【事例あり】サプライチェーン攻撃とは?最新動向や手口、対策方法を解説
2024.05.01投稿、2024.05.01更新
近年のサイバー攻撃で目立つのが、大手企業を目標にしたサプライチェーン攻撃です。ここ数年で被害件数が大きく増加しており、よく報道されるようになりました。
サプライチェーン攻撃が起こると、大手企業や公的組織にも影響がおよぶため、グループ全体で積極的に対策を行わなければなりません。より効果的な対策を行うためには、サプライチェーン攻撃の手口について理解する必要があります。
そこで今回は、サプライチェーン攻撃の概要、手口やその事例および対策を紹介します。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、企業のつながりを利用したサイバー攻撃のことです。グループ企業や取引先などを経由して、ターゲットとする大企業への攻撃を行います。普段からやりとりのある企業を経由しているので、攻撃者にとっては侵入しやすく、ターゲットは侵入に気づきにくいのが特徴です。
サプライチェーンとは
サプライチェーンとは、製品の原料・部品の仕入れから製造・販売・消費までの一連のつながりのことです。経済産業省では次のように定義しています。
“「サプライチェーンとは、商品の企画・開発から、原材料や部品などの調達、生産、在庫管理、配送、販売、消費までのプロセス全体を指し、商品が最終消費者に届くまでの『供給の連鎖』である」”
引用:経済産業省「令和3年版 通商白書」
攻撃する目的
サプライチェーン攻撃では多くの場合、中心となる大企業をターゲットに、そのサプライチェーンの一員である中小企業(サプライヤー)への攻撃が行われます。攻撃の目的は、以下のとおりです。
- 社内ネットワークへの不正アクセス
- 情報の窃取、漏洩、破棄、改ざん
- 情報への被害を原因とする事業停止
- 情報の身代金としての金銭の奪取
- ターゲット企業の社会的信用の失墜
不正アクセスについて詳しくは、以下の記事をご参照ください。
関連記事
不正アクセスとは?よくある被害例や効果的なセキュリティ対策の方法を解説
サプライチェーン攻撃の最新動向
サプライチェーン攻撃が近年増えている背景には、次のような事情があります。
サプライチェーン攻撃が増える背景
サプライチェーン攻撃が増えているのには、次のような背景があります。
- サプライヤーは攻撃しやすい
大企業はセキュリティ対策が厳格な一方で、中小企業はセキュリティ対策が甘い傾向がみられます。サプライヤーの多くは中小企業であるため、ターゲットの大企業を攻撃する足掛かりとして狙われやすいのです。
- サプライチェーン攻撃の影響力が流布
サプライチェーン攻撃の被害事例が多く報道されるようになり、サプライチェーン攻撃は効果のある手段だということが広く知られるようになりました。
- エンドポイントの増加
ここ数年は、テレワークが普及し、IoTの利用も増えています。これは、サイバー攻撃の入り口となるエンドポイントが増えているということです。そのためサプライチェーン攻撃も増えています。
- 攻撃しやすくなった
現在は、各種の脆弱性や攻撃方法などの情報およびサイバー攻撃用のツールが入手しやすくなっています。そのなかで、サプライチェーン攻撃も増えているのです。
以下の記事もあわせてご参照ください。
関連記事
リモートアクセス環境でのセキュリティリスクとは?対策や接続方法を紹介
関連記事
なぜエンドポイントセキュリティが重要?その理由や選び方などを紹介
サプライチェーン攻撃の最新動向
サプライチェーン攻撃の被害は年々増加しています。独立行政法人情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威」では、「サプライチェーンの弱点を悪用した攻撃」の順位が年々上がり、2023年には2位になっています。
| 年 |
順位 |
| 2019年から2021年 |
4位 |
| 2022年 |
3位 |
| 2023年 |
2位 |
| 2024年 |
2位 |
参照:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威」
サプライチェーン攻撃は、ゼロデイ攻撃やランサムウェア攻撃などのサイバー攻撃と組み合わせて大きな被害をもたらすことも多いため、企業にとっては大きな脅威です。
ゼロデイ攻撃やサイバー攻撃について詳しくは、以下の記事をご参照ください。
関連記事
【事例あり】ゼロデイ攻撃とは?仕組みや手口、対策方法を解説
サプライチェーン攻撃の手口
サプライチェーン攻撃の手口には次の3種類があります。
アイランドホッピング攻撃
