調達・製造・販売・消費などの一連の流れを意味する「サプライチェーン」。昨今、そのサプライチェーンの弱点に付け込んだサイバー攻撃が顕在化・多角化しており、企業規模を問わず「サプライチェーンセキュリティ」の対策が急務となっています。
アメリカの政府機関であるNISTは早くからサプライチェーンセキュリティを重要視しており、2017年1月にサプライチェーンリスク管理のフレームワークをまとめています。(参考)日本では、2020年11月に経済産業省や主要経済団体を中心とした「サプライチェーン・サイバーセキュリティ・コンソーシアム(Supply Chain Cybersecurity Consortium:SC3)」が設立されるなど、産業界全体で対策を進める方針が打ち出されました。
本記事では、昨今急激に注目され始めたサプライチェーンセキュリティについて、「具体的なリスクと攻撃方法」「過去の攻撃事例」「対策方法」の3点を分かりやすく解説します。
IPAの情報セキュリティ10大脅威にて、3年連続TOP5入りを果たした「サプライチェーン攻撃」は、もはやマイナーなサイバー攻撃ではありません。ぜひ、御社のセキュリティ対策の一環として取り入れることを念頭に、読み進めてみて下さい。
サプライチェーンのセキュリティリスクとは?
サプライチェーン攻撃の大きな特徴の1つは、セキュリティ対策が強固な企業を直接攻撃せず、その企業の取引先や系列の「セキュリティが脆弱な企業」を足掛かりに、間接的に攻撃を仕掛ける点です。
2021年現在、最も顕在化しているサプライチェーン攻撃は2種類あります。
- 関連会社を経由して標的の企業へと侵入する攻撃
- ソフトウェア等に開発段階で脆弱性を仕込む攻撃
関連会社を経由して標的の企業へと侵入する攻撃
標的の企業が構成するサプライチェーンの中で、セキュリティが脆弱な組織を攻撃の起点とし、そこを踏み台として標的の企業へ侵入・攻撃を仕掛ける手法です。サプライチェーンセキュリティにおいて、今最も警戒すべきはこの攻撃方法といえるでしょう。
想定される具体的な攻撃例は下記の通りです。
- 取引先を偽ったなりすまし
- フィッシングサイト等への誘導
- ウィルスを仕込んだメール経由での感染拡大
- ネットワーク機器の脆弱性を利用した侵入
セキュリティが脆弱なシステムが一度侵入を許してしまえば、攻撃者は「なんでもできる状態」となるのがサイバー攻撃の怖いところです。
この攻撃方法による最近の事例では2020年1月から話題となった「防衛省取引関係企業による防衛機微情報の流出事件」が挙げられます。時事通信の報道によれば、三菱電機やNEC、NTTコムなどの防衛省と取引関係にある企業が、過去に高度なサイバー攻撃被害に遭っていたとされ、当該事件も関連会社・取引先などを経由したサプライチェーン攻撃が利用されたものと見られています。
ソフトウェア等に開発段階で脆弱性を仕込む攻撃
IT業界では、案件や企業の規模によってシステム開発を含む一部業務を外部へ委託するケースが珍しくありません。また二次請けや孫請け、最近ではフリーランスへの外部委託も増加するなど、1つ当たりの案件に携わる組織が多くサプライチェーンの幅が大きくなりがちです。
言わずもがな、こういった現状はサプライチェーン攻撃の格好の的となり得ます。
発注の大元の企業からでは、委託先はもとより再委託先やフリーランサーのセキュリティ対策状況を詳細に把握し、レベルを高めることは困難なため、「サプライチェーン攻撃の起点」が容易に生まれてしまうこととなります。
想定される具体的な攻撃例は下記の通りです。※1
- あらゆるソフトウェアにバックドア※2が仕込まれる
- アップデートプログラムにウィルスを仕込まれ、それを正規に配布してしまう
※1 開発を委託された企業等に侵入していることが前提
※2 システムの裏口。攻撃者が、誰にも気づかれず、自由に出入りできるようになる。
この攻撃方法の重大さは「正規のルートでソフトウェアが配布されてしまう」という点にあります。開発段階で不正プログラムの存在に気が付かなければ、企業は当然のようにそれを配布(販売/公開)し、ユーザはそれをダウンロードしてしまうのです。
もし仮に、大企業の個人情報管理システムにバックドアが仕込まれていたらどうでしょう?それが官公庁のシステムなら.....?考えるだけで恐ろしいです。
サプライチェーンインシデントの代表的な事例
ここからは、過去に実際に発生したサプライチェーンインシデント事例を3つご紹介します。
韓国政府等に対するサプライチェーン攻撃事例
北朝鮮のサイバー犯罪組織「Lazarus」による、韓国政府等に対するサプライチェーン攻撃の事例です。(参考文献)韓国のインターネットユーザには、政府やネットバンキングのWebサイトにアクセスする際に追加のセキュリティソフトウェアをインストールするよう求められることが多々あり、提示されたソフトウェアを要求通りインストールする慣習があります。
