トレンド解説 2023/05/19

すべての企業が警戒すべき「サプライチェーン攻撃」とは

近年のサイバー攻撃は多様化・巧妙化の一途をたどり、企業にはより一層のセキュリティ対策が必要となっています。

なかでも、特に注意したいサイバー攻撃の一つが「サプライチェーン攻撃」です。言葉として聞いたことがあっても、具体的な攻撃手法や危険性についてはわからない、という方も多いのではないでしょうか。

この記事では、サプライチェーン攻撃の概要や種類、被害事例の解説と併せて、具体的な対策方法の一例を紹介します。

サプライチェーン攻撃とは

サプライチェーン攻撃とは、原材料の調達から販売までの一連の流れを指す「サプライチェーン」の特性を悪用したサイバー攻撃です。ターゲットとなる企業を直接狙うのではなく、より脆弱と見られる関係企業や団体、取引先を踏み台にして、最終的なターゲットへの侵入および攻撃を試みます。

たとえば、小規模ながらよく信頼されているソフトウェアのメーカーにまず侵入してから、つながりのある大企業になりすましメールを送り、添付ファイルからマルウェアに感染させ重要情報を盗み取る、といったことが考えられます。あるいは納品物にマルウェアを仕込んだり、関係会社用のリモートアクセス経路から直接サーバーに侵入したりと、サプライチェーンを利用した具体的な攻撃手法はさまざまです。

ターゲット企業からすると、通常業務の中でいつの間にか攻撃を受けているため、攻撃に気づかないケースも多々あります。不正アクセスやランサムウェア感染などのさまざまな被害に遭う可能性があるうえ、実害が出るまで気づきにくいという点も、サプライチェーン攻撃のやっかいな特徴の一つです。

「サプライチェーン攻撃」は情報セキュリティ10大脅威の一つ

サプライチェーン攻撃の被害は、世界的に増加し続けています。アメリカのSonatype社の調査結果によれば、オープンソースソフトウェアを対象としたサプライチェーン攻撃が2021年には1万2,000件を超えたとされ、前年比650%にもなり一気に注目が集まりました。

日本の情報処理推進機構（IPA）が公開する「情報セキュリティ１０大脅威2023」においても、組織部門で第2位に位置づけられ、ますます危険視されています。前年順位は3位、前々年順位は4位であり、年々脅威度は高まっているといえるでしょう。

同資料のなかでは、攻撃手口として「ソフトウェア開発元や MSP（マネージドサービスプロバイダ）等を攻撃し、標的を攻撃するための足掛かりとする」といった点も挙げられています。MSPは企業システムの運用・監視等を請け負う事業者のことであり、システム内でマルウェアを容易に拡散させられるといった可能性が指摘されています。

サプライチェーンという在り方は、今日の企業活動において欠かせないものとなっています。自組織のみでの対策には限界があるため、関係企業・団体が一体となって、サプライチェーンリスク対策を行うことが必要です。

サプライチェーン攻撃の主目的と攻撃対象

サプライチェーン攻撃の目的は大企業等の機密情報や身代金である場合が多いですが、そのための足がかりとして、むしろ中小企業がターゲットにされやすいということを理解する必要があります。

攻撃者にとって、大企業の機密情報などは非常に価値があります。しかし、多くの場合セキュリティ対策がしっかりされており、容易に侵入したり情報を窃取したりできません。そこで、ターゲットとなる大企業に関連する企業・組織のなかで、十分なセキュリティ対策が実施されていない企業・組織を足がかりとします。

このことから、最終的なターゲットとなりやすい大企業も、踏み台とされやすい中小企業も、それぞれの立場から適切なセキュリティ対策を行う必要があるというわけです。

サプライチェーン攻撃によるリスク

サプライチェーン攻撃は企業・組織間のつながりを悪用し、攻撃の踏み台とするサイバー攻撃の総称です。攻撃を受けた場合のリスクとしては、次のようなものが考えられます。

不正アクセス
マルウェア感染
情報漏えい
金銭被害（不正送金、身代金の支払い）
企業としての信用の失墜

サプライチェーン攻撃で踏み台とされた企業は、マルウェア感染や不正アクセスにより、情報漏えいなどの被害を受ける可能性が考えられます。また、最終的なターゲットとされた企業では、ランサムウェアによって重要情報を人質に取られ身代金を要求されたり、不正送金の被害にあったりと金銭的な被害に遭う可能性が考えられます。

どのような企業もサプライチェーン攻撃を受けてしまうと、社会的な信用や取引先からの信用を失うことにつながります。攻撃の踏み台とされるだけであっても、自社のちょっとした対策不足から、被害はサプライチェーン全体まで広がってしまうかもしれません。攻撃のターゲットとされる前に、いちはやく可能な取り組みをはじめていきましょう。

サプライチェーン攻撃の種類と手法

サプライチェーン攻撃は、以下3つの種類に大別することができます。それぞれの手法・特徴について一つずつ見ていきましょう。

ビジネスサプライチェーン攻撃

ビジネスサプライチェーンは、最終的なターゲットとなる企業の関連組織や子会社、取引先などを足がかりとし、業務上のつながりを利用してターゲットを攻撃する手法です。ターゲットに対する侵入の常套手段化されているため、特に注意が必要です。

攻撃者は子会社や取引先などのネットワークに侵入し、同じネットワークを介してターゲット企業へ侵入したり、取引先を装ってマルウェアなどを添付したメールを送付したりします。このとき、情報を盗むだけでなくランサムウェアに感染させ、サプライチェーンが稼働しないようにするケースも見られます。

