サプライチェーン攻撃とは?企業を対象とした連鎖的な攻撃の概要と対策を解説

サプライチェーン攻撃とは?企業を対象とした連鎖的な攻撃の概要と対策を解説

サイバー攻撃は世界的に広がっていて、その中でもサプライチェーン攻撃と呼ばれるものが増えています。これは企業間のつながり、つまり「サプライチェーン」を悪用したサイバー攻撃です。どのような業界でも発生していて、今や他人事ではありません。

今回は、サプライチェーン攻撃の概要や手法、攻撃された場合の被害について解説し、被害を最小限に抑えるための対策についても解説します。

サプライチェーン攻撃とは

サプライチェーン攻撃といわれても、どのような攻撃であるのかイメージできないかもしれません。まずはその概要について理解を深めておきましょう。

サプライチェーン攻撃の基礎知識

サプライチェーン攻撃とは、企業や組織が業務上繋がっていることを悪用して、連鎖的に攻撃を繰り返すサイバー攻撃を指します。例えば、1つ目の企業に侵入してアクセス権を不正に入手し、その環境から2つ目の企業に不正アクセスするなどです。関連会社や子会社・親会社など、業務的に関係がある企業へと次々にアクセスしていきます。

また、近年は新しいサプライチェーン攻撃が生まれ、IoT機器やソフトウェア、アプリケーションなどにマルウェアを組み込む方法が登場しています。このような製品を流通させることで、利用している数多くのユーザが攻撃の対象となってしまうため、今まで以上に問題視されるようになってきました。

サプライチェーン攻撃の目的

サプライチェーン攻撃の主な目的は、本来は侵入が難しい企業から機密情報を窃取する、データを暗号化するなどして金銭を要求する、といった2つが考えられます。

どちらの場合でも、根本的には金銭を得ることが目的だと考えられます。機密情報の窃取に成功すれば、その内容を秘密裏に売却することで、まとまった金額を得られるでしょう。また、データを暗号化して身代金を請求すれば、直接現金を得ることが可能です、

なお、サイバー攻撃の中には、業務を提示させることによって損害を与えるものが含まれます。ただ、サプライチェーン攻撃については、そのような目的ではないと理解しましょう。

サプライチェーン攻撃の代表的な3つの手法

サプライチェーン攻撃の手法は大きく分けて3つに分類できます。

  • 関連企業やグループ会社などを踏み台とする(ビジネスサプライチェーン攻撃)
  • 開発中のソフトウェアにマルウェアを仕込む(ソフトウェアサプライチェーン攻撃)
  • サービス提供元を介して間接的に侵入する(サービスサプライチェーン攻撃)

詳細をご説明いたします。

関連企業やグループ会社などを踏み台とする(ビジネスサプライチェーン攻撃)

代表的な攻撃手法は、関連会社やグループ会社を踏み台にして次々に不正アクセスを繰り返し、最終的に大企業へとアクセスするものです。「ビジネスサプライチェーン攻撃」と呼ばれ、業務上の繋がりがある企業を経由して、最終的な標的となる大企業への不正アクセスを目指します。今となっては、サプライチェーン攻撃の常套手段であるため、まずはこれを防ぐことから考えなければなりません。

このような攻撃が成り立つ背景には、中小企業は大企業よりもセキュリティが手薄であることが挙げられます。直接、大企業を攻撃してもセキュリティが強固で不正アクセスはできないため、サプライチェーンを活用して内部からのアクセスを目指す流れです。大企業側もサプライチェーンからのアクセスであるため、不正アクセスであることに気づきにくくなっています。

開発中のソフトウェアにマルウェアを仕込む(ソフトウェアサプライチェーン攻撃)

開発中のソフトウェアにマルウェアを組み込み、それを利用した個人や組織に対して攻撃を加えるものです。基本的には、ソフトウェア開発ベンダーがマルウェアを組み込むことはなく、製造や提供の過程で攻撃者が悪意を持ってマルウェアを組み込んでいます。ソフトウェアを踏み台とした攻撃であるため「ソフトウェアサプライチェーン攻撃」と呼ばれるものです。

