サイバー攻撃の手口が巧妙化・複雑化する中、ビジネスの現場で特に注目を集めているのが「サプライチェーン攻撃」です。大手有名企業が被害を受けた事例も複数あることから、サプライチェーン攻撃という言葉を一度は耳にしたことがある方も多いのではないでしょうか。この記事では、実際に発生したサプライチェーン攻撃の被害事例を参考に、攻撃の手口と具体的な対策について解説します。
サプライチェーン攻撃は、子会社や関連会社、取引先を踏み台にするサイバー攻撃のこと
サプライチェーンとは、製品の原材料・部品の調達から製造、販売に至るまでの一連の流れを指す言葉です。多くの事業者が鎖のように連なり、協力し合うことで製品の供給が実現されることからサプライチェーンと呼ばれています。
サプライチェーン攻撃は、サプライチェーン上の事業者間のつながりを悪用するサイバー攻撃です。サプライチェーンの上流に位置する大手企業の多くは、厳重にセキュリティ対策を講じています。一方、大手企業と取引している企業の中には、大企業ほど厳重なセキュリティ対策を講じていない中小企業が少なからず存在するのも実情です。攻撃者はこうしたセキュリティ対策が手薄な企業を狙って侵入を試み、サプライチェーンのネットワークを通じて大規模組織の内部ネットワークへと到達します。このように、子会社や関連会社、取引先をネットワーク侵入の踏み台にして、大手企業へ攻撃を仕掛けることが、サプライチェーン攻撃の主な目的です。
サプライチェーン攻撃のターゲットになりやすい組織
サプライチェーン攻撃の最終的なターゲットになりやすいのは、大企業や行政機関といった巨大な組織です。巨大組織は保有している情報量が多く情報価値も高いことに加え、多くのサプライヤーと取引をしている点が特徴です。サプライチェーン攻撃は、巨大組織のサプライチェーン上にいる関連企業や組織を最初に狙います。ここでは、サプライチェーン攻撃のターゲットになりやすい組織の特徴を見ていきます。
サプライヤー(中小企業)が踏み台として狙われる背景
サプライチェーン攻撃においてサプライヤー(中小企業)が侵入の踏み台として狙われやすい要因として、セキュリティ対策が不十分であるケースが多い点が挙げられます。企業によっては古いネットワーク機器を長年にわたって使用し続けていたり、脆弱性の修正をしないまま運用し続けていたりするケースもあるからです。
また、近年テレワークが普及したことも、リスク拡大を招く要因の一つとなっています。場所を問わず社内データへのアクセスを可能にするには、インターネット回線を使用せざるを得ません。その状況は攻撃者から見ると、社内ネットワークへ侵入するチャンスが従来よりも広がったことを意味します。社内ネットワークへの出入り口が多数あるのが昨今の状況です。そのため、情報資産にアクセスするユーザーや端末が「信用できる境界内部にある」ということを前提とした、従来型のセキュリティ「境界防御モデル」では通用しなくなっています。
M&Aの活発化によってサプライヤーの対策が急務に
M&A(企業・事業の合併や買収)の活発化もサプライチェーン攻撃の脅威を増大させている要因の一つです。2023年における上場企業のM&Aの件数は1,068件と、16年ぶりに1,000件の大台に乗りました(※)。企業の合併・買収に伴い、セキュリティに関するそれぞれの水準や規定を調整するのは容易ではありません。異なるセキュリティ基準が同一組織内に混在している状態は、脆弱性が生じる原因となります。こうした状態にある企業がサプライチェーン上に点在していることによって、攻撃者の標的にされるリスクが高まっているのが実情です。
※参考:M&Aオンライン「【2023年M&Aレポート】2023年「都道府県別」M&Aランキング、あなたの地元は?」(2024年2月)
サプライチェーン攻撃の脅威
サプライチェーン攻撃は、脅威の実態を具体的に把握しておくことが大切です。独立行政法人情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」において、サプライチェーン攻撃は2019年に初めて4位にランクインしました。同ランキングの順位は社会的な影響の大きさも加味されており、サプライチェーン攻撃は2023年と2024年には2年連続で2位にランクインしています。このように、サプライチェーン攻撃の脅威は、近年の社会に多大な影響を及ぼしているといえます。
