製品の供給網や関連会社、取引先を介してサイバー攻撃を受ける「サプライチェーン攻撃」の脅威が高まっています。
サプライチェーンの弱点を悪用した攻撃は、自社のセキュリティ対策だけでは対処が難しく、企業にとって極めて深刻な脅威です。
サプライチェーン攻撃の内容やサプライチェーンの弱点を悪用した攻撃事例事例を確認していきましょう。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、攻撃者がターゲット企業に対して直接攻撃を仕掛けるのではなく、ターゲット企業が利用しているサプライチェーン(供給網)や関連企業を介して攻撃する手法です。
サプライチェーン攻撃は、標的とする企業がセキュリティ対策を強化していても、攻撃対象がサプライチェーンや関連企業にあるため、対策が有効でなくなることもあります。
また、サプライチェーン攻撃は、直接攻撃を仕掛けるよりも検出が遅れやすいため、攻撃の成功率が高くなるのも特徴です。
サプライチェーン攻撃の脅威は増している
世界的な有名企業や政府機関がサプライチェーン攻撃の被害を受ける事例が相次いでおり、セキュリティ上の重大な脅威として注目されています。
IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」の組織編では、下記のとおり2019年に突如4位にランクインし、徐々に順位を上げています。
- 2023年:2位
- 2022年:3位
- 2019年〜2021年:4位
- 2018年以前:圏外
このように、サプライチェーン攻撃は急激に脅威が高まっているセキュリティ攻撃と考えられるのです。
サプライチェーンの弱点を悪用した2つの攻撃タイプ
サプライチェーンの弱点を悪用した攻撃には、大きく下記の2つのタイプがあります。
- ソフトウェアやハードウェアの供給網を介した攻撃
- 関連企業や取引先の脆弱性を利用した攻撃
それぞれサプライチェーンの攻撃タイプの特徴を解説します。
ソフトウェアやハードウェアの供給経路を介した攻撃
1つ目は、ソフトウェアやハードウェアの供給網を介した攻撃です。
ターゲット企業が利用する製品やサービスを提供している企業に侵入し、ソフトウェアやハードウェアに悪意のあるコードを埋め込むことで実行されます。
攻撃が仕掛けられた製品やサービスが、サプライチェーンを介してターゲット企業に供給されることで被害を与えるのです。
例えば、ターゲット企業に供給されるIT機器のソフトウェアにバックドア(不正アクセスするための入り口)を仕込んでおきます。
それにより、ターゲット企業のもとに製品が届き、使用を始めたあとにバックドアを使って侵入することで、機密情報を盗んだり、サービス停止などの被害を与えることが可能です。
関連企業や取引先を介した攻撃
2つ目は、関連企業や取引先の脆弱性を利用した攻撃です。
まず、ターゲット企業の子会社や取引先企業などの関連企業の中から、セキュリティ対策が脆弱な企業に対して不正アクセスやマルウェア攻撃を仕掛けます。
そこから盗んだ情報を使ってターゲット企業に標的型攻撃を仕掛けたり、グループ内ネットワークを介してターゲット企業に侵入したりするのです。
ターゲット企業が高いセキュリティ対策を施していても、関連する企業に脆弱性がある場合、そこが綻びとなって攻撃者の侵入を許してしまいます。
逆に攻撃者にとっては、セキュリティが強固で直接侵入するのが難しい大企業でも、周りの対策が甘い企業を辿っていけば隙があるともいえるでしょう。
サプライチェーン攻撃の被害事例
実際に起こったサプライチェーン攻撃の事例を見てみましょう。
SolarWindsの事例
2020年に発生した米国のSolarWinds社に対するサプライチェーン攻撃は、その規模と影響の大きさから、サイバーセキュリティ史上でも重大な事件のひとつといわれています。
攻撃者は、SolarWinds社のネットワーク監視ソフト「Orion」の更新プログラムにバックドア型マルウェアを仕掛け、配布された企業や政府機関のネットワーク上に裏口を作りました。
