サプライチェーン攻撃とは?
近年サプライチェーン攻撃が企業にとって大きな脅威となっています。事業は、サプライチェーンのなかで取引業者、関連会社などと連携することでなり立っていますが、そういったサプライチェーンの脆弱性を狙ってくるのがサプライチェーン攻撃です。企業は自社だけでなくサプライチェーンを含めたセキュリティ対策を考えなければなりません。そこで今回はサプライチェーン攻撃に注目し、事例と対策を紹介します。
サプライチェーン攻撃とは
サプライチェーンは、企業が取引業者、関連会社などと連携して行う事業のプロセスで、製造業であれば、原料を調達して、商品が製造され、物流業者によって卸・小売業者に送られ、消費者に届くまでの一連の流れになります。
サプライチェーン攻撃とは、サプライチェーンの中でセキュリティ対策が脆弱なところを狙ったサイバー攻撃で、近年新たなサイバー攻撃の手口として脅威となっています。
サプライチェーン攻撃の種類
サプライチェーン攻撃の手口は、現在大きく分けて下記の2種類となっています。
- ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃とは、ソフトウェアやIT機器の製造といったサプライチェーンの中の製造プロセスの時点で、マルウェアやバックドアを仕込む手口です。
- 関連企業・取引先を経由したサプライチェーン攻撃
関連企業・取引先を経由したサプライチェーン攻撃とは、企業が連携する関連会社や取引先などの中で、セキュリティ対策が脆弱な企業を攻撃し、その企業を通して、ターゲットとする企業に攻撃する手口です。
注目されるサプライチェーン攻撃
サプライチェーン攻撃は、企業単独のセキュリティ対策だけでは、巧妙化するサイバー攻撃に対抗できないことが明らかになっています。この事態を重要な課題ととらえ、機構や省庁がサプライチェーン攻撃の動向を注視しています。
- 独立行政法人情報処理推進機構(IPA)
独立行政法人情報処理推進機構(IPA)が毎年公開する「情報セキュリティ10大脅威」では、サプライチェーンの弱点を悪用した攻撃が第4位の脅威としてあげられています。
- 経済産業省
経済産業省サイバーセキュリティ課では、昨今のサイバーセキュリティに係る状況のひとつとして、サイバー攻撃起点の変化をあげています。企業自体を攻撃するサイバー攻撃に加え、サプライチェーンの弱点を悪用した攻撃が加わり、海外拠点や取引先などの中でセキュリティが弱い組織が攻撃の拠点となり、そこを踏み台にして、侵入拡大を図る事例が増加している点を指摘しています。
サプライチェーン攻撃事例
ここではサプライチェーン攻撃の事例を紹介します。
- 取引先企業のメールサーバーがハッキングされた事例
最初に紹介するのは、サプライチェーンを通じた標的型攻撃メールによる、サプライチェーン攻撃事例です。A社では、UAT機器によってマルウェアが添付されたメールが100件検出され、調査の結果、取引先企業のメールサーバーがハッキングされ、A社のメールアドレスが漏えいし、請求書支払いなどのなりすましメールが複数のアドレスからA社に送付されていたことが判明しました。
- 海外拠点を通して日本の事業所を攻撃する事例
グローバル化が進み、海外に拠点を置く日本企業が増えていますが、海外拠点を通して日本の事業所が攻撃された事例があります。B社の海外子会社は日本国内の事業所とは異なるセキュリティ体制がとられていました。海外子会社のシステムには脆弱性があったため、サプライチェーン攻撃にシステムを乗っ取られ、そこを拠点として日本の事業所のシステムに侵入され、情報の窃取が実行されそうになりました。
サプライチェーン攻撃への対策
ここでは、企業に求められるサプライチェーン攻撃への対策を紹介します。
海外の子会社などを含めサイバーセキュリティ体制を整備する
グローバル化によって、海外進出や、グローバルなデータを効率的に活用するためのシステム統合が進んでいますが、海外の脆弱なシステムはサプライチェーン攻撃の対象となる可能性があります。企業は海外の子会社などを含めサイバーセキュリティ体制を整備することを計画的にすすめる必要があります。
サプライチェーンを共有する企業間の情報共有
企業は、システム調達に関わっているシステムベンダやセキュリティベンダにアドバイスを受け、重要なサプライチェーンを共有する企業間で、サプライチェーン攻撃の可能性がある場合には、スピーディーに情報共有ができる仕組みを構築しておくことが望ましいと考えられます。
サプライチェーン全体のサイバーセキュリティの強化
日本の産業構造の特徴は、原料を調達して、商品が製造され、物流業者によって卸・小売業者に送られ、消費者に届くまでの一連の流れであるサプライチェーンが、海外の事業者と連携し、国内に広く展開しているところです。
サプライチェーンが広く展開している特徴は、一方でシステムの脆弱性を狙うサプライチェーン攻撃の標的になりやすい一面があります。
つまり、自社のサイバーセキュリティ体制を強化するだけでなく、サプライチェーンを共有する事業者のセキュリティ対策を注視し、サプライチェーン全体のサイバーセキュリティの強化を目指すことが重要になります。
まとめ
サプライチェーンの中でセキュリティ対策が脆弱なところを狙ったサイバー攻撃であるサプライチェーン攻撃が企業にとって大きな脅威となっており、IPAが毎年公開する「情報セキュリティ10大脅威」では、サプライチェーンの弱点を悪用した攻撃が第4位の脅威としてあげられています。サプライチェーン攻撃への対策として、企業はサプライチェーン全体のサイバーセキュリティの強化を目指し、サプライチェーン攻撃の可能性がある場合には、スピーディーに情報共有ができる仕組みを構築しておくことが望ましいでしょう。
