「サイバー攻撃の標的になるのは大企業だけ」と考えている方もいるのではないでしょうか?たしかに、大企業の方が保有している情報量も多く情報の重要性も高いため、攻撃の対象にされやすいという見方もあります。しかし近年では、中小企業を狙ったサイバー攻撃も活発化しています。
「サプライチェーン攻撃」もそうした攻撃の1つで、対策の必要性が叫ばれています。ここでは、サプライチェーン攻撃の概要や手法、実際の事例や対策について解説します。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、製品の原材料から生産・販売までの一連の流れを悪用したサイバー攻撃のことです。ここでは、近年その重大さが認識されつつあるサプライチェーン攻撃の概要について解説します。
そもそもサプライチェーンって?
サプライチェーンとは、日本語で「供給連鎖」と訳され、製品の原材料や部品の調達から製造、管理、配送、販売、消費まで、ある製品が消費者に届くまでの一連の流れを指す言葉です。製品の消費者への供給が、さまざまな工程が鎖のようにつながって成り立っていることから「サプライチェーン」と呼ばれます。各工程は1つの企業が統括している場合もあれば、それぞれ別々の企業が担当する場合もあります。
サプライチェーン攻撃とは?
サプライチェーン攻撃とは、「サプライチェーン」による企業同士のつながりを狙ったサイバー攻撃の手法です。標的となる大企業に対して直接攻撃を仕掛けるのではなく、セキュリティの手薄な関連企業や取引先企業を経由して標的となる大企業にサイバー攻撃をおこないます。
例えば、車の製造を行う大企業A社を攻撃の標的とする場合を考えてみましょう。A社は大企業であるため、セキュリティ対策が厳重になっています。そこで攻撃者は、A社の車の部品を製造している取引先B社をまず標的にして、攻撃を仕掛けます。これは、B社がA社に比べてセキュリティが手薄であるためです。そして最終的に、攻撃者は不正アクセスに成功したB社を経由して、本来の標的であるA社にサイバー攻撃を仕掛けます。これがサプライチェーン攻撃の典型的な例です。
つまり、サプライチェーン攻撃とは、企業同士のつながりを狙い、大企業へ間接的に攻撃をするサイバー攻撃の手法になります。なお、中小企業は日本企業の99%を占めており、関連企業や取引先が中小企業であることは非常に多いです。中小企業はコストや人材不足のためにセキュリティが脆弱であるため、このようなサイバー攻撃の対象となってしまいます。
サプライチェーン攻撃の特徴
サプライチェーン攻撃は、近年注目されているサイバー攻撃の一種です。その理由として、サプライチェーン攻撃の持つ「被害が大きい」「被害者のはずの自社が加害者になることもある」という特徴があります。
被害が大きい
サプライチェーン攻撃は、自社だけに留まらず被害が大きくなりやすいです。企業同士のつながりを狙ったサイバー攻撃であるため、一社が攻撃を受けると複数の企業が連鎖的に影響を受けることになります。標的として大企業が狙われることも多いため、大企業にまで被害が及ぶと多くの従業員や消費者の生活にも大きな影響があります。
被害者のはずの自社が加害者になることもある
サプライチェーン攻撃のもう一つの特徴として、「被害者であるはずの自社が加害者になることもある」ということが挙げられます。サプライチェーン攻撃は、セキュリティの手薄な関連企業を経由して標的となる企業を攻撃するため、被害者であるはずの自社が、標的となる企業に攻撃者を仲介してしまっていた、という事態が起こります。自社のセキュリティが手薄なばかりに、取引先企業が攻撃を受けるような事態になってしまうと、企業としての信頼を大きく損なう恐れがあります。さらに場合によっては、損害賠償責任が生じることもありえます。
サプライチェーン攻撃の危険性は高まっている!中小企業は対応が必須!