その後、バックドアからマルウェアを送り込み情報を盗み出したのです。
この攻撃によって、不正なコードが仕掛けられたプログラムの影響を受けた顧客は1万8,000以上にのぼるとされています。
被害は、米連邦政府機関や大手企業など強固なセキュリティ対策を行なっている組織にも及んでおり、サプライチェーン攻撃の脅威を世界に知らしめる事件となりました。
トヨタ自動車の事例
2022年2月、トヨタ自動車は主要サプライヤーのうちの1社がランサムウェアに感染したのをきっかけに、全工場の稼働を停止させました。
ランサムウェアに感染した取引先企業が被害の拡大防止のためにネットワークを遮断したことにより、部品の供給が困難となりやむなく全工場を停止したものです。
ランサムウェア感染の原因は、トヨタ自動車の取引先企業の子会社が利用していたリモート接続機器の脆弱性であったと報告されています。
取引先の子会社が利用している機器の脆弱性が原因で、世界的な大企業が全工場を停止する大きな被害に発展した、サプライチェーン攻撃の恐ろしさが分かる事例です。
三菱電機の事例
2020年1月、三菱電機は不正アクセスによる情報流出の可能性があることを発表しました。
防衛省や原子力規制委員会などの官公庁や、電力、通信、鉄道などの企業に関する複数の情報が不正アクセスを受けたと見られています。
最初に中国の関連企業が不正アクセスを受け、ネットワークを介して国内のパソコンやサーバーに不正侵入され情報を盗み出されたものです。
グローバル展開している企業では、海外の関連企業を踏み台に攻撃を受ける可能性があることがわかります。
サプライチェーン攻撃への対策
サプライチェーン攻撃は、他社を介した攻撃であるため、通常のセキュリティ対策に加えて特有の対策も必要です。
サプライチェーン攻撃に有効な対策を解説します。
自社のセキュリティ対策強化
サプライチェーン攻撃に限らず、サイバー攻撃への対策としてもっとも重要なのは、自社のセキュリティ対策を強化することです。
最新のセキュリティアップデートを常に適用することで、サプライチェーンを介した不正アクセスやマルウェアの侵入を防げる可能性があります。
さらに、組織的にセキュリティ意識を高めるためには、社員の教育や訓練も重要です。
例えば、取引先から盗まれたメールアドレスなどの情報を使って標的型攻撃を仕掛けられた場合に、受け取った社員が不審なメールに気づけば、被害を防げるでしょう。
自社のインシデント早期検知と迅速な対処
サプライチェーン攻撃が発生した場合には、攻撃を早期に検知することで被害を最小限に抑えることが重要です。
例えば、自社のシステムやネットワークに対する監視を強化することで、異常なアクセスや通信を早急に検知し、迅速に対応できます。
また、インシデント対応計画を策定し、実際のインシデントが発生した場合にスムーズに対応できるようにしておくことも重要です。
取引先や関連企業の取組状況のチェック
サプライチェーン攻撃に特有の対策として重要なのが、取引先や関連企業のセキュリティ対策の取組状況をチェックすることです。
セキュリティポリシーや対策の共有、リスク評価の実施、監視体制の整備など、協力関係にある企業が十分なセキュリティ対策を講じているかどうかを確認します。
また、サプライチェーン攻撃に備えて、代替先の確保やリスク分散の検討など、事前に対応策を考えておくことも大切です。
これらの対策を講じることで、サプライチェーン攻撃に対するリスクを軽減できます。
サプライチェーン攻撃の脅威を理解して適切に対策しよう
サプライチェーンの弱点やセキュリティ対策の甘い関連企業を介してサイバー攻撃を仕掛けるサプライチェーン攻撃は、企業にとって対策の難しいサイバー攻撃です。
対策としては、自社のセキュリティ対策の強化はもちろん、早期検知と迅速な対処、そして取引先や関連企業の取り組み状況のチェックが求められます。
企業は、サプライチェーン攻撃の脅威を深刻に受け止め、適切な対策を講じることが大切です。