サプライチェーン攻撃のセキュリティ対策について|攻撃の手法やリスクを解説

サプライチェーン攻撃

近年はサプライチェーンのプロセスを狙った「サプライチェーン攻撃」が増加しています。IPA(独立行政法人 情報処理推進機構)より毎年発表される「情報セキュリティ10大脅威」2023年版ではサプライチェーン攻撃が2位となり、近年連続して上位にランクインしています。

こうした背景から、企業はサプライチェーン攻撃への対策を具体的に検討する必要があります。本記事ではサプライチェーン攻撃の基本や被害事例、必要なセキュリティ対策などを解説します。

目次

サプライチェーン攻撃の概要

サプライチェーン攻撃への対策を考えるには、まずその詳細を正確に理解する必要があります。以下では、サプライチェーン攻撃の基本的概要を解説します。

サプライチェーン攻撃とはサイバー攻撃の一種

サプライチェーン攻撃とは、近年増加しているサイバー攻撃の一種です。「サプライチェーン」には「供給の連鎖」という意味があり、事業においては原材料の調達・生産・加工・流通・販売までの一連の流れを指します。サプライチェーン攻撃はこの企業システムを利用し、サイバー攻撃を仕掛けて被害を与える手法として知られています。

サプライチェーン攻撃の対象になりやすい企業とは?

サプライチェーン攻撃では、セキュリティレベルの低い中小企業などが狙われやすい傾向にあります。セキュリティ体制が整っていない中小企業への攻撃を足がかりとして、本命である大手企業に侵入するのがサプライチェーン攻撃の主な目的です。

中小企業を対象としたサプライチェーン攻撃をきっかけとして、関連会社に大きな損害が発生する可能性があるため、サプライチェーンに属する企業は、企業規模に関わらず自社が狙われる可能性を考慮して、セキュリティ対策を実施していく必要があります。

サプライチェーン攻撃の手法について

サプライチェーン攻撃はさまざまな手法で実施されています。サプライチェーン攻撃への対策を練るには、各攻撃方法の特徴や脅威を把握することが重要です。以下では、サプライチェーン攻撃の主な手法を紹介します。

アイランドホッピング攻撃

アイランドホッピング攻撃とは、セキュリティ体制が整っていない関連企業を攻撃して、大手企業に侵入する攻撃方法を指します。関連企業や取引先など、多くの企業がターゲットになることから、被害が拡大しやすいリスクがあります。

セキュリティの脆弱性を放置している企業などが攻撃されるため、他企業がセキュリティを向上させても対策できないケースも多いです。セキュリティの甘さを突いたサプライチェーン攻撃は、「ビジネスサプライチェーン攻撃」や「グループサプライチェーン攻撃」とも呼ばれます。

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃とは、サービスを提供する事業者をターゲットにした攻撃方法です。企業が使用しているサービスの提供元を攻撃し、そこから目標の企業に侵入するケースが該当します。サーバーの乗っ取りや不正アクセスによる情報漏洩など、さまざまなリスクにつながる可能性が懸念されています。

使用しているサービスのセキュリティレベルを確認し、リスクの有無を判断する必要があります。「デジタルサプライチェーン攻撃」とも呼ばれるこの手法は、事業に多くのサービスが欠かせない現代において脅威となっています。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃とは、提供前のソフトウェアにマルウェアを仕込む攻撃方法です。ソフトウェアの開発、製造、提供のときに攻撃を受けるため、企業は内包されているリスクに気づかずに利用してしまいます。事前に防ぐのが難しく、気づいたときにはマルウェアに感染して情報が抜かれてしまっているケースも多いです。

ソフトウェアだけでなく、アップデートのプログラムなどに侵入するケースもありますので注意が必要です。

サプライチェーン攻撃の被害事例

サプライチェーン攻撃を通じて、すでに多くの企業が被害に遭っています。被害事例を参考に対策や脅威の可能性を考えられるでしょう。以下では、サプライチェーン攻撃の被害事例を紹介します。