サプライチェーン攻撃は、近年危険性が高まっているサイバー攻撃です。ここでは、サプライチェーン攻撃に関するセキュリティ業界の評価や、法的な対策義務について解説します。
サイバー攻撃の中でもベスト3に入る
サプライチェーン攻撃は、社会的な影響が大きいサイバー攻撃として認知されています。情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威 2022」では、「サプライチェーンの弱点を悪用した攻撃」は組織を標的にした攻撃として第3位にランクインしています。
法律でセキュリティが義務付けられている
特に個人情報を扱う企業では、セキュリティ対策は法律でも義務付けられています。例えば、「個人情報の保護に関する法律」の第二十二~二十五条では、個人データの更新や削除、安全管理などが義務付けられています。中小企業であったとしても、サプライチェーン攻撃の被害に遭わないように、また、加害者とならないように、十分なセキュリティ対策を講じる必要があります。
サプライチェーン攻撃の目的
そもそも、攻撃者はどのような目的でサプライチェーン攻撃を仕掛けるのでしょうか。主に、サプライチェーン攻撃の目的は「機密情報の盗取」「金銭の盗取」の2つが挙げられます。
機密情報の盗取
現在、多くの企業で顧客の個人情報や取引のデータ、新製品の企画や計画などの機密情報が扱われています。これらの重大な情報を保管する企業に不正アクセスをして機密情報を盗取し、情報を欲しがる第三者に売ることで金銭を得ることがサプライチェーンの目的の1つになります。
金銭の盗取
また、標的となる企業から直接金銭を盗取するという目的もあります。この場合では、重大な情報を暗号化して閲覧できない状態にし、「元に戻して欲しければ身代金を支払え」と金銭を要求する、情報を盗取したうえで「外部に漏らされたくなければ身代金を支払え」と金銭を要求する、といった例が該当します。
サプライチェーン攻撃で被害を受けた事例
具体的に、サプライチェーン攻撃で被害を受けた事例をご紹介します。サプライチェーン攻撃は大企業をはじめとする大きな組織が標的になるため、ニュースでも大々的に報道されます。
トヨタ自動車
2022年3月、トヨタ自動車の主要取引先であり部品の納入を担う小島プレス工業が、マルウェアへの感染被害を公表しました。小島プレス工業は社内のすべてのサーバーを停止させ、トヨタ自動車の国内の全工場が1日間停止する事態となりました。その影響でトヨタ自動車には約1万3000台の生産遅れの被害が生じました。
調査の結果、小島プレス工業へのマルウェアの侵入元は、子会社の通信用機器だったことが判明しています。原因となった通信用機器には、攻撃につながり得る脆弱性の存在が確認されました。この事例は、一社のセキュリティが突かれるだけで大規模な被害につながり得る攻撃として、サプライチェーン攻撃の危険性の再認識につながったと言えるでしょう。
参考:システム停止事案調査報告書(第 1 報)小島プレス工業株式会社
三菱電機
三菱電機も、サプライチェーン攻撃の被害を受けた大企業の1つです。2020年11月、第三者による不正アクセス被害により、同社の取引先8635口座、子会社の取引先151口座の金融機関口座に関わる個人情報が流出したことを公表しました。この攻撃は、中国にある三菱電機の子会社への不正アクセスによって従業員のアカウント情報を盗取されたことが原因とされています。なお、本件はマルウエアによる侵害やソフトウエアの脆弱性を突いた攻撃ではないことが判明しています。
参考:不正アクセスによる情報流出について(調査結果)|三菱電機株式会社
Bリーグ
最近注目を集めている日本のバスケットボールリーグ「B.LEAGUE」も、サプライチェーン攻撃の被害を受けました。2017年3月、チケットサイトの運営を受託している「ぴあ株式会社」が不正アクセスを受け、クレジットカード情報を含む個人情報15万5千件が第三者に流出した恐れがあると公表しました。実際に、個人情報が流出したことで十数件のクレジットカードの不正利用の被害が報告されています。本事例の原因はアプリケーションで利用されているフレームワークの脆弱性であると判明しています。
参考:ぴあ社がプラットフォームを提供する B.LEAGUE チケットサイト、及びファンクラブ受付サイトへの 不正アクセスによる、個人情報流出に関するお詫びとご報告|ぴあ株式会社