なお、このような攻撃はどのようなソフトウェアでも起こり得ます。例えば、オープンソースで開発されているソフトウェアでも、実績のあるベンダーが開発しているソフトウェアでも不正に組み込まれる可能性はあるでしょう。

サービス提供元を介して間接的に侵入する(サービスサプライチェーン攻撃)

多くの人がアクセスするサービスベンダーを攻撃し、そのサービスを通じて外部に影響を与える攻撃です。例えば、マネージドサービスプロバイダの管理システムを攻撃して、管理対象となっているシステム全体に攻撃を加えます。そうすることで、それぞれのシステムを利用しているユーザへ間接的ですが攻撃できるという仕組みです。

このような攻撃が発生してしまうと、関係者に甚大な被害が及んでしまいます。そのため、特にオンラインでサービスを提供するベンダーは、サプライチェーン攻撃を強く警戒するようになりました。とはいえ、近年でもサービスサプライチェーン攻撃は確認されているため、ベンダーは攻撃に備えておかなければなりません。

サプライチェーン攻撃により考えられる被害例

サプライチェーン攻撃を受けてしまうと、さまざまな被害が発生すると考えられます。それらの中でも、代表的な例を挙げると以下のとおりです。

  • 機密情報への不正アクセス
  • 事業の停止
  • 取引先などへの被害拡大

内容についてご説明いたします。

機密情報への不正アクセス

外部から不正アクセスされることによって、機密情報が攻撃者にさらされたり不正に取得されたりする可能性があります。一般的に、社内で管理する情報の多くは社外秘であり、それらの中でも特に重要なものは機密情報です。厳重な取り扱いが求められていますが、サプライチェーン攻撃により不正アクセスされると、一瞬のうちに漏洩してしまう可能性があります。

不正アクセスにより情報が漏洩すると、さらなる問題が発生することになりかねません。例えば、個人情報が漏洩してしまうと、社会的な問題となり信用力が失墜します。売上に大きな影響が出ると考えられるでしょう。また、マーケティングに関する機密情報が漏洩すると、競合他社がそれを上回る戦略を立ててくるかもしれません。不正アクセスが問題を引き起こし、その問題がさらなる課題を生み出す可能性があります。

事業の停止

サプライチェーン攻撃によりシステムなどに被害があると、事業が停止してしまう可能性があります。例えば、大量の端末に不正アクセスが確認されたならば、端末の検査が完了するまで利用者は業務に従事できません。また、サービスサプライチェーン攻撃のようにインフラ基盤が攻撃の対象になると、問題が解決されるまで事業そのものが停止されると考えられます。

事業が停止してしまうと、金銭的にも信用力的にも大きな損失を受けてしまいます。場合によっては、サプライチェーン攻撃が原因となり、赤字に転落したり倒産したりするかもしれません。短期的な被害だけではなく、中長期的な被害になりかねないと認識しましょう。

取引先などへの被害拡大

ビジネスサプライチェーン攻撃の場合、サプライチェーンで接続された別の企業へ攻撃を仕掛ける可能性があります。つまり、攻撃の踏み台とされてしまい、被害を拡大させることになりかねません。本来は被害者でありながら、サプライチェーン攻撃を拡大させてしまったという観点で、加害者になってしまいます。

このような状況に陥ると、攻撃を受けた側でも社会的にバッシングを受けるかもしれません。また、取引先との関係が悪化することも考えられるでしょう。被害を拡大させてしまうことで、二次的な被害者になることが考えられます。

サプライチェーン攻撃に備える5つの対策

サプライチェーン攻撃に備えるためにも、下記5つの対策を取り入れていきましょう。

  • 最新の攻撃手法をキャッチアップ
  • 自社のセキュリティ対策を強化
  • サプライヤとセキュリティ契約を結ぶ
  • 社内のITセキュリティ教育
  • セキュリティソリューションの導入

