サプライチェーン攻撃とは?被害リスクと効果的な対策を紹介
「サプライチェーン攻撃にはどんな手口が存在するの?」「具体的な被害リスク、セキュリティ対策を知りたい」といった疑問がある方もいるでしょう。サプライチェーン攻撃とは、サプライチェーンの各段階におけるセキュリティの弱点を悪用する攻撃のことです。
芋づる式に被害が発生することから、大規模で広範囲に、そして甚大なる被害に繋がる恐れがあります。攻撃によるリスクを抑え、サプライチェーンの安全性を維持するためには効果的な対策が必要です。
そこで今回は、サプライチェーン攻撃の仕組みや手口、被害リスク、効果的な対策方法について解説します。最後までご覧になれば、サプライチェーン攻撃のリスクを把握でき、状況に適した対策を見つけることができるでしょう。
目次
[ 開く ]
[ 閉じる ]
- サプライチェーン攻撃とは
- サプライチェーン攻撃の仕組み
- サプライチェーン攻撃の被害は増加傾向にある
- サプライチェーン攻撃の主な手口
- 関連会社を踏み台にして攻撃する
- サービス提供前の脆弱性を狙う
- サービス提供元を直接攻撃する
- サプライチェーン攻撃による被害リスク
- サプライチェーン攻撃の被害事例
- 総合病院がサプライチェーン攻撃で2ヶ月間の業務停止
- 大手認証サービスのネットワークがハッキング
- 大手電機メーカー約8,000台のPCに不正アクセス
- サプライチェーン攻撃を防ぐための対策
- 企業間の連携を強める
- OSやソフトウェアを常に最新にする
- 複雑なパスワードを設定する
- 従業員のセキュリティ意識を向上させる
- セキュリティ対策ソフトを取り入れる
- サプライチェーン攻撃の対策ならGMOサイバーセキュリティ byイエラエ
- まとめ
サプライチェーン攻撃とは
サプライチェーン攻撃とは、サプライチェーンの各段階におけるセキュリティの弱点を悪用する攻撃のことです。サプライチェーンとは、製品の調達から販売に至るまでの一連の流れを指します。
サプライチェーン攻撃は1つの企業だけでなく、ターゲットに関係する企業や製品の脆弱性を狙い、企業間取引やソフトウェアの提供プロセスで攻撃を仕掛けます。特にセキュリティ対策が手薄な中小企業がターゲットになりやすい点が特徴です。
サプライチェーン攻撃の仕組み
サプライチェーン攻撃の仕組みは、信頼された企業や製品を通じて、ターゲットのシステムやネットワークに侵入することにあります。攻撃者は製品やサービスの製造・提供過程でのセキュリティの隙間を見つけ出し、そこを狙います。
本来のターゲットである大手企業はセキュリティ対策が万全な傾向にあるため、システムやネットワークに簡単に侵入することはできません。そこで攻撃者は、セキュリティ対策が手薄な関連企業に攻撃を行い、そこを踏み台にして本来のターゲットである大手企業に侵入するのです。
サプライチェーン攻撃の被害は増加傾向にある
独立行政法人情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威 2023」では、組織をターゲットにしたセキュリティの脅威について、「サプライチェーンの弱点を悪用した攻撃」が第2位にランクインしています。2022年の順位は第3位であり、2021年、2020年は第4位です。
これらの推移から、組織に対するサプライチェーン攻撃の被害は年々増加傾向にあると言えます。近年、新型コロナウイルス感染症の影響で多くの企業がテレワークを導入しました。社内以外で社用デバイスを利用する機会が増え、以前よりもセキュリティ対策が手薄になっている今、サプライチェーン攻撃による被害リスクが多くの企業で増加しています。
サプライチェーン攻撃の主な手口
サプライチェーン攻撃にはさまざまな手口が存在し、それぞれ異なるアプローチが取られます。攻撃の対策を図るためにも、まずは主な手口を理解することが大切です。以下、具体的な手口を3つ紹介します。
- 関連会社を踏み台にして攻撃する
- サービス提供前の脆弱性を狙う
- サービス提供元を直接攻撃する
主要な手口とその特徴について解説していきます。
関連会社を踏み台にして攻撃する
サプライチェーン攻撃の1つの手口は、関連会社を踏み台として本命のターゲットに侵入する方法です。この手口は、「ビジネスサプライチェーン攻撃」とも言われます。
攻撃者はサプライチェーン上の関連会社との信頼関係を悪用し、間接的に標的企業のセキュリティを突破します。例えば、攻撃者はサプライヤーのシステムを侵害し、そのサプライヤーを通じて標的企業のシステムにアクセスします。