「CCleaner」の被害事例

「CCleaner」はウイルス対策ソフトウェアメーカー「Avast Software」の傘下である、Piriform製のシステムクリーナーソフトです。この「CCleaner」にマルウェアが仕込まれ、多くの企業に影響が出ました。攻撃の対象は日本・台湾・アメリカなどの大手IT企業で、2017年の8月15日~9月15日の間に227万台ものパソコンに影響が発生したと報告されています。

「CCleaner」を使ってマルウェアに感染したユーザーに対しては、ソフトの削除やアップデートではなく、バックアップの復元やシステムイメージの再形成などを通して、隠れている可能性のあるマルウェアの完全な排除をするように勧告されました。

大阪急性期・総合医療センターの被害事例

大手総合病院、大阪急性期・総合医療センターでは2022年に、サプライチェーン攻撃を受けました。医療センターに給食を提供していた事業者に攻撃し、そこから病院への侵入とランサムウェアによる攻撃を実行しました。結果的に基幹サーバー、電子カルテシステム関連のサーバー、パソコンなど約1,300台のファイルが暗号化され、使えない状態に陥りました。

病院には暗号化を解除する条件として身代金が要求され、その対応に悩まされました。攻撃の最中は緊急時以外の手術・外来診療が停止となり、1日で1,000名の患者に影響が出ました。

ベネッセの被害事例

大手学習塾グループ、ベネッセもサプライチェーン攻撃によって大きな被害を受けました。委託先の従業員が4,858万人もの個人情報を持ち出し、名簿業者に売却しています。顧客情報データベースにはアクセス制限機能があり、情報流出防止のための施策が実行されていました。

しかし、スマートフォンの新しいデータ交換規格に対応できず、犯行を止められなかったことが原因となっています。情報が流出した顧客には、登録していない会社からDMが届くようになるなどの被害が発生しています。

トヨタの被害事例

トヨタ自動車のサプライチェーンであるプレス工業に、マルウェアが感染した事例です。このサプライチェーン攻撃によってトヨタの14工場の28ラインが停止し、グループ会社の日野自動車とダイハツ工業が同日の一部生産を見合わせました。マルウェアに感染した企業には脅迫メッセージが届いたことから、身代金要求型の事例であることが分かります。

サプライチェーンを構築する1社の被害によって、結果的に約13,000台の生産を見送る事態にまで発展しました。

サプライチェーン攻撃へのセキュリティ対策

このように影響範囲が広い傾向があるサプライチェーン攻撃ですが、対抗するには相応のセキュリティ対策を講じる必要があります。以下では、サプライチェーン攻撃への対策について解説します。

まずは自社のセキュリティ環境を正確に把握する

サプライチェーン攻撃への対策を進めるうえでまず必要なことは、自社のセキュリティ環境を把握することです。脆弱性はないか、必要なセキュリティ環境を満たしているかなど、網羅的に確認することが重要です。セキュリティ診断を実施し、問題を可視化するのが良いでしょう。自社のみで問題を把握することが困難な場合には、セキュリティ診断を提供している外部ベンダーに委託しましょう。

セキュリティ対策を考案・実行する

自社の問題点を把握したうえで、具体的なセキュリティ対策を考案して実行します。昨今はネットワークやサーバーの侵入口への対策に加えて、侵入後のリスクにも対応する多層防御の考えが重要視されています。侵入させないための対策だけでなく、万が一侵入されても被害が拡大しない体制を整えることや、万が一のインシデント発生時に備えて調査委託先候補をあらかじめ選定しておくことも必要です。

さらに、インシデントの早期解決ができるようにあらかじめ調査委託先候補とコンタクトしておくのも、良い手法と言えます。一例として、インシデント発生時の打ち合わせを軽減し速やかに調査開始するための事前準備を目的とした、下記のようなサービスがあげられます。