対策を順にご説明いたします。

最新の攻撃手法をキャッチアップ

サプライチェーン攻撃の方法は、年々新しいものに進化を続けています。攻撃の方法によって、どのような対策をすべきかが変化するため、最新の情報をキャッチアップしましょう。新しい攻撃方法が観測されたならば、それを踏まえて自分たちがやるべき対策を考えなければなりません。

ただ、以下で触れるセキュリティソリューションを導入していると、このような対策はおおむね自動的に提供されます。最新の攻撃にもスムーズに対策できるようになるため、もし最新情報のキャッチアップが苦手ならば、そのようなセキュリティ対策の導入も良いでしょう。

自社のセキュリティ対策を強化

外部からの攻撃を防ぐために、自社のセキュリティ対策を強固なものにすることが重要です。サプライチェーン攻撃の対象となる背景には、セキュリティが手薄なことが挙げられるため、対策していれば攻撃を防ぎやすくなります。

セキュリティを手厚いものにするためには、OSやソフトウェアのアップデート、必要なセキュリティ対策の導入などが考えられます。社内のIT状況によって、どのような対策方法が良いかは変化するため、専門家の意見を踏まえて導入すると良いでしょう。

サプライヤとセキュリティ契約を結ぶ

サプライチェーンに含まれる企業と、事前にセキュリティ契約を結んでおくことも考えましょう。この契約は、万が一サプライチェーン攻撃が発生した場合に、どのように対応するかを定めるものです。また、それぞれがどこまで責任を負うかなども事前に決定しておきます。

契約を結んでおくことで、万が一サプライチェーン攻撃の対象となっても、それぞれが自分の役割をスムーズに果たすことが可能です。契約がなければ、責任のなすりつけ合いになり物事が進展しない可能性があるため、事前に取り交わしておくことが望ましいでしょう。

社内のITセキュリティ教育

人的なセキュリティインシデントを可能な限り防ぐため、社内のIT教育に力を入れましょう。例えば、不審なアドレスから送られてきたメールのURLをクリックしないように周知徹底します。そうすることで、人的ミスによるマルウェアの感染など、セキュリティインシデントを防ぎやすくなるためからです。

意外にも、セキュリティインシデントは人的なミスが原因となって発生します。セキュリティ教育が徹底されていないことで、マルウェアなどに感染してしまい、そこから被害が拡大してしまう流れです。被害を断ち切れるようになるためにも、人材の教育には力を入れましょう。

セキュリティ対策の導入

ソフトウェア的にサプライチェーン攻撃を防ぐために、セキュリティ対策の導入が必要です。セキュリティーソフトはもちろん、UTMなどネットワーク全体を保護する機器の導入も検討しなければなりません。何かしら1つを導入すれば良いというわけではなく、複数を組み合わせることで、よりサプライチェーン攻撃に強い体制が整います。

なお、それぞれのセキュリティ対策は専門とする分野があるため、とにかく多くの種類を導入すれば良いというわけではありません。網羅的に導入することが重要であるため、社内の担当者や導入ベンダーの意見を伺いながら決定しましょう。

サプライチェーン攻撃に対応するセキュリティ対策ならPCホスピタルへご相談ください

もし、どのような製品を導入すれば良いかお悩みであれば、是非ともPCホスピタルへご相談ください。
セキュリティ対策のプロが、皆さんのIT環境を踏まえて、どのようなセキュリティ対策が必要であるのか提案します。社内での検討に行き詰まり、どうすれば良いのか判断できなくなった際は、お気軽にお問い合わせください。

PCホスピタルのサプライチェーン攻撃セキュリティ対策サポートについて詳細を確認する
上部へ
戻る
出張地域・近隣店舗を確認する連絡先に追加する
上部へ
戻る