いま警戒すべきサプライチェーン攻撃とは?手口や実例、対策を解説
はじめに
この記事ではサプライチェーン攻撃の手口や実例、対策をご紹介します。
サプライチェーン攻撃とは
2023年にIPAが公表した「情報セキュリティ10大脅威 2023」では、組織ランキングにおいて「サプライチェーンの弱点を悪用した攻撃」は第2位でした。サプライチェーン攻撃が今、セキュリティの脅威のなかでも注目されていることがわかります。
サプライチェーン攻撃の狙い
関連会社へ侵入するための踏み台にする
サプライチェーンを構成する企業を踏み台に、顧客や上流プロセスの関連企業等、本命の標的である関連企業へアクセスすることが狙いのひとつです。
侵入経路としては、特にメールを利用したアクセスが多いと見られています。悪意ある第三者は、侵入した企業からメールアドレスを窃取し、関連企業の社員に向けてマルウェアを仕込んだメールを送り込みます。その後メールを開いた社員から社内システムへ、マルウェアがさらに感染していくというシナリオです。
委託先が保有する関連会社の機密情報を狙う
業務上必要となり、委託先が委託元会社の機密情報を保持している場合には、その機密情報を狙って委託先企業に不正アクセスを試みるケースも考えられます。機密情報の窃取と同時に、委託先企業を踏み台にして関連会社を攻撃することも狙うケースもあるでしょう。
複数の企業が使っているサービス
関連企業ではなく、複数の企業が使っているWebサービスが狙われるケースも見逃せません。あるWebサービスが攻撃を受けて改ざんされると、そのサービスを利用している企業が被害を受けてしまいます。サービスを利用しているすべての企業が被害を受けるため、その影響はさまざまな業界、企業に広がっていきます。
サプライチェーン攻撃の被害例
機密情報の漏えい
サプライチェーン攻撃では、不正アクセスやランサムウェア攻撃を用いて、情報を盗み取られる可能性があります。企業の機密情報はその後、その情報を求める第三者に売買されるほか、機密情報を盾に身代金を要求されることもあります。
関連企業の操業停止
PCやサーバをマルウェアやウイルスに感染させ、情報システムを使えないようにすることが目的の場合もあります。情報システムを使えない状態にされると業務の遅延が起こり、ひいては操業停止になりかねません。その影響は、関連会社にも及びます。
取引終了・損害賠償請求
サプライチェーン攻撃で被害を受けると、企業の信頼を失墜させたという理由から、企業間の取引が終了するケースも考えられます。攻撃の被害者同士であるにも関わらず、両者の関係性が悪化して契約解除、お互いの取引相手を失うことにもなりかねないのです。
また機密情報の漏えいが起これば、情報管理が正しく行われていたかどうか問われることになります。特に個人情報が盗まれた場合には、相手企業やサービス利用者から損害賠償で訴えられる可能性は否めません。
サプライチェーン攻撃の実例
大手自動車メーカーへのサプライチェーン攻撃
大手自動車メーカーの協力会社である、自動車部品製造企業が攻撃を受けた例です。この企業は、リモート接続機器の脆弱性を悪用されたランサムウェアによる攻撃を受けました。同社は大手自動車メーカーの部品製作を請け負っていましたが、サイバー攻撃の影響で部品を製作できなくなりました。大手自動車メーカー自体はサイバー攻撃を受けていないにも関わらず、部品が納品されていないために製造を行えず、一時操業停止に追い込まれたのです。
Webサービスのソースコード改ざん
複数の企業に対して提供されているサービスが不正アクセスによって、個人情報漏えいしたケースもあります。第三者による不正アクセスにより、Webフォームの入力をサポートするサービスのソースコードが不正に書き換えされていることが判明。改ざん後にWebフォームへ入力された情報=個人情報が、外部へ流出した可能性があることがわかりました。この攻撃では、サービスを利用していたさまざまな企業が情報漏えいの被害を受けました。
サプライチェーン攻撃への対策
自分たちの会社のセキュリティは万全に
他のサイバー攻撃と同じように、それぞれの組織内でセキュリティ対策を万全にしなければなりません。対策の例としては、下記のとおりです。
・OSやソフトウェアの更新
・ウイルスソフト導入
・サーバやクライアント、ネットワークへのセキュリティ対策
・パスワードの管理・認証の強化
・各種設定の不備がないか見直し
・社内人材の情報リテラシーやモラルを向上させる
・セキュリティインシデント時の体制を整備 など
関連会社・委託先組織のセキュリティ対策を把握する
サプライチェーン攻撃への対策としては、子会社や親会社、委託先の組織のセキュリティ対策を確認することが必要です。
委託先を選定する際にセキュリティ対策や情報資産管理の実態も含めた監査やヒアリングの実施をすること、さらには定期的に確認できる契約にできるとベターです。Webサービスを利用する際にも、セキュリティに関する事項を確認しておきましょう。
またサイバー攻撃発生時の連絡プロセスを確立しておき、迅速に対応できるようにしておきます。サプライチェーン攻撃を受けたものの、フォレンジックベンダーやウイルス対策ソフトベンダーと連携して被害を最小限にとどめた例もあります。被害を受けた際には、適切な報告・連絡が大事です。
まとめ
対策として、他のサイバー攻撃と同様に自社のセキュリティ対策を万全にし、関連企業同士でセキュリティ対策を監視できる体制が必要です。
サプライチェーン企業のセキュリティ1st STEPもアクセリアにおまかせください
リスクの特定や対策提言を、情報ネットワークだけでなく制御ネットワークの分析まで対応させていただく必要があるという考えから、アクセリアのセキュリティ人材による分析とレポートサービスの提供を開始しました。
・何から取り組めばよいか分からない
・PDCAが回らない
・重要性が社内に伝わらない
・人手や時間が足りない
そんな中小企業の情報システム担当者の皆さまの背中を押したい思いで開発した「IT/OT統合セキュリティレポートサービス」では、「高価だけれども一旦導入してみる(または高価だから手が出ない)」から「何が必要かを手軽に見極め、評価する」への移行を支援します。
レポートご提出後、セキュリティ対策の実装・運用・効果検証までの支援体制もアクセリアの強みです。お気軽にご相談ください。
アクセリア 簡易リスクアセスメントサービスを提供開始 |
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service