「サプライチェーン攻撃」というサイバー攻撃をご存じでしょうか？この攻撃は感染から発覚までのタイムラグが長くなり、発覚するまでの間に感染が広がっていくことから、気が付くと大規模感染を引き起こすことの多いやっかいな攻撃です。サプライチェーン攻撃では、比較的セキュリティ対策が手薄な中小企業や、大手企業の取引先等が狙われやすい傾向があります。自社のセキュリティ対策が甘い場合、ウイルスを仕掛けられ、知らないうちに自社とつながりのある企業へも感染させてしまう恐れがあります。今回はサプライチェーン攻撃について詳しく解説し、被害にあわないための対策等見ていきたいと思います。

 

サプライチェーン攻撃とは

セキュリティの手薄な中小企業がターゲットに

サプライチェーンとは、原材料や部品の調達、製造、在庫管理、物流、販売など、原材料から供給までの一連の流れのことを指します。サプライチェーン攻撃はそういった企業活動における「サプライチェーン（供給網）」につけ込むサイバー攻撃のことです。流通の中で関わった企業へと侵入し、本命である大企業や親会社へとサイバー攻撃を仕掛けます。

 

近年、大企業や官公庁は厳重なセキュリティ体制をしいているため、比較的セキュリティ対策の薄い取引先や関連会社を経由して、ターゲットである企業への攻撃が新たな攻撃スタイルとして出てくるようになりました。大企業自体をターゲットとするのではなく、取引先を踏み台にして攻撃する点が大きな特徴とされます。サプライチェーン攻撃の手法が広まるにつれ、以前は大企業主体だったのが中小企業もターゲットとなり、脅威にさらされるようになりつつあります。知らず知らずのうちに自社が加害者になる恐れもあり、発覚が遅れると大規模感染につながる非常にやっかいな攻撃です。

 

 サプライチェーン攻撃の手法

ソフトウェアやIT機器を開発する企業を踏み台にするもの

このタイプの攻撃では、例えばソフトウェアを開発する企業に侵入し、開発中のソフトにマルウェアを感染させます。ターゲットとなる企業はそのソフトウェアを使用する際に、マルウェアに感染させられてしまいます。ソフトにバックドアを仕込んだりアップデートプログラムやパッチに埋め込んだりして感染させる方法もあり、2017年には、システムクリーニングツールである CCleaner が改ざんを受け、マルウェアが混入されたことがニュースにもなりました。

 

関連企業・取引先企業を踏み台にするもの

このタイプの攻撃では、関連企業・取引先企業に侵入し、関連企業・取引先企業を経由して攻撃をしかけます。主な手法はマルウェアメールやフィッシングメールといった「標的型メール攻撃」が用いられます。マルウェアは感染したPCから情報を盗み出すものが多く使われ、フィッシングメールはさまざまなシステムやサービスへのログイン情報を盗み出すために使われます。

 

マルウェアによる攻撃では、マルウェアが添付されたメールを送信し、PC（エンドポイント）を未知のマルウェアに感染させます。そして感染させて乗っ取ったPCから次の取引先へと攻撃を仕掛け、終的に本命であるターゲット企業から重要データを詐取します。

 

フィッシングメールの攻撃は、メールを受信したユーザーを偽サイト（フィッシングサイト）に誘導し、重要情報を入力させようとします。個人への攻撃も度々報道され、クレジットカードやネットバンクなどの情報が抜き取られたりしました。フィッシングメールの文章は今すぐ何とかしないといけないと思わせるような、人間の心理を利用した文面が使われています。昨年末は、新型コロナワクチンのサプライチェーンを狙ったフィッシング攻撃が仕掛けられました。COVID-19ワクチンのコールドチェーンとして知られる、温度管理された環境の提供に従事している企業が標的となりました。この攻撃では電子メールによるスピアフィッシングを使い、ターゲットの社内の電子メールやアプリケーションの認証情報を収集しようとしました。

 