取引先や子会社など、セキュリティ対策の甘い企業を経由してターゲットの社内ネットワークに侵入する手口で、サイバー攻撃が、島(企業)から島(企業)へと渡っていくように移動していきます。グループ内でいくつもの企業を移動し、攻撃していくことも多いです。
一般的にイメージされる「サプライチェーン攻撃」であり、「ビジネスサプライチェーン攻撃」「グループサプライチェーン攻撃」とも呼ばれています。
ソフトウェアサプライチェーン攻撃
配布・販売するソフトウェアにマルウェアを仕込んで企業に侵入する手口です。オープンソースコード、システム管理ツール、修正プログラム、機器のファームウェアなどがよく使われます。
特定の企業をターゲットにするのではなく、広くマルウェアを配布する攻撃で、大規模な被害が発生しやすいです。ベンダーの公式サーバーを経由することも多いため、企業側がマルウェアに気づきにくいのも特徴です。
ソフトウェアサプライチェーン攻撃と似たタイプの手口として、ハードウェアの組み込みプログラムにマルウェアを仕込む「ハードウェアサプライチェーン攻撃」があります。
サービスサプライチェーン攻撃
企業が利用しているサービスのベンダーに侵入し、そこからターゲットの企業に侵入する手口で、「デジタルサプライチェーン攻撃」とも呼ばれます。クラウドサービスや外部サポート業者を経由した攻撃が多く、ユーザー企業の多いサービスが攻撃されると、被害が拡大する可能性があります。
サプライチェーン攻撃の被害事例
上記3種類の手口の事例を紹介します。
アイランドホッピング攻撃の事例
- 大手電機メーカー
2020年、ある大手の電機メーカーの社内ネットワークに不正アクセスがありました。これは、中国にある関係会社を入り口としたサプライチェーン攻撃による被害です。本社および主要な拠点への不正アクセスにより、個人情報や企業機密が外部に流出した可能性があるといわれています。
- 大手自動車メーカー
2022年、大手自動車会社に部品を提供しているメーカーがサイバー攻撃を受け、マルウェアに感染しました。そこからサプライチェーンを経由し、中核企業およびグループ企業の工場まで停止しています。その結果、グループ全体に損害が発生しました。
ソフトウェアサプライチェーン攻撃の事例
- ウイルス対策のソフトウェアメーカー
2017年、ウイルス対策を展開しているソフトウェアメーカーのシステムクリーナーツールにマルウェアが仕込まれ、利用している多くの企業に影響が出ました。導入している企業には大手IT企業も多く、大量のPCが被害にあっています。
- 大手総合エレクトロニクスメーカー
2021年、総合電機の製造やITサービスの提供を行う大手企業の情報共有ツールにマルウェアが仕込まれ、利用している企業の情報が窃取されました。それを利用して、当該企業のネットワークへの不正アクセスも発生しています。
サービスサプライチェーン攻撃の事例
- アメリカのアクセス管理会社
2023年、アメリカに本社を構えるクラウド型ID管理・統合認証サービスを展開する企業のセキュリティツールのサポートシステムが攻撃され、同ツールの顧客データが窃取されました。この攻撃により、一部を除くほとんどのユーザー企業の情報が漏洩したとされています。
- カナダのソフトウェア会社
2022年、カナダのソフトウェアの会社が展開する、顧客のエンゲージメントを向上するためのコミュニケーションツールのインストーラにマルウェアが仕込まれました。これは、一度侵入に成功した攻撃者がいつでも認証を回避して侵入できるように、別の侵入経路としてバックドアを作成しました。この攻撃は複数のバージョンに展開され、大きな被害を出しています。
サプライチェーン攻撃への対策
サプライチェーン攻撃は、ターゲットとなる企業のセキュリティ対策だけでは防げません。サプライヤーのセキュリティ対策を支援したり情報を共有したりするなど、グループ全体での取り組みが重要です。
セキュリティ対策のガイドラインとしては、経済産業省とIPAの「サイバーセキュリティ経営ガイドライン」や、米国国立標準技術研究所(NIST)の「NIST CSF(Cyber Security Framework)(IPAの翻訳版)」「NIST SP800(IPAの翻訳版)」などがあります。
また、グループ企業だからといって認証を甘くするのではなく、ゼロトラストセキュリティを基本に厳密な認証を行うことが推奨されます。
ゼロトラストセキュリティについては、以下の記事もご参照ください。
関連記事
ゼロトラストとは?メリットやデメリット、実現するためのポイントを紹介
これらの方針をもとに、ターゲット企業の視点から行うサプライチェーン攻撃への対策と、攻撃を受けてしまった場合のサプライヤーが行う対処についても紹介します。
サプライチェーン攻撃を防ぐには?
