近年、「知名度があり攻撃のターゲットとなるような大企業」ではなく、子会社や関連会社、取引先企業などを標的もしくは踏み台にするサプライチェーン攻撃が増えています。サイバー攻撃に対する脅威は、事業規模・業種・業態に関係なく攻撃の対象となるリスクがあります。特にグループ会社を持つ企業の場合、子会社や関連会社を経由して親会社が攻撃されるケースも増えています。
本ブログでは、サプライチェーン攻撃とは何なのか、有効な対策などをご紹介します。
サプライチェーン攻撃って何?
そもそも「サプライチェーン」とは何なのでしょうか。それは、原料や部品の調達から、製造、在庫管理、流通、販売、そして商品が消費者に渡るまでの一連の流れのことです。この一連の共有連鎖がしっかりとつながることで、消費者に商品が届けられます。
「サプライチェーン攻撃」とは、攻撃者がターゲット企業に直接攻撃するのではなく、子会社や関連企業、取引先などにサイバー攻撃を行い、そこを踏み台にして本来のターゲット企業に攻撃を行う手法です。一方で、子会社や関連会社にサイバー攻撃を仕掛けて機密情報を搾取したり、グループ企業のビジネスに影響を与える手法もあります。
サプライチェーン攻撃は複数の企業が関わるため、攻撃にあってから感染発覚までのタイムラグが大きくなり、発覚するまでの間に感染が広がるリスクもあります。気が付いた時には大規模感染を引き起こしているかもしれません。
ターゲットになりやすい企業とは
セキュリティ対策のレベルは企業ごとに異なります。近年の目まぐるしいサイバー攻撃の激化やデジタル化の発展に応じて、ターゲットとなりうる大企業や行政機関では臨機応変なセキュリティ対策が難しくなっています。例え自社のセキュリティ対策を万全にしたとしても、関連している子会社や関連会社、取引先などにセキュリティリスクがあれば、それら企業が踏み台となり、自社のシステムも攻撃を受けたり、情報を盗まれる可能性があります。
被害が増加しているサプライチェーン攻撃
サプライチェーン攻撃のリスクは数年前から高まっています。IPA(独立行政法人情報処理推進機構)が作成している「情報セキュリティ10大脅威」では、2019年に初めて4位にランクインし、2022年には3位にランクアップしました。
サプライチェーン攻撃の手口
攻撃の手口としては主に2通りあると言われています。
①取引先や子会社などを介した攻撃
ターゲット企業を直接攻撃せず、子会社や取引先企業などを経由して攻撃します。
例:取引先などになりすましてウイルス付きのメールを送信
②ソフトウェアやサービスを介した攻撃
ソフトウェアやプログラム製品のサプライチェーンのプロセスにおいてマルウェアを仕込む攻撃で、「ソフトウェアサプライチェーン攻撃」とも呼ばれます。
例:2017年にランサムウェアの「WannaCry」が、Windows の脆弱性を悪用し、世界150カ国以上、30万台のパソコンに感染
サプライチェーン攻撃の被害事例
サプライチェーンの弱点を悪用した攻撃の一部をご紹介します。
事例①:サプライチェーン攻撃の世界的な増加
2021年9月、米 Sonatype 社は、OSS(オ ープンソースソフトウェア)のサプライチェーンセキュリティを調べた「2021 State of the Software Supply Chain Report」を発表しました。その調査結果によると OSS をターゲットとしたサプライチェーン攻撃が急増しており、2021年は前年比650%増(1万2000件超)になったと報告しています。
また、クラウドの運用を含む技術者300人のうち36%が情報漏えいや侵害などの問題を経験しています。更に83%が企業においてクラウドの設定ミスに関連する重大なデータ侵害に対して脆弱性があることを懸念しています。
【出典】
※2021 State of the Software Supply Chain Report(sonatype)
※The State of Cloud Security 2021(sonatype)
事例②:子会社や海外拠点を狙った攻撃
2021年4 月、国内外に多数拠点をもつ日本の光学機器メーカーの米子会社がランサムウェア攻撃を受けました。これにより約300ギガバイトの財務や顧客情報等が窃取され、ダークウェブ上に盗まれた情報が公開されていることが判明しました。この事件は「アストロチーム」と名乗るサイバー犯罪グループが犯行声明を出しています。
