近年、サイバー攻撃の手口の一つである「サプライチェーン攻撃」による被害が増えつつあります。サプライチェーン攻撃は、大企業のみならず子会社や関連企業、取引先の中小企業にも関わる問題であることから、あらゆる企業で対策が求められています。この記事では、サプライチェーン攻撃の種類や最近の動向、被害の事例について解説します。サプライチェーンのセキュリティレベルを高める対策方法も具体的に紹介していますので、ぜひご活用ください。
ターゲット企業の関連企業から侵入していくサプライチェーン攻撃
サプライチェーン攻撃とは、ターゲットとするセキュリティレベルの高い企業を直接攻撃するのではなく、セキュリティレベルが比較的低い子会社や関連企業などを経由して、ターゲット企業へ攻撃を仕掛ける手口のことです。サプライチェーン攻撃には、大きく分けて「ビジネスサプライチェーン攻撃」「サービスサプライチェーン攻撃」「ソフトウェアサプライチェーン攻撃」の3種類があります。まずは、それぞれの特徴や事例を見ていきましょう。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃とは前述のとおり、ターゲット企業と業務上関わりのある子会社や関連企業、取引先企業などに存在する脆弱性を突いて侵入し、これら企業を介してターゲット企業へと侵入する手口を指します。サプライチェーン攻撃の中でも、常とう手段となりつつある攻撃です。
主な事例として、2022年、医療センターに給食を提供していたある取引先企業を踏み台に、国内の大手総合病院がサプライチェーン攻撃を受けています。同病院はこの攻撃により、基幹サーバーや電子カルテシステム関連のサーバー、PCなど約1,300台のIT機器がファイルを暗号化される被害に遭いました。また、緊急時以外の手術や外来診療が停止する事態に陥り、1日約1,000人の患者にも影響を及ぼしました。取引先企業のうち1社でもサプライチェーン攻撃の被害に遭った場合、影響が広範囲に及ぶことがわかる事例といえます。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃とは、企業からネットワークの管理や運用を委託されているマネージドサービスプロバイダー(以下、MSP)などのサービス事業者を介して、侵入を試みる手口です。サービスサプライチェーン攻撃は、MSPがサイバー攻撃の被害に遭うだけでなく、そのサービスを利用している顧客にも被害が及んでしまう点が大きな特徴です。多くの顧客を抱えるMSPであれば、その分被害が広範囲にわたることもあります。
具体的な事例として、2021年にあるリモートIT管理サービスを経由して最大1,500社の企業がランサムウェアの被害を受けたケースがあります。被害に遭った企業に対して、攻撃者は日本円で約500万円相当の身代金を要求し、1週間以内に支払わなかった場合には要求額を倍にするとして脅迫しました。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃とは、あるソフトウェアの製造工程や流通工程においてプログラムに不正なコードを混入させ、ユーザーや企業に攻撃を仕掛ける手口のことです。アップデートプログラムなどに不正なコードを仕込んでおくため、ユーザーがそのプログラムを実行しない限り、すぐには攻撃が発覚しない点が特徴です。多くのユーザーが存在するソフトウェアに不正なコードを混入させることで、大規模な攻撃を仕掛けられる点が脅威といえます。
過去には、ネットワーク監視製品に不正なコードが仕込まれたことで、最大18,000社の企業が被害に遭ったと推定される事例もあります。この中には民間企業のほか、米軍や米国防総省、ホワイトハウス、NASA(アメリカ航空宇宙局)なども含まれていました。
サプライチェーン攻撃の最近の動向
独立行政法人情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威2023」(2023年1月)では、「組織の脅威」のうち、サプライチェーンの弱点を悪用した攻撃が2位となっています。3位だった2022年から順位が上昇していることから、サプライチェーン攻撃へのセキュリティ対策の重要性が増しているといえます。
さらに、総務省が公表した「令和2年 情報通信白書のポイント」(2020年8月)においても、サプライチェーンリスクが新たな懸念事項として加わりました。具体的には、ICTの製品やサービスを製造・流通する過程で不正なプログラムやファームウェアが組み込まれたり改ざんされたりするリスクや、契約関係のある企業のうちサイバーセキュリティ対策が不十分な事業者が踏み台にされるリスクについて言及しています。
サプライチェーン攻撃の手法
前述のとおり、サプライチェーン攻撃の手口は、ターゲット企業の子会社や取引先といった業務上関わりのある企業が、最初の標的となる点が特徴です。具体的な攻撃の手法は次のとおりです。
サプライチェーン攻撃の手法
- 特定の企業に対し、長期にわたり標的型攻撃を仕掛ける
- 送信メールに添付したファイルやリンクをクリックさせる
- 従業員や業務委託先の関係者に内部不正行為をさせる
- ソフトウェアのアップデートファイルなどにマルウェアを仕込む
上記の手口によって発生した被害は、ターゲット企業だけでなく、業務上関わりのある他の企業にも及びます。1社のみの被害では済まないことがサプライチェーン攻撃の恐ろしい点といえ、危険視されている理由です。
狙われやすい企業
サプライチェーン攻撃のターゲットとなりやすいのは中小企業といわれています。大企業の多くは強固なセキュリティ対策を講じており、直接的にサイバー攻撃を仕掛けるのは困難です。そのため、ウイルス対策などのセキュリティ対策が不十分な可能性もある中小企業を介して、取引先である大企業への侵入を試みます。
例えば、自社が大手メーカーに部品を供給している企業だとすれば、自社がサプライチェーン攻撃を受けたことで取引先である大手メーカーや、そのステークホルダーなどにも影響を及ぼします。サプライチェーン攻撃は、その被害が自社の企業規模よりもはるかに大きくなってしまう恐れがあり、業務上関わりのあるすべての企業に波及する問題として捉えることが大切です。