関連企業との協力体制を構築する

サプライチェーン関連企業にもセキュリティの問題を共有し、対策の強化を依頼することが必要です。取引先企業の選定や外部サービスを利用する際のサービス選定も慎重に行う必要があります。これらに関する社内規定の整備も必須です。

関連企業が攻撃を許せば、自社のセキュリティ対策が無駄になる可能性も考えられます。サプライチェーン全体でセキュリティ意識を高め、具体的な施策を考案・共有することが必要です。事前に関連企業とセキュリティの契約を結び、責任の範囲を明確にするのも施策の一環です。

社内でセキュリティに対する意識を向上させる

サプライチェーン攻撃では、従業員の行動によって重大なインシデントを招くケースもあります。普段からセキュリティ意識を高め、それぞれの従業員が適切な対応をとれるように備えるのも対策の1つです。万が一サプライチェーン攻撃による問題が発生した場合の対処法や、報告義務を周知させてその後の対応をしやすくするのも重要です。

従業員のなかには、サプライチェーン攻撃の概要や脅威を正確に把握できていない人もいるでしょう。企業が積極的にセキュリティ教育の機会を設けて、従業員のセキュリティリテラシーの向上に努めるのもポイントです。

サプライチェーン攻撃の最新情報を収集する

サプライチェーン攻撃をはじめとしたサイバー攻撃は、年々被害を拡大させています。企業側も適切な対策ができるように、最新情報を収集してセキュリティのアップデートを進める必要があります。専門の部署や担当者を設置し、サプライチェーン攻撃への対策を継続する環境整備も重要です。

サプライチェーン攻撃は一過性の脅威ではなく、今後も続いていくリスクだと考えられます。サプライチェーン攻撃およびサイバー攻撃に対応する体制を構築し、安全性を確保し続ける意識が必要です。

サプライチェーン攻撃へのセキュリティを怠った場合のリスク

サプライチェーン攻撃への対策を怠ることは、直接的な被害のみならず多くのリスクを抱えることに繋がります。以下では、サプライチェーン攻撃への対策が不十分な場合に懸念されるリスクを解説します。

攻撃の加害者になる可能性がある

サプライチェーン攻撃の被害に遭うと、自社の情報を使ってさまざまな攻撃が開始される可能性があります。攻撃の被害者から加害者になってしまい、損害賠償などのリスクを負うケースもあり得ます。

関連企業からの信頼を損なう

サプライチェーン攻撃の被害に遭ったことで、関連企業からの信頼を失う可能性もあります。自社が原因となって攻撃が関連企業に及んだ場合は、責任を追及され取引が停止される状況も考えられます。仮にセキュリティ対策をしていても、それがサプライチェーン攻撃を止めるレベルでなかった場合には、「セキュリティ意識が低い会社」とイいうメージを持たれる可能性があります。

プロジェクトの遅延や中止につながる

サプライチェーン攻撃は、プロジェクトの遅延や中止につながるリスクもあります。問題解決に時間がかかれば、プロジェクトの計画を一から見直す必要も出てくるでしょう。トヨタの被害事例を参考にすると、1社が攻撃されただけでも、甚大な被害が発生するケースがあると分かります。

まとめ

サプライチェーン攻撃は、企業にとっての新たな脅威として認識されています。サプライチェーンを構成するすべての企業が攻撃対象になり得るため、「自社は大丈夫」という認識を捨て去り、万全な準備を進めておく必要があります。この機会にサプライチェーン攻撃の基本やこれまでの被害事例を参考に、対策すべきポイントをチェックしてみましょう。

サプライチェーン攻撃およびサイバー攻撃全般に対処するには、専門サービスへの外部委託がおすすめです「Proactive Defense」ならセキュリティ対策と予防から、実際に問題が発生した際の事故対応まで、一気通貫でお任せいただけます。まずは「Proactive Defense」の詳細を、ぜひこの機会にご覧ください。

  • URLをコピーしました!
目次