この手口は、標的企業が直接的な攻撃を警戒している場合に特に有効です。また、取引先の企業を偽り、マルウェアを仕込んだメールを標的企業に送りつける手口もあります。
サービス提供前の脆弱性を狙う
サービスや製品が市場に出回る前の脆弱性を狙う手口も確認されています。この手口は「ソフトウェアサプライチェーン攻撃」とも言われており、攻撃者がサービスや製品の提供工程を侵害し、ソフトウェアなどに不正なコードを混入させます。
▼主な攻撃経路
- オープンソースコード
- システム管理ツール
- 利用するアプリケーション
この種の攻撃は、ソフトウェアやハードウェアの初期設計段階に介入する点が特徴です。バックドアやマルウェアを埋め込むことで、広範囲にわたって被害を引き起こすことが可能になります。
サービス提供元を直接攻撃する
サプライチェーン攻撃の中には、サービス提供元を直接攻撃する手口も存在します。この手口は「サービスサプライチェーン攻撃」とも呼ばれ、攻撃者は「MSP(マネージドサービスプロバイダ)」などのセキュリティシステムに侵入し、そこから他の企業への攻撃を拡大します。
攻撃者はサービス提供元をハブとして利用し、その顧客ネットワークを通じて広範囲にわたる攻撃を仕掛けることが可能です。サービス提供元が多くの顧客とビジネスを展開している場合、より大規模な被害に繋がる恐れがあります。
サプライチェーン攻撃による被害リスク
サプライチェーン攻撃により、企業や個人に重大な被害がもたらされる可能性があります。この攻撃は、組織のセキュリティシステムを巧みに突破し、広範囲に被害を発生させる危険性が存在します。具体的な被害リスクは以下の通りです。
▼サプライチェーン攻撃による主な被害リスク
- 個人情報や機密情報の窃取
- 不正アクセスによるデータの改ざん
- マルウェア感染によるデバイスの乗っ取り
- サービス妨害によるシステム障害・営業停止
- 信頼性の損失によるブランド価値の低下
- ランサムウェアによる身代金の請求
芋づる式に被害が広がることから、サプライチェーン全体に与える影響は必然的に大きくなります。最悪の場合、被害額が数千万円、数億円と膨らみ、サプライチェーン全体が倒産の危機に追い込まれるリスクがあります。
これらのリスクを踏まえ、企業や組織はサプライチェーンのセキュリティ強化に注力しなければなりません。企業の規模に関わらず、セキュリティ対策の強化が推奨されます。
サプライチェーン攻撃の被害事例
サプライチェーン攻撃に関する被害事例は過去に複数件確認されています。中でも代表的な事例として、以下の3つをそれぞれ解説していきます。
総合病院がサプライチェーン攻撃で2ヶ月間の業務停止
2022年10月、医療センターに給食を提供していた事業者を踏み台に、国内の総合病院がサプライチェーン攻撃の被害に遭い2ヶ月間の業務停止となりました。攻撃者は同病院に侵入し、ランサムウェアによる攻撃を実施しています。
この際、医療センターの基幹サーバー、電子カルテシステム関連のサーバー、パソコンなど約1,300台のファイルが暗号化され、その影響で緊急時以外の診療停止に追い込まれました。この事件の要因は、ネットワーク上の脆弱性が放置されたことにあります。
大手認証サービスのネットワークがハッキング
2022年1月、サプライチェーン攻撃の手口により、大手認証サービスのネットワークがハッキングされました。悪名高いハッカー集団「Lapsus(ラプサス)」によってハッキングが行われ、全顧客データの2.5%に相当する366の法人企業が不正アクセスの被害に遭っています。
侵入を許した業務委託先と大手認証サービスにおける対応の流れが明らかとなり、その内容から両社の反応の鈍さが発覚。緊急性の認識の欠如が浮き彫りになりました。
大手電機メーカー約8,000台のPCに不正アクセス
2019年6月、大手総合電機メーカーが大規模なサプライチェーン攻撃を受け、約8,000台のPCに不正アクセスが発生しました。攻撃者は中国に拠点を置く関連会社へ侵入し、約120台のPC、約40台のサーバーに不正アクセスを実施。
その結果、防衛省や内閣府・原子力規制委員会といった政府機関から、電力会社やJRなどの民間企業にまで被害が及び、重要データの漏洩が疑われました。
サプライチェーン攻撃を防ぐための対策
サプライチェーン攻撃を防ぐためには、サプライチェーン全体でセキュリティ対策を強化することが不可欠です。本項では、サプライチェーン攻撃を防ぐための対策方法を5つ紹介します。
- 企業間の連携を強める
- OSやソフトウェアを常に最新にする
- 複雑なパスワードを設定する