※独立行政法人情報処理推進機構「情報セキュリティ10大脅威2023」(2023年8月)
組織を狙うサプライチェーン攻撃の主な手口
サプライチェーン攻撃は多種多様であり、その手口を押さえておくことが重要です。サプライチェーン攻撃の攻撃手法には、下記のようなものがあります。
サプライチェーン攻撃の例
これらの例からもわかるように、サプライチェーン攻撃は、特定のリスク要因への対策だけでは防ぎ切るのが困難といわざるを得ません。脅威への対策を講じなければならないのは自社のみならず、取引のあるすべての事業者です。サプライチェーン攻撃への対策は、企業規模を問わずあらゆる事業者に求められています。
国内におけるサプライチェーン攻撃の被害事例
ここからは国内で実際に発生した、サプライチェーン攻撃による被害の事例を紹介します。脅威の侵入経路や被害の大きさなどを事例から読み解いていくと、自社に必要な対策も見えてくるはずです。
事例1:業務委託先におけるマルウェア感染で個人情報流出
ある企業では、業務委託先の企業がマルウェア感染の被害に遭い、委託元である企業が保有する大量の個人情報が流出しました。この事例は、業務委託先の従業員が保有するアカウントが不正に利用された可能性が高いとされています。
攻撃者によって窃取されたアカウント情報は正規ユーザーのアカウントのため、不正利用されているかどうかを見分けるのは容易ではありません。実際、この事例においても不正アクセスが最初に実行されてから発覚するまでにかなりの時間を要しています。攻撃者はこの期間中、委託元の情報を大量に盗み出していました。子会社や取引先だけでなく、業務委託先が脅威の侵入経路となり得ることを示した事例です。
事例2:子会社経由の侵入で顧客データと従業員データが外部流出
あるグループ企業では、子会社が不正アクセスにより従業員データに侵入されたほか、さらにネットワークを経由して親会社も被害に遭いました。この事例では、結果として大量の顧客データや従業員データが外部へ流出しています。このようなケースは、親会社へ直接侵入するのではなく、子会社を経由して攻撃を仕掛けるサプライチェーン攻撃の典型例です。
外部からの侵入に関しては十分なセキュリティ対策を講じている企業であっても、子会社などのグループ企業を経由して脅威の侵入を許してしまうケースは少なくありません。そのため、あらゆる関係企業が侵入経路となる可能性を想定し、対策を講じる必要があります。
事例3:海外の子会社を狙った攻撃により、財務や顧客情報等が流出
国内メーカーの海外子会社がランサムウェア攻撃を受け、財務情報や顧客情報といった膨大な量の重要データが流出しました。この事例では、窃取された情報がダークウェブに公開されたほか、ランサムウェアグループによる犯行声明も出されています。
現代のビジネス環境においては、取引先やグループ会社が国内のみとは限りません。海外の関係企業がサイバー攻撃を受け、ネットワークを通じて自社まで到達する可能性は十分にあります。サプライチェーン攻撃を防ぐための対策は、国内外を問わずに講じていくことが大切です。
事例4:グループ企業にも被害が浸透し、純利益を下方修正
ある企業グループでは、グループ内の1社がランサムウェア攻撃を受けたことを発端に、グループ全体へ被害が拡大しました。被害がグループ全体に波及したことにより、この企業グループは当期純利益を大きく下方修正せざるを得ない事態に追い込まれました。企業グループの業務が随所で滞り、納品時期の遅延などが多発したことが要因の一つです。
この事例のように、サプライチェーン攻撃は企業グループ全体に深刻な影響を与える可能性があります。サイバー攻撃を受けると、被害状況の確認や侵入経路の把握、関係先への状況説明など、多大な時間とコストを要するからです。サプライチェーン攻撃の脅威が、企業の業績にも多大な影響を与えかねないこと示唆した事例といえます。
事例5:契約しているパートナー企業を経由して不正アクセス
ある医療機関は、契約しているパートナー企業を経由して不正アクセスの被害に遭いました。この事例における攻撃者の侵入経路は、パートナー企業が使用していた情報機器であったことが判明しています。パートナー企業が、脆弱性が十分に解消されていない情報機器を使い続けていたために、サイバー攻撃の標的となったのです。
