近年、サイバー攻撃の手口はますます巧妙化しており、企業にとって大きな脅威となっています。
中でも急増しているのが「サプライチェーン攻撃」です。
2024年2月に、独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2024」でも、サプライチェーン攻撃が昨年に引き続き第2位に選ばれています。
本記事で、サプライチェーン攻撃の最新事例と対策方法を理解しましょう。
サプライチェーン攻撃とは、企業自身が直接攻撃されるのではなく、取引先や委託先といったサプライチェーンを構成する企業群のうち、セキュリティ対策の脆弱な箇所を狙ってくるサイバー攻撃のことを指します。
現代社会において、企業は単独で事業を運営するのではなく、原材料調達から製造、販売、アフターサービスまで、さまざまな企業が連携して「サプライチェーン」を形成しています。
グローバル化が進み、取引先や子会社、委託先などビジネスに関連する多くの企業と、インターネット上でのデータのやり取りが恒常的に行われています。
ただ、情報セキュリティの観点で考えると、自社の対策は万全でも、サプライチェーン上の企業の一つでも脆弱な部分があると、そこからサイバー攻撃を受ける可能性があることを意識しなければなりません。
自分の会社は中小企業だから攻撃を受けてもたいした被害にはならない、と考えてはいけません。自社を踏み台にされて、取引先の大企業に損害を与えてしまうことも考えられるのです。
サプライチェーンに関わる企業間で、重要性を共有しておくことが大切です。
サプライチェーンを構成する企業の一社に不正アクセスを行い、そこを踏み台にしてターゲット企業へ攻撃を拡大していくのがサプライチェーン攻撃です。もう少し具体的に説明しましょう。
• 取引先を狙った標的型攻撃
攻撃者は、ターゲットとする企業を決め、サプライチェーン上の企業群のうち、セキュリティが脆弱な取引先企業に狙いを定めます。
その取引先のシステムにマルウェアを送り込んだり、フィッシング攻撃を仕掛けたりすることで、取引先を経由してターゲット企業にアクセスすることが可能になります。
• ソーシャルエンジニアリング
偽のメールや電話を使ったり、PCやスマホを盗み見たりすることで、重要情報を搾取する手法がソーシャルエンジニアリングです。
人のミスや油断を突いた情報の不正入手や、システムへの不正アクセスを足がかりに、サプライチェーンへの攻撃を展開します。
• ソフトウェアサプライチェーンの不正改ざん
正規のソフトウェアやアップデート用ファイルに不正なコードを埋め込んだり、開発者のシステムをハッキングしたりして、ソースコードを改ざんするなどの手口もあります。
ユーザーが改ざんされたソフトウェアをインストールすると、マルウェアに感染したり、機密情報を窃取されたりするなどのリスクがあります。
このように、攻撃者は比較的セキュリティ対策が手薄な企業や組織に狙いを定め、さまざまな攻撃を仕掛け、そこからターゲット企業のシステムに侵入を試みるのです。
サプライチェーン攻撃は、複数企業に対する攻撃であり、重大な脅威となる可能性があります。
いくつかの事例で確認しましょう。
LINEヤフー株式会社は、2023年11月に第三者の不正アクセスにより、ユーザー情報や取引先情報、従業者情報が漏えいしたことを発表しました。
不正アクセスは、関連会社の委託先企業のシステムにマルウェアが感染したことから起こったものであり、サプライチェーン攻撃の一種といえるでしょう。
その結果、LINEユーザーのサービス利用履歴などを含め約30万件の個人情報が漏えいしました。
また、取引先のメールアドレスや従業者の氏名なども漏えいしたことが報告されています。
参考:LINEヤフー株式会社「不正アクセスによる、情報漏えいに関するお知らせとお詫び」
大阪急性期・総合医療センターは、2022年10月にランサムウェアによるサイバー攻撃を受けました。
発端は、医療センターに給食を提供していた委託企業の脆弱性が原因とされています。
その企業のVPN機器のセキュリティレベルが古いまま、最新のアップデートが適用されていないところに侵入されてしまい、そこから医療センターへのランサムウェア被害を受けてしまった、とのこと。
被害額は原因の調査とシステム復旧だけで数億円、また診療を中断せざるを得なくなったため、その被害も含めると合計十数億円に及ぶとされています。
全面的な復旧まで2か月を費やし、2,000台以上のサーバーや端末の初期化・クリーンインストールを強いられたのです。
いずれの事例も、ネットワーク機器やソフトウェアの脆弱な箇所を狙ったり、マルウェアを仕込んだりする方法で、攻撃手法が目新しいものではありません。
ただ、自社のセキュリティ対策だけでは、すべてを守り切ることはできないのは確かといえるでしょう。
参考:地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター「情報セキュリティインシデント調査委員会報告書について」
サプライチェーン攻撃といっても、画期的な技術や新たな手口による攻撃というわけではなく、攻撃自体は従来と変わりません。脅威から守るためには、通常のセキュリティ対策を徹底することが、やはり大切となるのです。
従業員一人一人のセキュリティ意識を高めることが、何よりも重要です。
定期的なセキュリティ研修を実施し、標的型攻撃メールの見分け方、USBメモリなど外部記録媒体の安全な利用方法、情報漏えいリスクなどについての教育を徹底しましょう。
経営層や従業員、派遣社員や取引先まで含めた、個々のセキュリティリテラシーを高める必要があります。
長く複雑で強力なパスワードの使用を徹底しましょう。
また、IDとパスワードだけでなく、生体認証や専用のハードウェアトークンなど、複数の認証要素を組み合わせた多要素認証を導入することで、不正アクセスを防ぎます。
ウイルス対策ソフトは常に最新のものを導入し、ウイルス定義ファイルを自動で更新するよう設定します。
さらに、ソフトウェアの脆弱性を攻撃する手口にも対応できる、エンドポイントセキュリティ対策ツールの導入も検討すべきでしょう。
社内システムやクラウドストレージ上のデータについて、不要な共有設定は解除しましょう。
必要最小限のアクセス権で運用することで、万が一不正アクセスが起きても、被害範囲を局所化できるはずです。
また、ファイル暗号化やUSBメモリの利用制限なども、有効な対策となります。
これらは、すべて基本的なセキュリティ対策ですが、だからこそ自社内のすべてのPC、従業員に徹底することが重要です。
サプライチェーン攻撃は、ターゲット企業への直接の攻撃だけでなく、その取引先や関連企業からの攻撃となるため、気づかぬうちに重大な被害に見舞われるリスクがあります。
個々の企業でできる対策は決して難しいものではありませんが、すべての企業がセキュリティ対策を徹底しなければ、サプライチェーン攻撃による被害を防ぐことはできません。
従業員教育の徹底と、基本的な対策の組み合わせで、サプライチェーン攻撃のリスクを最小限に抑えましょう。