サプライチェーンの中心となる企業がサプライチェーン攻撃を防止するための対策を紹介します。
- 自社の現状把握
自社のセキュリティ対策を確認し、脆弱性、設定の不備などの問題点を把握します。
また、セキュリティポリシーを再確認し、必要に応じてセキュリティ診断や脆弱性診断などを行います。
- セキュリティ対策の施行
可視化した問題点を改善したセキュリティ対策を策定し、施行します。
インシデント発生時の対応も決めておきましょう。
- グループ企業や関連企業の現状把握と協力
サプライヤーのセキュリティについても、同じように現状と問題点を把握し、改善するための具体的な施策を考案します。最低限の対策や責任範囲などを明確化し、セキュリティに関する契約を結んでおきましょう。
また、自社が保有するセキュリティに関する情報を定期的に共有します。
- 社員のセキュリティリテラシーの向上
セキュリティにおいては、社員の行動によるリスクも小さくありません。そのため、セキュリティに関する意識を向上させるための教育を行います。
教育の内容はサプライヤーにも共有し、各社での教育を要請しましょう。
- 最新情報の収集
セキュリティ担当者は、サプライチェーン攻撃に限らず、サイバー攻撃に関する最新情報をつねに収集しなければなりません。その内容はサプライヤーにも共有しておきましょう。
サプライチェーン攻撃を受けてしまったら
サプライヤーの視点から、サプライチェーン攻撃を受けた場合の対処を紹介します。
- 被害の可視化
受けた攻撃の内容や影響する範囲を測定し、可視化します。
- システムや端末の隔離
攻撃されたことが判明した、または攻撃されたことが疑われる機器を社内ネットワークから切り離し、被害の拡大を防ぎます。
- サプライチェーン企業への連絡
サプライチェーンの中心となる企業や、ほかのサプライヤーに被害状況を報告します。また、サプライチェーン攻撃とは関係ない取引先にも報告が必要です。
その後、警視庁、IPA、インシデント対応サービスなどにも報告します。
- システム復旧
攻撃を受けたシステムを復旧し、業務を通常通り行えるようにします。
- 調査
原因究明と、それをもとにした再発防止策の策定を行います。
サプライチェーン攻撃への対策はグループ全体で行う必要がある
大手企業を目標にしたサプライチェーン攻撃は、近年どんどん増えています。多くのサプライヤーを抱える大手企業は、グループ全体でのセキュリティ対策を考えなければなりません。自社が被害にあったり、グループ全体に被害を拡大させたりしないためにも、グループ全体で漏れのないセキュリティ対策を行う必要があります。
しかし、情報システム部門のスタッフが不足しており、人数もノウハウも足りないというサプライヤーも多いでしょう。その場合は、十分なセキュリティ対策が行えないリスクがあります。
そこで、安全な環境下で利用できる法人向けリモートアクセスサービス、CACHATTOのデータレスクライアント「CACHATTO SecureContainer」をおすすめします。管理に多くのスタッフを必要とせず、高い知識がなくても安全な接続が可能です。また、専用の環境を構築する必要もなく、低コストで利用できます。作業はPC上に生成する隔離領域で行うため、私物の端末でも安心して利用できます。作業終了時にはデータを削除することで、端末からの情報漏洩リスクを極小化することが可能です。
気になる方は、以下のリンクから詳細をご確認ください。
CACHATTOに関する資料請求やお問い合わせはこちら。
お気軽にお問い合わせください!
リモートアクセスや製品に関する
お役立ち資料をご用意しています。
お役立ち資料ダウンロード
リモートアクセスや製品に関する
様々なご質問にお答えします。
メールでお問い合わせ