サプライチェーン攻撃の手口
サイバー攻撃への対策を講じる上で、攻撃の手口を把握しておくことは非常に重要です。ここでは、サプライチェーン攻撃の主な手口を3つご紹介します。
取引先になりすます
1つ目の手口は、「取引先になりすます」というものです。攻撃者はまず、セキュリティが手薄な取引先企業を狙ってサイバー攻撃をしかけ、メールアドレス情報やアカウント情報を盗取します。次に、盗んだメールアドレスやアカウントを使って取引先を装い、標的となる企業にマルウェアを添付したメールを送信します。そして、標的となる企業が取引先からのメールであると判断して添付ファイルを開いてしまいマルウェアに感染する、という流れです。
納品物にマルウェアを埋め込む
2つ目の手口は、「納品物にマルウェアを埋め込む」というものです。攻撃者は取引先企業を狙って不正にアクセスし、納品物となるソフトウェアやハードウェアなどにマルウェアを埋め込みます。取引先企業が標的となる企業に当該の納品物を納品した後、標的となる企業の側でソフトを起動したり更新プログラムを実行したりすると、マルウェアに感染してしまう、という仕組みです。
取引先に不正アクセスする
3つ目の手口は、「取引先に不正アクセスする」というものです。取引先企業が管理している標的企業に関する個人情報や機密情報を直接狙い、情報の盗取を試みる手口です。盗取した情報を元に身代金を要求する、といった二次的な被害に遭う場合もあります。
中小企業がサプライチェーン攻撃を防ぐための対策
サプライチェーン攻撃は被害が大きくなりやすい上に、大企業ではなくむしろ中小企業が主な標的となるサイバー攻撃です。そのため、中小企業でも十分なセキュリティ対策を実施しておかなければ、自社が被害に遭うだけでなく、取引先企業に多大な損害を与える恐れもあります。ここでは、中小企業がサプライチェーン攻撃を防ぐための対策についてご紹介します。
IPAのガイドラインの実施
1つ目は、情報処理推進機構(IPA)のガイドラインの実施です。IPAは、情報セキュリティに関する情報を日常的に発信しており、専門家の見解を元にしたセキュリティ対策のガイドラインも公開しています。
なかでも、中小企業のセキュリティ対策ガイドラインとして、「情報セキュリティ5か条」が公表されています。「OSやソフトウェアは常に最新の状態にする」「ウイルス対策ソフトを導入する」など、企業が実施すべき最低限のセキュリティ対策について初心者にもわかりやすく記載されています。
IPAはその他にも、セキュリティ対策用のガイドラインや最新の脆弱性情報、脅威や対策についての解説などのコンテンツが豊富なため、企業のセキュリティ担当者は目を通しておくことをおすすめします。
専門家の活用
2つ目は、専門家を活用することです。中小企業にはセキュリティ担当者がいない場合もあり、サプライチェーン攻撃への対策について具体的に何から始めたら良いのか、分からないことも多いでしょう。
セキュリティはIT業界の中でも専門性が高い分野であるため、専門家の意見を聞くことをおすすめします。セキュリティコンサルタントの活用や脆弱性診断、ペネトレーションテストなどが挙げられ、企業のシステムや情報資産のセキュリティ強化には大きく役立つでしょう。
まとめ
サプライチェーン攻撃は、取引先や子会社を経由して標的となる企業に攻撃を仕掛けるサイバー攻撃の手法で、中小企業が標的になります。さらには、被害が大きくなりやすく、加害者になってしまう恐れもあることが特徴です。被害に遭わないため、また取引先に被害を与えないためにも、セキュリティ対策を講じる必要があります。
サプライチェーン攻撃をはじめ、セキュリティ対策を講じる際には、専門家の意見を活用するのが良いでしょう。IPAの情報をチェックしつつ、セキュリティベンダーに相談するなど、適切な対策をとることが大切です。
【セキュリティソリューションのご紹介】
Librus株式会社では企業のサイバー攻撃被害に備え、毎月10万円でホワイトハッカー、弁護士、ブランドコンサルタントをまとめてアサインできる 「セキュアナイト」というサービスを提供しております。
またサイバーセキュリティに関するアドバイザリーやセキュリティ診断(脆弱性診断、侵入テスト)、デジタルフォレンジック(システム復旧支援中心)においても豊富な実績がございます。
ご相談は無料ですので、いつでもお気軽にお問い合わせください。