアに感染させ、サプライチェーンが稼働しないようにするケースも見られます。

ビジネスサプライチェーン攻撃は自社のセキュリティ対策だけでは防ぎきれません。サプライチェーン全体で対策を行い、攻撃者のつけいる隙を協力して塞いでいく必要があります。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃は、最終的なターゲットとなる企業が利用するソフトウェアに対して不正プログラムを仕込み、マルウェア感染などを狙う手法です。現代のサイバー攻撃はソフトウェアを介して行われることがほとんどであるため、サプライチェーン攻撃においても、この手法が占める割合はかなり高くなっています。

ビジネスサプライチェーン攻撃の手法などと組み合わせて実行されることもあります。取引先が作成するソフトウェアのパッチなどにマルウェアを埋め込めば、回避困難な攻撃となるでしょう。

また、パッチや更新プログラムにマルウェアが埋め込まれていた場合、ターゲット企業内で一気に拡がり、全社的にマルウェア感染してしまう恐れもあります。

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃は、システム開発の委託先やシステム運用の委託先(MSP)などのサービス事業者に侵入し、サービスを通じて顧客(ターゲット企業)を攻撃する手法です。顧客情報などを委託している企業が攻撃を受けた場合、顧客情報の流出などのリスクが考えられます。

それらを人質として、金銭を要求するケースもあるでしょう。また、社内システムを運用しているMSPに侵入されれば、ランサムウェアなどを簡単に仕込むことができてしまいます。実際に2021年にはMSPの特性を悪用され、対象サービスを利用する最大1,500社の企業がランサムウェアの影響を受けたという例も知られています。

サプライチェーン攻撃への効果的な対策

サプライチェーン攻撃に対しては、自社でしっかりとセキュリティ対策を実施することはもちろん、関係各社との連携も重要になります。自社で行なうべきセキュリティ対策としては、次のようなものが挙げられます。

  • OS、ソフトウェアを常に最新にする
  • セキュリティソフトを導入する
  • パスワード管理を徹底する
  • 多要素認証の仕組みを導入する
  • 社員へのセキュリティ教育を実施する

OSやソフトウェアには、在的にセキュリティの弱い部分である脆弱性が潜んでいます。利用するなかで定期的にアップデートの通知などが届くと思いますが、それらは脆弱性への対応をしている場合がほとんどです。OSやソフトウェアを最新にし、脆弱性をなくすことでさまざまなサイバー攻撃の対象になりにくくなります。

また、セキュリティソフトを導入してマルウェアなどをすぐに検知できる状態にしておくことも重要です。昔は「ウイルス対策ソフト」と呼ばれていた通り、ウイルス対策のために導入していましたが、近年では統合的なセキュリティ対策が実施できるため、必ず導入して最新の状態に保つようにしましょう。

その他には、パスワード管理の徹底と社員へのセキュリティ教育も重要です。近年はクラウドサービスの普及などもあり、個人で管理すべきパスワードの数が膨大になっています。管理が煩雑になるために脆弱なパスワードを設定していたり、使いまわしていたりするケースも多いため、二段階認証・多要素認証などの導入も視野に入れて検討しましょう。

特に、多要素認証の導入は効果的です。サプライチェーン攻撃は、多くの場合リモートアクセス経路からの侵入や、パソコン・サーバーへの不正アクセスを伴います。パスワードだけの認証では攻撃者に突破されやすいため、VPN装置や、パソコン、サーバーなどの利用に際して、ICカードや生体情報などパスワード以外の情報も求める仕組みにしておくと、被害防止に大きな効果があります。

また、これらのシステム的な対策はもちろんですが、ビジネスサプライチェーン攻撃に代表されるように、攻撃者は人の意識の隙を狙っています。。メールを介した攻撃手法などの特徴を理解し、普段の業務の中から社員一人ひとりがセキュリティ意識を高く持つことが重要です。、定期的な社内教育など、人的な対策もしっかりと行っていきましょう。

このような自社内のセキュリティ対策を実施した上で、グループ会社や取引先などのセキュリティ対策状況について、定期的にチェックを行いましょう。サプライチェーンリスク対策は、サプライチェーン全体で行わなければ効果がありません。自業界のセキュリティガイドラインなどを参照し、求められる対策がきちんと行われているか相互に確認することで、全体のセキュリティの底上げに繋がってきます。

新たな取引先と契約する際には、セキュリティ対策の内容を明確にして契約を結ぶといった取り組みを行うことも有効です。

また脅威が増している現在、どれだけ注意をしていても、サプライチェーン攻撃を受ける可能性はゼロにはなりません。万が一攻撃を受けてしまった際に被害を抑えたり、業務が停止する時間を短縮したりできる仕組みや体制を用意しておくことも重要です。基幹系サーバーの監視やログ取得、バックアップといったシステムの運用は、怠らないようにしましょう。

