現在、世界中で被害が急増しており、ビジネスの現場で注目が集まっている「サプライチェーン攻撃」。事業者間のつながりを悪用して大企業・行政機関に攻撃を加えるサイバー攻撃の手法のひとつです。
サプライチェーン攻撃は、社会的影響の大きい情報セキュリティ上の脅威を選出して有権者が審議・投票を行うIPAの「情報セキュリティ10大脅威」※ の組織向け脅威では、2019年から2025年まで7年連続で選出されています。2023年・2024年・2025年には2位にランクインしました。
※「情報セキュリティ10大脅威」(https://www.ipa.go.jp/security/10threats/index.html)
サプライチェーン攻撃のリスクを回避するため、企業が取引先にセキュリティ体制の開示を求めるケースも今後はますます一般化していくでしょう。この記事では、そんなサプライチェーン攻撃について、攻撃のメカニズムや被害のタイプ、企業に求められている知見・対策を紹介します。
「サプライチェーン」は、原材料・部品を調達して製品を製造・販売するまでの一連の流れのことです。通常は企業単体ではなく、取引先・子会社・関連会社といったさまざまな事業者との連携によって成り立っています。
「サプライチェーン攻撃」は、このつながりの脆弱な部分を狙って、上流に位置するターゲット組織を攻撃する手法です。
通常、大企業や行政機関のシステムは堅牢なセキュリティが築かれており、内部ネットワークへの侵入は困難です。しかし取引先の中小企業や子会社のなかには、ネットワーク機器やセキュリティが古いままなど、十分な対策が講じられていないケースがあります。
昨今は、テレワークの普及やM&Aの増加といった要因により、サプライチェーンの一部において、サイバーセキュリティ上の脆弱性が顕在化しています。サプライチェーン攻撃は、このような比較的セキュリティ対策が弱いネットワークを利用することで、検知されることなくターゲット組織の内部に侵入し、情報流出や業務・サービスの停滞などにより、多大な損害を発生させます。
サプライチェーン攻撃には、攻撃の起点の違いから「ソフトウェア型」「サービス型」「ビジネス型」の3タイプがあり、最初のアタックが異なります。
「ソフトウェアサプライチェーン攻撃」は、オープンソースコードやシステム管理ツール、アプリなどを介してユーザーを攻撃する手法です。ソフトウェアの製造・提供プロセスに侵入して不正コードを混入させることで、ターゲット組織のネットワークを攻撃します。
ある海外企業は、自社ツールにランサムウェアが仕掛けられていることを知らず、ユーザーに提供していたことが発覚。ユーザー情報を窃取されただけでなく、身代金まで要求される事態となりました。
「サービスサプライチェーン攻撃」は、サービス事業者を経由して顧客を攻撃する手法です。2017年の事例では、ネットワークの管理・運用の委託を受けたMSP(マネージドサービスプロバイダ)事業者が攻撃され、さまざまな業界にまたがる顧客企業の機密情報が盗み出されています。
最後の「ビジネスサプライチェーン攻撃」は、周辺組織に侵入してターゲットを攻撃する手法です。2023年には給食事業者のデータセンターを経由して、VPNで接続している医療施設が標的となりました。また子会社・取引先だけでなく、業務委託先が狙われたケースや、海外の子会社を経由して国内の親会社に侵入する事例もあります。
企業がサプライチェーン攻撃に備えるためには、「セキュリティ対策用のソフトウェアを導入」「安全性の高いソフトウェアやツールを利用」「セキュリティポリシーを策定」「従業員のリスクリテラシーを高める」といった取り組みが欠かせません。
ソフトウェアや従業員が利用する端末や、ネットワーク機器のアップデートを怠らず、常に最新の状態を保つこともマルウェア・不正アクセスの予防につながるでしょう。加えて、納品物や提供するソフトウェアにマルウェアが仕込まれていないかも随時チェックする必要があります。
社内だけでなく、周辺組織・取引先・サービス提供事業者のセキュリティ体制への気配りも重要な対策のひとつです。社内外のセキュリティ状況を定期的にチェックするとともに、最新情報を共有し合うことで、サプライチェーンの堅牢性は高まるでしょう。
十分なセキュリティ対策を実施できているかをチェックするうえで役立つのが、サイバーセキュリティのフレームワークです。アメリカで主流のNIST CSFでは、組織のセキュリティ上の弱点を確認するための項目が網羅されています。
経済産業省も、2026年度の制度開始をめざして「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を推進中です。対策水準が可視化されることで、セキュリティ対策の方針決定が容易かつ適切なものになるでしょう。
ソルクシーズは、お客様の課題に応じたオーダーメイド型のセキュリティコンサルティングを行っています。各種認証取得、社内のマネジメントサイクル構築など、さまざまなニーズに対応しておりますので、パートナー企業をお探しの方はぜひお問い合わせください。
