独立行政法人情報処理推進機構(通称:IPA)は2022年3月29日に「情報セキュリティ10大脅威 2022」を公開しました。そのなかで組織に対する脅威として「サプライチェーンの弱点を悪用した攻撃」が、2021年の4位から順位を上げて3位となり、「サプライチェーン攻撃」の脅威がますます増加しています。
この記事では、サプライチェーン攻撃の分類や攻撃手口、被害事例、対策方法について詳しく解説します。
目次
サプライチェーン攻撃とは
サプライチェーン攻撃は、サプライチェーンの関係性を悪用した攻撃手法です。セキュリティ対策が強固な組織を攻撃せず、サプライチェーン内の組織で比較的セキュリティが脆弱な組織を最初の標的とし、そこを踏み台として本命の標的である組織を攻撃します。サプライチェーンとは、商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流にかかわる組織群を指します。
サプライチェーン攻撃を受けると、関連組織に預けた重要情報の漏えい、本命の標的組織でのセキュリティ被害が生じます。近年は、島巡りツアーで島から島へと渡っていくように、サプライチェーンのなかで移動しながら攻撃する様子から「アイランドホッピング攻撃」と呼ばれることも多いです。
サプライチェーン攻撃の種類と感染経路
サプライチェーン攻撃は大きく分けて2種類に分類できます。
脆弱な取引先や委託先を狙った攻撃
セキュリティが堅牢な本命の標的組織に直接攻撃を行わずに、セキュリティが脆弱な取引先や委託先を攻撃する手法です。取引先や委託先のシステム内にも、本命の標的組織に関する情報を保持しているケースが考えられます。攻撃者は、そういった取引先や委託先が保有する標的組織の機密情報などを窃取します。
ソフトウェア開発元やシステム運用・監視を担当する事業者への攻撃
ソフトウェアの開発元や、サービス提供元、企業システムの運用・監視などを請け負う事業者を狙う手法です。具体的には、それらの事業者が利用するオープンソースや、提供されているソフトウェアアップデートにウイルスを仕込むといった攻撃が行われます。
サプライチェーン攻撃の主な被害事例
サプライチェーン攻撃の被害事例をいくつか紹介します。
ITシステム管理サービスの脆弱性を悪用した攻撃
2021年7月、米国法人のA社は提供するリモート監視・管理ソフトウェアの脆弱性を突いたサプライチェーン攻撃を受けたことを公表しました。このIT管理ソフトウェアを利用しているマネージドサービスプロバイダー(MSP)に影響があり、少なくとも約60社に影響があったとのことです。
この攻撃はランサムウェア犯罪組織「REvil」が実施したとされており、被害にあったシステムの暗号化を解く身代金として、ビットコインで約7,000万ドルの支払いを要求されました。結果的にA社は身代金を支払うことになってしまいました。
自動車会社の工場を止めた攻撃
2022年2月、自動車会社B社の取引先である、自動車部品を生産するC社のシステムがランサムウェアに感染しました。C社によると、脅迫メッセージの存在を確認したとのことでした。
B社のサプライチェーンを支えるC社の1社のシステム障害により、B社の14か所の工場の28ラインが止まり、約13,000台の生産が見送られる事態となってしまいました。
サプライチェーン攻撃への対策
サプライチェーンだからといって、特別なセキュリティ対策を実施する必要はありません。まずは基本的なセキュリティ対策を実施すべきでしょう。
守るべき重要情報の定義を明らかにする
重要情報とは何かを定義したうえで、一般情報と分けて管理を行いましょう。
例えば、氏名・メールアドレス・位置情報・口座情報などのように、漏えいすると個人や、個人が保有する重要な資産が特定されてしまうような情報を重要情報に特定します。営業秘密として不正競争防止法の法的保護を受けるためにも、このような対応を行うことは非常に重要です。
接近の制御
接近の制御とは、重要情報に近寄りにくくするための対策です。例えば、ファイルやフォルダのアクセス権の設定や施錠管理、入退室制限を行うことにより、権限のないメンバーを重要情報に触れさせないようにします。アクセスできるメンバーを必要最低限に抑えることにより、セキュリティ性を向上できます。
持ち出し困難化
重要情報の持ち出しを困難にするための対策です。例えば、USBの利用禁止、電子データを必要に応じて暗号化、会社で認められていないファイル共有サービスの利用禁止などが挙げられます。物理的にデータを社外に持ち出しにくくすることでセキュリティ性を高めます。
視認性の確保
視認性の確保とは、情報の漏えいが見つかりやすい環境づくりのための対策です。具体的には、パソコン・サーバーのアクセスログの保管、防犯カメラの設置、オフィス内の死角をなくすなどが挙げられます。不審な動きがないかを監視したり、死角をなくして不正を起こしにくくする環境をつくったりすることで、不正行為を防ぐ狙いがあります。
情報セキュリティ5か条の遵守
情報セキュリティを担保するための5か条というものが存在します。具体的には以下のとおりです。いずれも基本的なことなので、明日からでも実践できるでしょう。
- OSやソフトウェアを常に最新状態とする
Windowsのセキュリティパッチや使用しているソフトウェアのバージョンを最新化して、セキュリティ性を担保しましょう。 - ウイルス対策ソフトの導入
ウイルス対策ソフトを導入して、ウイルス感染の防止や感染した際の駆除が行える環境をつくりましょう。 - パスワードの強化
大文字小文字記号などを用いたパスワードポリシーに従って、複雑性のあるパスワードを設定しましょう。 - 共有設定の見直し
フォルダやファイルが必要以上に共有されていないか確認しましょう。 - 脅威や攻撃の手口を知る
攻撃者がどのような手口で攻撃を仕掛けるかについて、理解を深めましょう。手口を理解することにより、逆算してどういった対策をとるべきかをイメージできます。
従来のセキュリティ対策だけでは十分とはいえない
特定の組織・団体を狙った標的型攻撃やランサムウェア攻撃が増加し、攻撃手法も複雑化かつ巧妙化しています。そのため、従来のセキュリティ対策だけでは十分とはいえません。
エンドポイント対策
近年は、リモートワークの普及により、社内ネットワークへのアクセス経路が多様化しています。そのため、マルウェアの侵入を完全に防止することが困難になっており、パソコンやスマートフォン、タブレットなどのエンドポイントへ対策を講じる重要性が増しています。
エンドポイントへのセキュリティ被害のリスクを低減したい方は、「Webroot® Business Endpoint Protection」をご覧ください。
エンドポイントセキュリティについては、「エンドポイントセキュリティでビジネス環境を整える!その重要性や注意点、サービスの選び方について」で詳細を解説しておりますので、あわせてご覧ください。
サイバーレジリエンス
サイバー攻撃の手口が巧妙になっているため、完全に防ぐことは困難です。そのため侵入を防止するという概念だけではなく、侵入を前提としたサイバーレジリエンスという考え方も重要です。
サイバーレジリエンスに関する詳細は「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」をご覧ください。
さまざまなセキュリティ対策を講じることでサプライチェーン攻撃から守ろう
サプライチェーン攻撃の概要を理解したうえで基本的なセキュリティ対策を講じることが、サプライチェーン攻撃の被害を防ぐためには重要です。また、エンドポイント対策やサイバーレジリエンスなどの概念を取り入れることで、社内システムのセキュリティ性をさらに担保できます。
人気資料ランキング
人気記事ランキング
新着記事