サプライチェーン攻撃の事例

サプライチェーン攻撃の被害は世界的に拡大しており、日本でも多くの事例が報告されています。業種・業界を問わず幅広い企業や組織が被害を受けているため、過去事例から攻撃プロセスやセキュリティ課題の理解を深めて、自社 内の対策に活かすことが大切です。

ソフトウェアの自動更新を悪用、ユーザーにマルウェアが配信される

マザーボードなどを製造・販売する企業がサプライチェーン攻撃を受けたこの事例では、ソフトウェアの自動更新を悪用され、ユーザーにマルウェアが配信されるという被害が発生しました。多くのユーザーは正規の企業が配信するアップデートであるためなんの疑いもなく実行してしまい、膨大な数のマルウェアが感染拡大しました。

この事例による影響を受けた人数は世界規模で100万人を超すといわれています。ロシア・ヨーロッパ・アメリカに加え、日本のユーザーも少なからず影響を受けています。またこの攻撃は2019年1月に発見されましたが、2018年6月~11月にかけて行われており、巧妙な手口で攻撃が隠されていたため、長期間にわたって発覚を免れていました。

大手企業の取引先会社から侵入、大規模な情報漏えい

日本の電機メーカーが被害に遭った事例では、関連会社を踏み台に不正アクセスを受け、個人情報や企業機密情報が流出してしまった可能性が指摘されています。

本社や主要な拠点における120台以上のパソコン、40台以上のサーバーに不正アクセスされた痕跡があり、流出した情報のなかには、防衛省や内閣府などの政府機関や、電力会社・通信会社などの主要な民間企業の情報が含まれている可能性があるということです。

この事例では、はじめに中国にある関係会社が侵入を許し、そこが踏み台にされて攻撃が拡がったと考えられています。

大企業に比べて中小企業は十分なセキュリティ対策ができていない場合が多いため、サプライチェーン攻撃の足がかりにされてしまう可能性があります。

自動車関連企業がランサムウェアに感染、大規模な生産ラインの停止

自動車部品会社が被害に遭った事例では、その影響でサプライチェーンにおける大規模な生産ラインの停止が発生しました。被害に遭った企業はランサムウェアにより重要な情報を暗号化され、身代金を要求されています。

発覚後の対応として稼働する社内サーバーをすべて停止したため、取引先である大手自動車メーカーをはじめとした、大規模な生産ラインの停止につながりました。サプライチェーンの1社が稼働を停止したことで、14工場28ラインが停止し、約13,000台の生産を見送る事態に発展しています。

関係各社にとってこの損失は大きく、簡単に取り返せるものではありません。サプライチェーンの一員として、自社だけでなく関係会社や取引先を守るためにも、対策意識を高く持つ必要があることがわかります。

VPN装置の脆弱性を悪用され、医療システムがランサムウェアに感染

日本の医療機関における事例では、提携している企業のVPN装置の脆弱性を悪用され、侵入を許したとみられています。最終的には、医療機関の電子カルテシステムを含む基幹システムや、バックアップデータまでランサムウェアにより暗号化され、医療業務の継続が困難な状況に陥りました。

この事例では提携企業がVPN装置を古いバージョンのまま使い続けていたことや、医療機関とのネットワークが常時繋がっているなど、運用に問題があったとされています。医療機関側においても各システムのパスワードの使い回しといった、セキュリティ上の基本的な問題がありました。

この攻撃による被害総額は、調査と復旧だけで数億円、診療制限に伴う逸失を含めればは十数億円に及ぶと言われてます。人の命と健康に係わる業種ということもあり、サプライチェーンリスク対策を行う責任を再認識する事件となりました。

まとめ

サプライチェーン攻撃は、企業間・組織間のつながりを悪用し、攻撃の足がかりとするサイバー攻撃の手法の総称です。世界規模で危険性が高まっており、IPAが公表する「情報セキュリティ10大脅威2023」でも、組織部門で第2位に位置づけられるほどの脅威とされています。

この攻撃手法では、最終的なターゲット企業へ侵入するためにグループ会社や取引先を踏み台とします。、中小企業においても情報漏えいや金銭的被害、企業としての信用失墜など、さまざまな不利益をもたらす可能性があるため、十分な対策が必要です。

サプライチェーン攻撃はその特性上、自社のセキュリティ強化だけで防げるものではありませんが、同時に、自社だけのために対策するものでもありません。サプライチェーン全体を守るためにその一員としての責任を持ち、可能な取り組みを実行することが重要です。

この記事では、サプライチェーン攻撃の概要や事例、効果的な対策例を解説しました。サプライチェーン攻撃のリスクが全くない企業・組織はどこにもありません。他人事と思わず、これらを参考に対策を検討してみてはいかがでしょうか。

記事を書いた人

ソリトンシステムズ・マーケティングチーム