業界や業務内容によっては、長年使い続けて端末や機器を一斉にリプレースすることが困難なケースも少なくありません。結果として脆弱性が放置された状態となり、攻撃者の侵入を許してしまう原因にもなってしまうのです。
海外におけるサプライチェーン攻撃の被害事例
サプライチェーン攻撃の被害が発生しているのは、日本国内だけではありません。海外におけるサプライチェーン攻撃の被害事例をご紹介します。
事例1:ホテルに対してフィッシングメールを送付し、マルウェアに感染
世界中でサービスを展開しているグローバル企業では、提携事業者がマルウェアに感染し、ネットワークを通じてそのグローバル企業にも感染の被害が拡大しました。この事例の攻撃者は、グローバル企業の提携事業者であるホテルにフィッシングメールを送付し、ホテルの担当者が使用しているアカウント情報を窃取していました。結果として、グローバル企業が保有する大量の個人情報が流出しています。
この事例のように、提携事業者がサイバー攻撃の標的になるケースも十分に想定されます。サプライチェーン攻撃に備えるのであれば、グループ企業だけでなく、提携事業者も標的になり得ることを押さえておくことが重要です。
事例2:サードパーティー請負業者を経由してデータ流出
あるアメリカの企業では、ランサムウェア攻撃の被害を受け、膨大な量のデータが流出しました。この事例の攻撃者は、同社のサードパーティー請負業者が使用していたアカウントを窃取し、VPN接続を経由して同社への侵入を試みました。攻撃者は継続的にデータの窃取を続け、膨大な量のデータを盗み出しています。
この事例は、自社の取引先やグループ企業、顧客といった直接的な関係者ではなく、第三者であるサードパーティー請負業者が最初の標的となっている点が大きな特徴です。アカウント使用者は、基本的にすべてサイバー攻撃の標的になり得ることを想定しておく必要があります。
事例3:自社ツールにランサムウェアが仕掛けられ、身代金要求
あるアメリカの企業は、自社ツールにランサムウェアを仕掛けられ、多くの利用顧客の情報を窃取された上に身代金を要求されました。この事件は、サプライチェーン攻撃によって被害が爆発的に拡大した事例といえます。ランサムウェアが仕掛けられた自社ツールを多くの利用顧客に提供してしまったことにより、大規模な被害が発生する事態へと発展しました。
この事例の特徴は、ツール経由でランサムウェアの被害が爆発的に拡大している点にあります。攻撃者は被害に遭ったすべての利用顧客に攻撃を試みたわけではなく、ツールにランサムウェアを仕掛けたに過ぎません。ひとたびツールの脆弱性を突かれれば、ツールを利用するすべての顧客が被害者となり得ることがこの事例から見て取れます。
事例4:認証サービスを利用しているクライアントに不正アクセス
あるアメリカの企業がネットワークをハッキングされ、同社の認証サービスを利用しているクライアント企業が不正アクセスの被害に遭ったというケースもあります。この事例では、サプライチェーン攻撃によって多くのクライアント企業が不正アクセスの被害に遭い、膨大な量のデータが流出しました。
この事例は、ネットワークをハッキングされた企業が最終的な標的ではなく、提供しているサービスの利用顧客が標的にされていることがポイントです。攻撃者はサプライチェーンの構造や取引関係を把握した上で、より多くの重要データを窃取できる手口を画策します。自社の顧客が標的にされる可能性も十分にあることを示している事例です。
事例5:ソフトウェアのインストーラーにバックドアを仕込む
あるカナダの企業は、同社が提供しているソフトウェアのインストーラーにバックドアを仕込まれ、インストールを実行したエンドユーザーのネットワークが侵入されました。この事例における具体的な被害状況は公表されていないものの、多くのユーザーを抱えるソフトウェアだったため、被害が大規模なものであることは想像に難くありません。
この事例では、ユーザーの端末に設置されたバックドアから追加のマルウェアを送り込むプログラムが仕掛けられており、さらなるサイバー攻撃の下準備として実行されたことがわかっています。サプライチェーン攻撃によって生じる被害は一度とは限らず、複数の攻撃が積み重なるように実行される可能性があることを示している事例です。
企業が講じられるサプライチェーン攻撃への対策