事例③:サプライチェーンを標的としたランサムウェア攻撃
2021年7月、法人向けに PC の IT 管理ツールを提供している米 IT 企業がランサムウェア攻撃を受けました。当管理ツール利用顧客はツールを使ってさらに多くのユーザにサービスを提供しています。そのツールにランサムウェアが仕掛けられ、被害を受けた利用顧客は約1500社、要求された身代金は7000万ドル(約80億円)と言われています。
事例④:業務委託先から貸与データが外部に流出
2021年9月、国内外の社会インフラを中心に事業展開している国内の建設コンサルティング企業は、8月に受けたランサムウェア攻撃により連結業績で約7億5000万円の特別損失を計上すると発表しました。同社に業務委託していた東京都や千葉県市川市は、貸与していたデータも被害を受けた可能性があると発表しています。
サプライチェーン攻撃に有効なゼロトラスト
「サプライチェーン攻撃」が世界的に増えている中、事例にもあるとおりサプライチェーンを標的とした「ランサムウェア攻撃」も増えています。また、DX(デジタルトランスフォーメーション)やテレワークの普及に伴いクラウドサービスの利用が増加した一方で、セキュリティリスクの検討やセキュリティ対策を考慮しておらず、その脆弱部分を攻撃されるリスクもあります。
このような脅威からサプライチェーンを守るために有効な対策が「ゼロトラスト」です。
ゼロトラストとは
ゼロトラストとは、社内外のネットワーク環境を区別せず、守るべき情報資産にアクセスするものは「全て信頼しない」を前提とし、安全性を検証することで情報資産への脅威を防ぐというセキュリティの考え方です。
ゼロトラストではサイバー攻撃への対策強化や侵入後の対策も網羅されているため、サプライチェーンを構成する関連企業にも有効な対策と言えます。そして、ゼロトラストを実現するためのセキュリティ対策として、主に4つのソリューションがポイントとなります。
- エンドポイントセキュリティ
- EDR などを導入することで端末を監視
- マルウェア検知や、不正なプログラム実行防止、デバイス隔離などを実現
- ネットワークセキュリティ
- クラウドを含め、誰をどこにアクセスさせるかを制御
- クラウドセキュリティ
- 保護すべき情報を整理、ID と職責を紐づけてアクセス権限を管理
- セキュリティ監視
- 24時間365日体制で監視を行い、インシデント発生時には即座に対応
当社(以下、SBT)では、これらのセキュリティ対策に対応できる様々なサービスを提供しています。お客様環境に合わせて、サプライチェーンに起因するサイバー攻撃へのセキュリティ対策をご提案します。
まとめ
本ブログでは、サプライチェーン攻撃についてご紹介しました。
グループ会社を持つ企業の場合、国内外含む子会社、連結子会社、関連会社など複数で構成されているかと思います。親会社だけでなく、グループ全体でのセキュリティ対策を検討している、今のグループ全体のセキュリティ対策に不安があるといったお悩みなど、セキュリティ全般に関することなら何でも SBT にお任せください。
SBT では自治体情報セキュリティを含め、官公庁、自治体、製造業、金融、建設業などこれまで25業種以上もの幅広い業種の企業様にセキュリティソリューションを導入いただいています。高度な専門知識を持ったセキュリティ専門アナリストも多数在籍し、24時間365日、夜間、早朝、休日も絶え間なくお客様のセキュリティ監視を実施しています。
また、NIST(National Institute of Standards and Technology)が定める CSF(Cyber Security Framework)に対応した幅広いセキュリティサービスを展開しています。セキュリティコンサルティング、セキュリティインテグレーション、インシデントレスポンス、マネージドセキュリティサービス(MSS)などさまざまなサービスラインアップもありますので、ぜひお気軽にご相談ください。
関連ページ
24時間365日セキュリティ監視を行う、SOC サービス「マネージドセキュリティサービス」資料請求お問い合わせはこちら |