サプライチェーン攻撃を受けた事例
サプライチェーン攻撃を受けると、具体的にどのような状況に陥ってしまうのでしょうか。ここでは、サプライチェーン攻撃によって被害が生じた2つの具体例をご紹介します。
大手認証サービスのハッキング(2022年)
アメリカの大手プロバイダー企業は、サイバー攻撃グループによってネットワークをハッキングされました。攻撃者はプロバイダー企業が保有するユーザーIDやパスワードなどのデータを窃取することが目的ではなく、その認証サービスのユーザーであるクライアント企業がターゲットであったことを表明しています。このハッキングにより、同認証サービスのユーザー企業366社が不正アクセスの被害に遭いました。
大手チャットサービスのマルウェア感染(2022年)
業務用チャットサービスを提供するカナダの企業は、ソフトウェアのインストーラーにバックドアを仕込まれる被害に遭いました。これは、インストーラーを実行したエンドユーザーの端末にマルウェアを感染させる手口です。しかし、幸いにもすでに広く普及していたチャットサービスであり、新たにインストールをする人の数は多くなかったため、被害が広がることはありませんでした。いずれにせよ、ユーザーが正規のインストーラーを実行した場合にも、サイバー攻撃の被害に遭う可能性があることを示唆した事例といえます。
サプライチェーンのセキュリティレベルを高める対策方法
サプライチェーン全体でセキュリティレベルを高め、被害を未然に防ぐにはどのような対策を講じればよいのでしょうか。ここでは、サプライチェーン攻撃への具体的な対策方法について解説します。
ビジネスパートナーも含めたサプライチェーン全体でセキュリティ対策を行う
セキュリティ対策を講じる際には、自社だけでなくビジネスパートナーも含めたサプライチェーン全体で取り組むことが重要です。IPAが策定した「サイバーセキュリティ経営ガイドラインVer3.0」では、下記を「経営者が認識すべき3原則」の一つとして示しています。
経営者が認識すべき3原則の一例
サイバーセキュリティ確保に関する責務をまっとうするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サイバーセキュリティ対策へのサプライチェーン全体にわたる目配りが必要。
サプライチェーン全体の対策状況を把握する
サプライチェーン攻撃へのセキュリティ対策の実施状況については、自社だけでなく関連企業や取引先、システム管理の運用委託先を含めて把握していく必要があります。IPAによる「サイバーセキュリティ経営ガイドラインVer3.0」に挙げられている対策例は次のとおりです。
サプライチェーン攻撃への対策例
- サプライチェーンに参加する企業の合意のもと、それぞれの企業が実施すべき対策を定め、監査または自己点検等の実施を通じてその実効性を担保する。
- 契約書においてサイバーセキュリティ対策の責任主体を明確化するなどの工夫により、各社が自ら担うべき役割を理解し、対策漏れが生じないようにする。
- 相手先の定める約款で規定されているサイバーセキュリティ対策の変更ができない場合に、その約款を適用した場合の自社における残留リスクが許容範囲以下となることを確認した上で調達または契約する。
- サプライチェーン内で扱う情報の機密性や重要性のランク別に実施すべき対策を定め、過剰な対策や対策の形骸化が生じないようにする。
- サプライチェーン内でのサイバーセキュリティリスクに関する情報共有等を行う。
PSIRTを設置する
自社で開発・提供した商品やサービスに適切なセキュリティ対策を講じる上で、社内にセキュリティインシデント対応組織であるPSIRT(Product Security Incident Response Team)を設置するのも効果的な対策の一つです。PSIRTの主な役割として、ステークホルダーとの連携や脆弱性関連情報の収集、インシデント発生への対策が挙げられます。自社の複数部門をまたいだ管理や、サプライチェーン全体を巻き込んだ活動が可能な専門チームを構築することが大切です。
サイバーセキュリティ改善に役立つフレームワークを利用する
「NIST Cybersecurity Framework Version 1.1(CSF)」は、NIST(米国国立標準技術研究所)が2018年に発行したセキュリティ改善のためのフレームワークです。このフレームワークにはサイバーセキュリティにおける、効果的なリスク低減を実現することを目指して、組織が押さえるべきチェック項目が列挙されています。国際標準といえるほど世界中に広まっており、公的機関や幅広い業界で参照されているフレームワークのため、他組織とのセキュリティ対策に関するコミュニケーションを図る上でも役立ちます。
セキュリティ対策のガイドラインに沿った体制を構築する
IPAは「中小企業の情報セキュリティ対策ガイドライン」も公開しています。ガイドラインの中では、情報セキュリティ管理のための役割と責任分担の例や、緊急時対応体制の役割と責任の例なども示されており、それらに沿った体制を整えておくことが大切です。
「SKYSEA Client View」ならガイドラインに沿ったサプライチェーン攻撃対策の支援が可能
サプライチェーン攻撃に対しては、その主な手口や特徴を把握した上で、被害を未然に防ぐための対策を講じておくことが重要です。今回ご紹介した対策方法を参考に、自社で講じるべき対策について検討してみてはいかがでしょうか。
サプライチェーン攻撃をはじめとするサイバー攻撃の脅威に備えるには、自動車や建設現場、保険業など各業界のセキュリティ対策ガイドラインにおける安全管理措置といった要求事項の達成を支援する「SKYSEA Client View」の導入をお勧めします。社内にあるすべての情報機器をルールに沿って一元管理できるほか、ログの取得、社内ネットワークに接続する機器の制限といった機能がお役立ていただけます。
ガイドラインに沿ったセキュリティ対策を講じたい事業者様は、ぜひ「SKYSEA Client View」をご活用ください。