ビジネスサプライチェーン攻撃は自社のセキュリティ対策だけでは防ぎきれません。サプライチェーン全体で対策を行い、攻撃者のつけいる隙を協力して塞いでいく必要があります。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃は、最終的なターゲットとなる企業が利用するソフトウェアに対して不正プログラムを仕込み、マルウェア感染などを狙う手法です。現代のサイバー攻撃はソフトウェアを介して行われることがほとんどであるため、サプライチェーン攻撃においても、この手法が占める割合はかなり高くなっています。

ビジネスサプライチェーン攻撃の手法などと組み合わせて実行されることもあります。取引先が作成するソフトウェアのパッチなどにマルウェアを埋め込めば、回避困難な攻撃となるでしょう。

また、パッチや更新プログラムにマルウェアが埋め込まれていた場合、ターゲット企業内で一気に拡がり、全社的にマルウェア感染してしまう恐れもあります。

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃は、システム開発の委託先やシステム運用の委託先（MSP）などのサービス事業者に侵入し、サービスを通じて顧客（ターゲット企業）を攻撃する手法です。顧客情報などを委託している企業が攻撃を受けた場合、顧客情報の流出などのリスクが考えられます。

それらを人質として、金銭を要求するケースもあるでしょう。また、社内システムを運用しているMSPに侵入されれば、ランサムウェアなどを簡単に仕込むことができてしまいます。実際に2021年にはMSPの特性を悪用され、対象サービスを利用する最大1,500社の企業がランサムウェアの影響を受けたという例も知られています。

サプライチェーン攻撃への効果的な対策

サプライチェーン攻撃に対しては、自社でしっかりとセキュリティ対策を実施することはもちろん、関係各社との連携も重要になります。自社で行なうべきセキュリティ対策としては、次のようなものが挙げられます。

OS、ソフトウェアを常に最新にする
セキュリティソフトを導入する
パスワード管理を徹底する
多要素認証の仕組みを導入する
社員へのセキュリティ教育を実施する

OSやソフトウェアには、潜在的にセキュリティの弱い部分である脆弱性が潜んでいます。利用するなかで定期的にアップデートの通知などが届くと思いますが、それらは脆弱性への対応をしている場合がほとんどです。OSやソフトウェアを最新にし、脆弱性をなくすことでさまざまなサイバー攻撃の対象になりにくくなります。

また、セキュリティソフトを導入してマルウェアなどをすぐに検知できる状態にしておくことも重要です。昔は「ウイルス対策ソフト」と呼ばれていた通り、ウイルス対策のために導入していましたが、近年では統合的なセキュリティ対策が実施できるため、必ず導入して最新の状態に保つようにしましょう。

その他には、パスワード管理の徹底と社員へのセキュリティ教育も重要です。近年はクラウドサービスの普及などもあり、個人で管理すべきパスワードの数が膨大になっています。管理が煩雑になるために脆弱なパスワードを設定していたり、使いまわしていたりするケースも多いため、二段階認証・多要素認証などの導入も視野に入れて検討しましょう。

特に、多要素認証の導入は効果的です。サプライチェーン攻撃は、多くの場合リモートアクセス経路からの侵入や、パソコン・サーバーへの不正アクセスを伴います。パスワードだけの認証では攻撃者に突破されやすいため、VPN装置や、パソコン、サーバーなどの利用に際して、ICカードや生体情報などパスワード以外の情報も求める仕組みにしておくと、被害防止に大きな効果があります。

また、これらのシステム的な対策はもちろんですが、ビジネスサプライチェーン攻撃に代表されるように、攻撃者は人の意識の隙を狙っています。。メールを介した攻撃手法などの特徴を理解し、普段の業務の中から社員一人ひとりがセキュリティ意識を高く持つことが重要です。、定期的な社内教育など、人的な対策もしっかりと行っていきましょう。

このような自社内のセキュリティ対策を実施した上で、グループ会社や取引先などのセキュリティ対策状況について、定期的にチェックを行いましょう。サプライチェーンリスク対策は、サプライチェーン全体で行わなければ効果がありません。自業界のセキュリティガイドラインなどを参照し、求められる対策がきちんと行われているか相互に確認することで、全体のセキュリティの底上げに繋がってきます。

新たな取引先と契約する際には、セキュリティ対策の内容を明確にして契約を結ぶといった取り組みを行うことも有効です。

また脅威が増している現在、どれだけ注意をしていても、サプライチェーン攻撃を受ける可能性はゼロにはなりません。万が一攻撃を受けてしまった際に被害を抑えたり、業務が停止する時間を短縮したりできる仕組みや体制を用意しておくことも重要です。基幹系サーバーの監視やログ取得、バックアップといったシステムの運用は、怠らないようにしましょう。

サプライチェーン攻撃の事例

サプライチェーン攻撃の被害は世界的に拡大しており、日本でも多くの事例が報告されています。業種・業界を問わず幅広い企業や組織が被害を受けているため、過去事例から攻撃プロセスやセキュリティ課題の理解を深めて、自社　内の対策に活かすことが大切です。

ソフトウェアの自動更新を悪用、ユーザーにマルウェアが配信される

マザーボードなどを製造・販売する企業がサプライチェーン攻撃を受けたこの事例では、ソフトウェアの自動更新を悪用され、ユーザーにマルウェアが配信されるという被害が発生しました。多くのユーザーは正規の企業が配信するアップデートであるためなんの疑いもなく実行してしまい、膨大な数のマルウェアが感染拡大しました。

この事例による影響を受けた人数は世界規模で100万人を超すといわれています。ロシア・ヨーロッパ・アメリカに加え、日本のユーザーも少なからず影響を受けています。またこの攻撃は2019年1月に発見されましたが、2018年6月～11月にかけて行われており、巧妙な手口で攻撃が隠されていたため、長期間にわたって発覚を免れていました。