- 従業員のセキュリティ意識を向上させる
- セキュリティ対策ソフトを取り入れる
サプライチェーンに関わる全ての企業が協力し、脆弱性を共有し対処することで、攻撃のリスクを減らすことが可能です。各対策の内容を詳しく見ていきましょう。
企業間の連携を強める
サプライチェーン全体でのセキュリティ対策の共有と連携を強化することは、サイバー攻撃を防ぐ上で非常に重要です。各企業は自社のセキュリティだけでなく、取引先企業との情報共有を通じて、脆弱性を未然に取り除くことが求められます。
具体的には、定期的なセキュリティ会議の開催、共通のセキュリティ基準の策定、リスク評価の共有など、企業間での積極的なコミュニケーションが攻撃のリスクを低減します。
OSやソフトウェアを常に最新にする
使用するOSやソフトウェアは常に最新の状態に保つようにしましょう。セキュリティパッチの適用は、システムの脆弱性を修正し、攻撃者による悪用のリスクを低減します。自動アップデートの設定や、定期的なセキュリティチェックを行うことが推奨されます。
複雑なパスワードを設定する
企業内外で使用する全てのアカウントに複雑なパスワードを設定することも重要です。強固なパスワードの設定は、攻撃者の推測や突破を困難にし、社内のセキュリティを大幅に強化します。複雑なパスワードの一例は以下の通りです。
▼複雑なパスワードの一例
- 文字数は最低12文字以上
- 大文字、小文字、数字、特殊文字を組み合わせる
- 一般的ではない単語やフレーズを使用する
反対に、短いパスワードや予測しやすいパスワードは不正アクセスの危険性を高めるため注意が必要です。パスワードを攻撃者に知られないために、定期的にパスワードを変更する対策も有効です。
従業員のセキュリティ意識を向上させる
従業員へのセキュリティ教育を定期的に実施することで、組織全体のセキュリティ意識を高めることができます。この対策は、従業員が日常的な業務の中で遭遇する可能性のあるリスクを理解し、適切に対応できるようにするために重要です。
▼従業員のセキュリティ意識を高めるための主な施策
- セキュリティ研修を定期的に開催する
- セキュリティ対策のマニュアルやルールを策定して社内で共有する
- 直近で発生したセキュリティ被害事例をまとめて社内で共有する
セキュリティ研修には、フィッシング詐欺の識別、パスワード管理、機密情報の扱い方などを含めるべきです。定期的に開催することで、従業員の危機管理能力を高められます。
セキュリティ対策ソフトを取り入れる
さまざまなサイバー脅威から保護するためにも、セキュリティ対策ソフトの導入が推奨されます。対策ソフトを導入することで、不正アクセスの試みやマルウェアを迅速に検出し、その後の対応を正確に行うことが可能になります。
継続的なセキュリティアップデートを実施すれば、新たに発見される脅威に対しても効果的に対処できます。対策ソフトを導入する際は、信頼できる開発元のツールを選ぶことが大切です。
サプライチェーン攻撃の対策ならGMOサイバーセキュリティ byイエラエ
画像引用元:GMOサイバーセキュリティ byイエラエ
サプライチェーン攻撃の対策なら、「GMOサイバーセキュリティ byイエラエ」にお任せください。このサービスでは、あらゆるサイバー攻撃の対策からセキュリティ課題の解決まで、総合的なサポートを提供しています。
サプライチェーン攻撃に特化した対策を講じることで、企業のセキュリティ対策を強化し、攻撃によるリスクを低減することが可能です。
▼GMOサイバーセキュリティ byイエラエの強み
- 自社のセキュリティの弱点を特定し、対処法まで把握できる
- ホワイトハッカーの技術力でサプライチェーン攻撃によるリスクを低減できる
- セキュリティコンサルティングサービスで高度化する脅威に常に対応できる
サプライチェーン攻撃による脅威を防ぎたい方は、本サービスの利用を検討してみてください。
まとめ
本記事では、サプライチェーン攻撃の仕組みや手口、被害リスク、効果的な対策方法を解説しました。
近年、サプライチェーン攻撃の被害は増加傾向にあります。具体的な被害リスクとしては、個人情報や機密情報の窃取、不正アクセスによるデータの改ざん、ランサムウェアによる身代金の請求など、企業の存続が危ぶまれるものも含まれます。
サプライチェーン攻撃を効果的に対策したい方は、「GMOサイバーセキュリティ byイエラエ」への依頼をご検討ください。あらゆるサイバー攻撃の対策からセキュリティ課題の解決まで、総合的にサポートいたします。
文責:GMOインターネットグループ株式会社