ここまでにご紹介してきたサプライチェーン攻撃の手口から、攻撃者はサプライチェーンの全体像を綿密に調査した上で攻撃を仕掛けていることがうかがえます。ここからは、企業が講じられるサプライチェーン攻撃への対策について解説します。
納品物などのソフトウェアは安全を期す
サプライチェーン攻撃の標的となるのは、稼働中のネットワークや端末・機器だけとは限りません。ソフトウェアの開発やテスト、配布などの過程でマルウェアが混入されるケースもあります。そのため、開発段階から安全な環境で作業を進め、納品物などにマルウェアが仕込まれることのないよう、細心の注意を払うことが重要です。
提供したソフトウェアにマルウェアが仕込まれていた場合、ユーザーが使用するネットワークを通じて被害が広がることになります。「サービスサプライチェーン攻撃」と呼ばれるこうした手口の被害を阻止するためにも、開発環境には十分な安全を期すことが欠かせません。
外部ITサポート企業にもサプライチェーン攻撃への対策を確認・共有する
クラウドサービスや外部ITサポートを提供する企業を経由して、脅威が侵入することもあり得ます。自社に導入予定のサービスは、提供元の企業がサプライチェーン攻撃への対策を十分に講じているか、よく確認した上で検討することが大切です。
昨今ではSaaSが広く普及しており、業務で日常的にクラウドサービスや外部ITサポートを活用することも珍しくありません。サービスの提供元企業を経由してサイバー攻撃の被害を受けることも想定し、セキュリティ対策の状況を共有しておくことが求められます。
セキュリティ対策ソフトウェアを導入する
セキュリティ対策ソフトウェアを導入し、マルウェアや不正アクセスの被害を抑止するという基本的な対策も重要です。セキュリティ対策ソフトウェアの中には、既知のマルウェアのパターンファイルを参照した上でマルウェアを検知するだけでなく、不審な通信や動作を検知する「ふるまい検知」機能を備えたものもあります。こうしたセキュリティ対策ソフトウェアを導入することにより、未知のマルウェアが侵入した際にも早期の対応が可能です。
また、従業員が日常的に利用する端末や機器といったエンドポイントへのセキュリティ対策を講じておくことも重要です。サプライチェーン攻撃の発生源を完全に予測して、未然に攻撃を防ぐことは困難といえます。そのために必要となるのが、エンドポイントセキュリティの強化です。エンドポイントセキュリティを強化すれば、万が一マルウェアや不正アクセスの被害に遭ったとしても、被害が発生した端末や機器をネットワークから迅速に切り離したり、感染経路の特定に役立つデータを収集できたりする可能性が高まります。巧妙化するサプライチェーン攻撃に対しては、エンドポイントセキュリティ対策の強化で被害を最小限に食い止める環境を構築することが大切です。
サプライチェーン攻撃は企業規模にかかわらず、あらゆる組織に対策が必要
サイバー攻撃の標的になり得るのは、大企業だけではありません。企業規模を問わず、どのような組織であってもサプライチェーン攻撃の標的になるリスクを抱えています。そのため、さまざまなサプライチェーン攻撃の事例を参考に、具体的な対策を早期に講じておくことが重要です。
サプライチェーン攻撃は、脆弱性をピンポイントで突いて攻撃する点が大きな特徴です。クライアント運用管理ソフトウェア「SKYSEA Client View」は、エンドポイントセキュリティを実現するためのさまざまな機能を搭載しています。ネットワークの末端に接続されている組織内のエンドポイント(端末)を全数把握し、OSやソフトウェアのアップデートを迅速にもれなく行うことで、各エンドポイントのセキュリティ強化が可能です。
「SKYSEA Client View」は、自動車産業や建設現場、保険業など各業界のセキュリティ対策ガイドラインにおける安全管理措置といった要求事項の達成を支援しています。すべての情報機器をルールに沿って一元管理できるほか、ログの取得、社内ネットワークに接続する機器の制限といった機能もご活用いただけます。ガイドラインに沿ったセキュリティ対策を講じたい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。
お問い合わせ・カタログダウンロード
「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから