サプライチェーン攻撃とは?種類・被害事例・対策を紹介

2023年6月21日 Column

サプライチェーン攻撃とは?種類・被害事例・対策を紹介

インターネットを利用する企業にとって、サイバー攻撃は常日頃から対策しておくべき脅威です。

サイバー攻撃には様々な手法があります。その中でも、「サプライチェーン攻撃」は、自社のビジネスだけでなくサプライチェーン全体に影響を及ぼしかねない手法であり、業界を問わず被害事例が報告されています。預かっている、預けている機密情報が漏洩する、システムやネットワーク停止でサプライが遅延する、侵入経路・感染原因となるといったことが起こっています。

被害を防ぐためには、サプライチェーン攻撃の種類や対策のポイントを把握しておくことが大切です。そこで今回は、サプライチェーン攻撃の概要から攻撃の種類、被害事例、4つの対策方法まで詳しく紹介します。

 

1.サプライチェーン攻撃とは?

サプライチェーン攻撃とは、企業間における業務のつながりを悪用したサイバー攻撃を指します。そもそも「サプライチェーン」とは、商品・製品・サービスの調達から製造、販売といった一連の流れを表す経営用語です。

サプライチェーン攻撃の主な特徴は、サプライチェーン上の関係性を悪用して、サイバーセキュリティ対策が比較的手薄な関連企業を踏み台に、本命の標的である組織を攻撃するという点です。

したがって、自社がサプライチェーン攻撃を受けた場合は、自社のビジネスだけでなくサプライチェーンとして関連のある企業・組織全体のビジネスがストップしてしまう可能性があります。

大手企業と委託取引をする中堅・中小企業は、セキュリティ対策が十分に行われていないケースも珍しくありません。セキュリティレベルの低い組織は、サイバー攻撃者にとって狙いやすい対象となります。

このように、サプライチェーン攻撃は影響範囲が広がる恐れがあるため、サプライチェーンを通して他社とつながりをもつ企業は、規模を問わず狙われる可能性が高いと意識し、対策をしなければなりません。

参考:経済産業省「サイバーセキュリティ経営ガイドラインVer2.0」

 

2.サプライチェーン攻撃の種類

サプライチェーン攻撃の手口は複雑化・巧妙化しており、関連企業が気づかないうちに踏み台にされ、本命となるターゲット企業が攻撃を受けるケースも少なくありません。

サプライチェーン攻撃をできる限り防ぐためには、攻撃の手口について理解しておく必要があります。ここからは、サプライチェーン攻撃の主な種類3つを、それぞれ詳しく解説します。

 

2-1.取引先・委託先を踏み台にした攻撃

サプライチェーンを通して関連のある企業のうち、セキュリティにおいて脆弱性のある組織を最初に攻撃し、攻撃によって得た情報を足掛かりに本命となる組織を攻撃する方法は、サプライチェーン攻撃において特に主流な手法です。

主な攻撃手法
  • 攻撃者が脆弱性のある組織に対し、ランサムウェアを仕込んだ標的型攻撃メールを送信する
  • サーバー運用・システム運用などを委託された企業が攻撃者となり、委託元企業の個人情報や顧客情報、さらに機密情報などを盗用する

信頼していたはずの委託先企業が攻撃者となった場合、踏み台にされる組織が不正アクセスや情報漏えいに気付きにくいことは明白です。実害が及んで初めて気付くケースも多々あります。

 

2-2.ビジネスメール詐欺

ビジネスメール詐欺も、サプライチェーン攻撃のよくある種類の1つです。ビジネスメール詐欺とは、攻撃者が取引先企業や経営層になりすまして悪意あるメールを送信し、お金や情報を不正に入手するという詐欺のことです。

主な攻撃手法
  • 攻撃者が取引先企業や経営層になりすまして、偽の請求書をメールで送信して入金を促す
  • 攻撃者が取引先企業や経営層になりすまして、組織内の重要なデータを提供させる

中には、取引先企業や経営層が使用している本物のメールアドレスを何らかの方法で乗っ取り、そのアドレスを悪用してメールを送信するケースもあります。この場合、入金や情報提供を促すメールが届いてもビジネスメール詐欺と気付くことは困難でしょう。

 

2-3.デバイス・ソフトウェアなどを介した攻撃

デバイス・ソフトウェアなどを介したサプライチェーン攻撃には、下記のようにあらゆる攻撃ルートがあります。

主な攻撃手法
  • 攻撃者がデバイス・ソフトウェアの販売企業に不正侵入し、納品プログラムに悪意あるプログラムを埋め込む
  • 攻撃者がデバイスの回路基板にマルウェアの仕組まれた部品を追加する
  • 攻撃者がサードパーティライブラリに悪意あるコードを注入する

メーカーが攻撃者となって、デバイスの回路基板に悪質な部品を埋め込むといった物理的な攻撃は、ターゲット企業はもちろん、踏み台とされる企業も気付きにくいことが特徴です。製品や委託先・再委託先の選定に細心の注意を払うことが求められます。

 

3.サプライチェーン攻撃の被害事例

サプライチェーン攻撃の被害事例は、業界を問わず全国的にいくつも報告されています。下記に、日本の医療業界・自動車業界におけるサプライチェーン攻撃の被害事例を紹介します。