この慣習に目を付けたLazarusはまず、韓国のとある警備会社に発行された証明書をその(セキュリティが脆弱な)米国支社から盗み出して悪用しました。一種のサプライチェーン攻撃を行いセキュリティソフトの正規サーバに侵入した彼らは、プログラムの中にマルウェア(ウィルス)を仕込み、正規のものとして配信したのです。
男子プロスポーツ法人における情報流出事例
日本国内のバスケットボール「Bリーグ」のチケットサイトが、サプライチェーン攻撃を受けた事例です。2017年4月 チケット販売大手のぴあ株式会社は、運営を受託している「Bリーグ」のチケットサイトがサイバー攻撃を受け、クレジットカード情報3万2千件を含む計15万件以上の個人情報が流出したと公表しました。
発表によれば、原因について次のように説明しています。
本事例の問題点は上述の通りです。委託先の会社のセキュリティ対策状況を把握できず、踏み台にされてしまった典型的なサプライチェーン攻撃例と言えるでしょう。
ASUS製品のプログラムにマルウェアを仕込まれた事例
ASUS社が提供するコンピュータにプリインスト―スされている自動更新ツール「ASUS Live Update Utility」を標的とした、サプライチェーン攻撃の事例です。攻撃者は、当該ソフトウェアの過去バージョンを改ざんしてマルウェアを仕込み、サプライチェーン攻撃によって手に入れた正規の証明書を使用して、ASUS公式アップデートサーバに悪意のあるプログラムを設置しました。
その結果、2018年6月から11月の間に全世界で100万以上のユーザがプログラムをダウンロードし、同じ数だけのPCにバックドアが仕掛けられた可能性があるとされています。
中小企業のためのサプライチェーンセキュリティ対策
ここまでの解説で、サプライチェーン攻撃の脅威と、その対策が自社内だけでは不十分であることをご理解いただけたと思います。
それでは最後に、サプライチェーン攻撃に対するセキュリティ対策方法を社内・外の2つの観点から解説します。未対策の中小企業がほとんどだと思いますので、ぜひセキュリティ対策の一環として取り入れてください。
自社外のセキュリティ対策
自社外のセキュリティ対策とはつまり、自社のサプライチェーンを構成する関連企業のセキュリティ対策を主導して状況把握・対策を進めることです。
対策の方針としては、NISTや経済産業省等が定めたサイバーセキュリティのガイドラインを参考にすると良いでしょう。
具体的な対策方法と参考になる文献を以下に示します。ぜひご活用ください。
- サプライチェーンを構成する企業のセキュリティ対策内容を明確化したうえで契約する
- サプライチェーンを構成する企業のセキュリティ対策状況を監査し、把握する
- 委託先選定条件として、ISMS等のセキュリティマネジメント認証の取得を加える
- 委託先のクラウドサービスのセキュリティ対策状況を監査し、把握する
- 以上の規定の定期的な見直し
(参考:JNSA 外部委託先管理規定)
以上を簡単にまとめますと、自社外のサプライチェーンセキュリティ対策は、以下3つ段階でそれぞれ徹底した施策を打つことがとても重要となります。
- 契約前:委託先の選定
- 契約時:対策方法や責任の明確化
- 契約後:対策状況の監査、把握
上述の参考文献をぜひ一読し、早急なセキュリティ対策を実施して頂ければと思います。
自社内のセキュリティ対策
自社のセキュリティ対策を万全にすることは、自社の安全を守ることはもちろん、関連会社へのサプライチェーン攻撃を防ぐ意味でも有効です。
自社が踏み台となり、サプライチェーン攻撃の加害者とならないためにも、下記対策の速やかな実施を推奨します。
- サイバーセキュリティポリシーの策定
- セキュリティ人材や研修予算の確保
- 専門のセキュリティベンダの活用
- 最新のセキュリティ情報の把握
- ITインフラ全体のセキュリティ対策
- エンドポイントの保護
- ネットワークの監視
- WAFや暗号化ソリューションの導入
自社内のセキュリティ対策では、サプライチェーンに特化した対策を打つのではなく、とにかく「基本のセキュリティ対策」から徹底的に実施していくことが重要になります。
とくに御社のWebサイト・サービスを不正なアクセスから守る意味でも、WAFや暗号化ソリューションの導入は非常に有効です。
ここでは、その一例として弊社製品である「WAPPLES」と「D`Amo」をご紹介いたします。特にWAPPLESは、アジア・パシフィック地域において最も著名なWAFの1つであり世界各国70万以上のサイトを保護しています。
セキュリティの専門家がいない中小企業でも簡単に導入できる製品ですので、WAF未導入の企業様はぜひ以下リンクから詳細をご確認ください。