近年急増するサイバー攻撃の中でも、特に警戒すべきなのが「サプライチェーン攻撃」です。これは自社ではなく、取引先や子会社、業務委託先などのサプライチェーンの一部を狙い、そこを踏み台にして本来の標的へ侵入する巧妙な攻撃手法です。
本記事では、サプライチェーン攻撃の概要、主な種類、実際の被害事例を交えながら、企業が取るべき具体的な対策について紹介します。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、企業間の取引や業務連携を悪用して、「サプライチェーン」の一部から標的企業の内部ネットワークへ侵入するサイバー攻撃のことです。サプライチェーンとは、製品の原材料調達から製造、流通、販売に至るまでの一連の供給網を指し、複数の企業が連携して成り立っています。
大企業の多くは高度なセキュリティ対策を施していますが、取引先の中小企業では対策が不十分な場合もあり、攻撃者はその脆弱性を突いて侵入を図ります。近年では、子会社や関連企業を踏み台として大手企業を狙うケースが増加しており、企業規模を問わず広範な対策が求められています。
サプライチェーン攻撃の種類
サプライチェーン攻撃にはさまざまな種類があり、攻撃者はソフトウェアの開発元やITサービス提供者、業務提携先といった外部組織の脆弱性を狙って企業のネットワークに侵入します。ここでは代表的な3つの攻撃タイプを挙げ、それぞれの特徴や対策について解説します。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃とは、ソフトウェアの開発元やアップデート経路など、正規のソフトウェア流通プロセスに侵入し、不正なコードやマルウェアを混入させる攻撃手法です。
利用者は、正規のアップデートやインストールと思い込んで実行してしまうため、検知や防御が非常に困難です。特に信頼性が高く、広く使われているソフトウェアが標的になった場合、被害は全世界に拡大するおそれがあります。
2020年には、SolarWinds社のネットワーク管理ソフト「Orion」のアップデートにマルウェアが混入され、米政府機関を含む最大約18,000の組織が被害を受けました。この事例は国家レベルのAPT攻撃とされ、過去最大級のソフトウェアサプライチェーン攻撃として知られています。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃とは、MSP(マネージドサービスプロバイダ)などのITサービス事業者を標的とし、そこを経由して多数の企業へと被害を拡大させるサイバー攻撃です。
攻撃者は、サービス提供元が保有する特権的な管理権限を悪用し、顧客企業のネットワークにマルウェアやランサムウェアを拡散させます。特にMSPは、多数の企業のITインフラに深く関与しているため、一度侵入を許すと、ドミノ式に被害が連鎖的に広がるおそれがあります。
実際、2021年にはKaseya社のIT管理ソリューション「VSA」の脆弱性を突いた攻撃により、ランサムウェア「REvil」が世界中のMSPとその顧客に感染し、1,500社超が影響を受けました。その結果、スウェーデンの大手スーパーマーケット「Coop」では、一時的に全店舗が営業停止となる深刻な被害が発生しました。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃とは、子会社や関連企業、取引先など標的企業と業務上の関係を持つ周辺組織を先に侵害し、そこを足がかりに本来のターゲット企業に侵入する攻撃手法です。
こうした攻撃は、信頼関係や業務ネットワークの接続といった正当な関係性を悪用するため、異常の検知が難しく、防御も困難とされています。特に、セキュリティ対策が十分でない中小規模の取引先が狙われやすく、企業間での情報共有や連携による包括的なセキュリティ対策が急務となっています。
代表的な攻撃グループとしては、Earth Hundun(別名BlackTech)やEarth Tengshe(APT10関連)などが知られており、日本企業の海外拠点にマルウェア付きのメールを送り込み、そこから国内本社へと侵入した実例も確認されています。
サプライチェーン攻撃の事例
過去には、サプライチェーン攻撃による深刻な被害が国内外で多数確認されています。特に信頼関係を悪用した攻撃は検知が難しく、被害の拡大につながりやすい点が特徴です。ここでは、その中でも代表的な3つの事例を取り上げ、概要を紹介します。
ネットワーク管理ソフト「Orion」の事例(2020年)
2020年12月、ロシア政府系ハッカーグループAPT29(別名Cozy Bear)は、SolarWinds社が提供するネットワーク管理ソフト「Orion」の正規アップデートにバックドア型マルウェア「SUNBURST」を仕込み、世界中の企業や政府機関に甚大な影響を与えました。
このソフトウェアサプライチェーン攻撃では、「Orion」と契約していた約3万3,000社のうち、1万8,000社以上が感染したとされ、NASAや米財務省、司法省などの連邦政府機関も被害を受けました。
SolarWinds社は、株価の急落やSEC(米証券取引委員会)および株主からの集団訴訟に直面し、経済的損失だけでなく企業としての信頼性にも大きな打撃を受けたことから歴史的なサプライチェーン攻撃事例として知られています。