医療業界におけるサプライチェーン攻撃の被害事例
2022年10月、大阪府の医療機関はランサムウェア攻撃を受け、電子カルテシステムへの障害・入金を促す脅迫メッセージの受信といった被害が発生しました。調査では、給食委託事業者のネットワークに侵入したサプライチェーン攻撃の可能性が高いとされています。
自動車業界におけるサプライチェーン攻撃の被害事例
2022年2月、愛知県豊田市にある大手自動車メーカーのサプライチェーンを担う1次下請け企業がサイバー攻撃を受け、3月1日には国内にある自動車メーカーのライン工場を全停止する事態となりました。その後の調査では、脆弱性のあった子会社のリモート接続機器がマルウェアの侵入口となっていたことが分かりました。

 

4.サプライチェーン攻撃への4つの対策

サプライチェーン攻撃は、本命の標的となる企業(主に大手企業)にとって「いつ、どのようなタイミングで攻撃を受けるか分からないもの」であり、踏み台にされる企業(中堅・中小企業に多い傾向)も「いつ、取引先企業や大切な元請け会社に被害を拡大させてしまっているか分からない」ものです。そのため、いずれの企業も日頃のセキュリティ対策が欠かせません。

最後に、サプライチェーン攻撃に有効な対策方法を4つ紹介します。

 

4-1.サプライチェーン全体のセキュリティリスクを可視化し改善を目指す

サプライチェーン攻撃への対策を講じるにあたって、まず重要となるのが「サプライチェーン全体のセキュリティリスクの可視化」です。

攻撃者は、サプライチェーンを担う企業の大小を問わず、セキュリティの脆弱性があるかをチェックします。たった1つの会社に脆弱性があると、多大な被害を及ぼす可能性があるため、サプライチェーン上のセキュリティリスクを可視化し、必要に応じて低減策を取らなければなりません。

サプライチェーン全体のセキュリティリスクの見直し・改善を行う際は、経済産業省が公表する「サイバーセキュリティ経営ガイドライン」や、情報処理推進機構が公表する「情報セキュリティ10大脅威」の資料が役立ちます。

出典:経済産業省「サイバーセキュリティ経営ガイドラインVer2.0」

出典:情報処理推進機構「情報セキュリティ10大脅威 2022」

また、サプライチェーン上のセキュリティリスクを可視化するだけでなく、常にモニタリングすることも大切です。セキュリティリスクを可視化・モニタリングできるシステムを導入すれば、業務負担を増大させることなく安全なセキュリティ環境の維持につなげられるでしょう。

サプライチェーン上のセキュリティリスクを可視化する「SecurityScorecard」

セキュリティ対策状況を調査し客観的に報告・提言する「リスク可視化支援」

 

4-2.サプライチェーンの改善を支援する

サプライチェーン攻撃を防ぐためには、その中でリーダーシップを取る大企業と、中堅・中小企業の協力による改善が重要です。大企業は助言としてサプライチェーン各社へセキュリティ対策を要求したり、点検や監査を実施するので、中堅・中小企業は実態を隠さず伝えたり、要求に無理のない範囲で対応し、難しい場合は価格転嫁や対策支援を要求しましょう。大企業としては、資本関係も考慮し対策の費用負担やグループCSIRTによる支援等、自社のブランドイメージを守るためのコストとして負担すべきです。具体的な対策支援としては、CASBやEDR、統合ログ管理などの対策範囲を各社へ広げるなどの方法が考えられます。

 

4-3.改善が不十分な企業との関係を見直す

更に、サプライチェーンの中で様々な改善を進めても、対応が不十分であったり不誠実な企業が存在する場合があります。リーダーシップやガバナンスの一環として、関係性を見直し共有する情報を絞ったり、場合によってはシステム・ネットワークの共有を停止するなどの措置も有効です。日本企業にはなかなか難しい措置ですが、その文化がサプライチェーンのリスクを高める原因として狙われていることを意識しましょう。

 

4-4.十分な人員と予算を割り当てる

十分なサイバー攻撃対策にはコストがかかるため、「予算をかけられる余裕がない」とあきらめる企業も多く存在します。しかし、万が一攻撃を受けた場合のサプライチェーンに与える影響を考慮し、経営者が必要な資源を確保しければなりません。十分なセキュリティレベル確保のために、必要な人員と予算を割り当てる必要があります。

社内に情報セキュリティ対策を担える人材がいない場合は、ITセキュリティに関する知識の少ない人員でも操作できるシステムの導入や外部委託によるサポートも視野に入れるとよいでしょう。

 

まとめ

サプライチェーン攻撃とは、組織間における業務のつながりを悪用したサイバー攻撃のことで、サプライチェーン上の関係性を悪用して比較的セキュリティ対策が手薄な関連企業を踏み台に、本命の標的である企業を攻撃することが特徴です。

サプライチェーン攻撃を防ぐためにも、まずはサプライチェーン全体のセキュリティリスクを見直してみましょう。脆弱性を発見した場合は、必要に応じて改善させる必要もあります。

「GSX」では、セキュリティリスクの可視化支援サービスや、サプライチェーン攻撃に対応するセキュリティソリューションを提供しています。ぜひ一度、お問い合わせください。

サプライチェーン上のセキュリティリスクを可視化する「SecurityScorecard」

セキュリティ対策状況を調査し客観的に報告・提言する「リスク可視化支援」

リスク可視化支援について相談する

https://www.gsx.co.jp/inquiry

>> 最新情報をお届け!メールマガジン登録 <<

本記事のシェアはこちらから

お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。