サプライチェーン攻撃の脅威

サプライチェーン攻撃のリスクは高まっており、IPA（独立行政法人情報処理推進機構）が作成している「情報セキュリティ10大脅威」の組織編において2019年からランクインしています。IPAではその要因として、次のような要因を挙げています。

 

• サプライチェーンのセキュリティ対策不足
• サプライチェーンを適切に選定、管理していないこと
• 再委託先や再々委託先の管理が困難であること

 

IPAの「サイバーセキュリティ経営ガイドライン」で、経営者が認識すべき3原則の2番目に「自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」と記載されています。

 

これまで、セキュリティに敏感な大企業やグローバル企業は、自社のセキュリティ構築に注力してきました。しかし、サプライチェーン攻撃は自社の防御をどれだけ堅牢にしたとしても、取引先企業のどこかに穴があればそこから侵入され攻撃されるのです。

 

サプライチェーン攻撃の対策

サプライチェーン攻撃におけるサイバー攻撃者の常套手段は、メールなどでマルウェアを送り込むことです。使用されるマルウェアは、一般的なウイルス対策ソフトでは防御が難しい未知の脅威も多いのが実情です。

 

自社を踏み台にして取引先に危害が及ばないように予防するには、再委託先、再々委託先を含めてサプライチェーン全体のサイバーセキュリティ対策について把握し、自社の責任と委託先の責任を切り分けておく必要があります。また中小企業が講じるべきサプライチェーン攻撃対策としては以下のような方法があります。

 

• ネットワークへの不正侵入を防ぐIPSの導入
• EDR導入による端末の不正な挙動の監視
• 取引先や関連会社を含めた啓発とセキュリティ対策の向上
• 取引先のネットワークの分離

 

またIPAによる「情報セキュリティ5か条」では、基本的な情報セキュリティの徹底が推奨されています。

 

1. OSやソフトウェアは常に最新の状態にする。脆弱性は、ソフトウェアを更新して根本的に解消する
2. ウイルス対策ソフトの導入。流行しているウイルスの感染を未然に防ぐ。
3. パスワードを強化する。 パスワードは「長く」「複雑に」「使いまわさない」。
4. 共有設定を見直す。無関係な人に情報を覗き見られるトラブルを回避。
5. 脅威や攻撃の手口を知る。新聞やインターネット等から情報を収集し、被害に遭わないよう手口を事前に知る。

 

これらの基本的な対策を実行した上で、ITインフラの見直しや投資も検討します。例えば、通信を暗号化する仮想の専用回線VPN（Virtual Private Network）を構築すれば、サイバー攻撃にあったとしても被害を最小限に食い止めることも可能になります。

 

事後対策も重要

またインシデント発生に対し迅速に対応できれば、被害の範囲を狭くすることができます。特にインシデントを検知してからの初動処理が大切です。定められた経路で報告する、感染したパソコンをネットワークから切り離す、取引先に被害が及ぶ場合は連携して解決にあたる等、情報伝達の経路や対処の手順などを整理しておく必要があるでしょう。

 

さいごに

サプライチェーン攻撃の脅威は年々着実に高まってきています。今回ご紹介したようにターゲットとして中小企業が狙われています。日本では、9割以上の企業がいわゆる中小企業です。そして、その大半はコストや人的な要因で十分なセキュリティ対策ができておらず、サイバー攻撃に対して非常に脆弱であるのが現状です。こうしたセキュリティ対策の不備をつく攻撃がサプライチェーン攻撃です。自社だけのリスクではないことを念頭におく必要があります。

 

経済産業省の「産業分野におけるサイバーセキュリティ政策」によると2017年に猛威を振るったランサムウェアWannaCryは、欧州企業の感染したPC端末からサプライチェーン経由で日本企業に感染したことが明らかになっています。こうした事から、十分なセキュリティ対策をとっているかが取引開始の判断基準の一つとなっていく可能性が高まっています。

 

自社経由で取引先へ感染させることは信用の失墜につながり、最悪取引停止という自体も招きかねません。日頃からこうした攻撃の標的にならないよう注意を怠らず、必要なセキュリティ体制を敷くことが重要です。