ファイル転送ソフト「MOVEit Transfer」の事例(2023年)
2023年5月末、ファイル転送ソフト「MOVEit Transfer」に存在していたSQLインジェクションの脆弱性が、サイバー犯罪グループ「Cl0p」に悪用され、世界規模のサプライチェーン攻撃が発生しました。
この攻撃では、約2,500〜2,700のMOVEitインスタンスが侵害され、BBC、British Airways、Shell、英国の情報通信庁(Ofcom)など多数の組織が標的となりました。被害は個人情報や機密データにまで及び、流出件数は最大9,300万件、影響人数は6,600万人以上と報告されています。金融、医療、政府機関など幅広い分野で深刻な影響が出ており、多くの企業が高額な補償費用や訴訟対応を迫られました。
この事件を契機に、クレジット決済業界ではセキュリティ基準の見直しや、サプライチェーン全体の可視化、早期パッチ適用の重要性が再認識されました。
ID管理大手Oktaで発生した供給網型攻撃の事例(2023年)
2023年10月、ID管理大手のOktaにおいて、顧客サポートシステムが不正アクセスを受けるサプライチェーン攻撃が発生しました。攻撃者はサポートチケットにアップロードされたファイルに不正にアクセスし、複数の顧客企業の機密情報や個人データを窃取しました。
本件において、侵入は数週間にわたり検知されず、BeyondTrustやCloudflareなどの関係のある企業にも影響が拡大し、同一プラットフォームを利用する他社にも波及しました。この事件により、Oktaが採用するゼロトラストモデルの実効性に疑問が呈され、第三者との接続管理や監査体制の強化が強く求められました。
この事件は、IDプロバイダなど外部サービスへの過度な信頼がリスクにつながることを浮き彫りにし、サードパーティ評価の厳格化や契約条件の見直しが不可欠であることを企業に示す重要な教訓となりました。
サプライチェーン攻撃への対策
サプライチェーン攻撃の被害を受けないようにするため、企業はどのような対策を行えば良いのでしょうか。ここでは、代表的な3つの対策について紹介します。
従業員への教育
サプライチェーン攻撃のリスクを低減するには、従業員への継続的な教育が欠かせません。外部ベンダーや取引先とファイルをやり取りする場面では、共有環境の管理や受信ファイルの安全確認など、具体的な対応策を周知し、実践できるようにする必要があります。
こうした教育をリーダー層が主導することで「全員が防御者である」という意識を社内に根付かせ、怪しい兆候を迅速に報告する文化の醸成が期待できます。
IPAの「中小企業の情報セキュリティ対策ガイドライン」では、教育用のひな形も提示されており、参考資料として活用することで、初めてでも効果的なセキュリティ教育を実施することが可能になります。さらに、定期的な振り返りや評価を通じて、継続的な改善を図ることが重要です。
取引先企業のセキュリティチェック
取引先企業のセキュリティ水準を把握し、継続的に評価・改善を求めることは、サプライチェーン全体の安全性を保つうえで不可欠です。新規契約前には、情報セキュリティポリシーや脆弱性管理体制、アクセス権限の設定などを詳細に確認し、リスクがあれば明確な改善を求めましょう。
また、定期的なセキュリティチェックリストや監査報告の提出を通じ、状況の変化に対応することも重要です。特に海外の委託先を含む場合は、1次・2次に限らずNthパーティまで含めたリスク評価が求められます。「Nthパーティ」とは、サードパーティ(第三者)よりもさらに先の、複雑な関係性を持つ第三者組織を指し、信頼できる供給網を築くには、包括的なモニタリング体制の構築がカギとなります。
セキュリティツールの導入
サプライチェーン攻撃への備えとして、セキュリティツールの導入は非常に有効な対策のひとつです。たとえば、UTM(統合脅威管理)やEPP、EDRを導入することで、複数の取引先やサプライヤーを経由した不審な通信やマルウェアの侵入をリアルタイムで監視・遮断し、攻撃の拡大を未然に防ぐことができます。
また、侵入後の不審な挙動を検知・隔離し、影響範囲の最小化にもつながります。さらにSBOM(ソフトウェア部品表)管理ツールを併用することで、使用中のソフトウェアやライブラリの構成を可視化し、脆弱性スキャンやライセンスチェックを自動化できます。
まとめ
本記事では、サプライチェーン攻撃の概要、主な種類、実際の被害事例を交えながら、企業が取るべき具体的な対策について紹介しました。
サプライチェーン攻撃は、企業の枠を超えて連携先全体のセキュリティが問われるリスクです。被害を防ぐには、従業員への継続的な教育、取引先のセキュリティチェック、ツールの導入など多面的な対策が必要不可欠です。とくに信頼関係を悪用する手口が多いため、「人・組織・システム」のすべてにおいて高いセキュリティ意識を持つことが求められます。
IPAなどが提供する資料を活用しながら、初歩からでも堅実な対策を講じることが可能です。攻撃者は最も弱い部分から侵入してきます。だからこそ、自社だけでなくサプライチェーン全体を見据えたセキュリティ体制の構築が、今後の企業防衛の要となるでしょう。