デバイス活用マガジン「モビナビ」
デバイス管理の“ できない” を“ もっとできる” に変えるマガジンです。
当社サービスだけでなく、様々な角度で情報を発信しています。
- モビナビ
- 情報セキュリティ概要・トレンド
- サプライチェーン攻撃とは?手法や最新動向、対策法についてわかりやすく解説
サプライチェーン攻撃とは?手法や最新動向、対策法についてわかりやすく解説
昨今では、セキュリティ対策が手薄な企業を狙ったサイバー攻撃の脅威が高まっています。中でも、大企業だけではなく中小企業でも狙われる可能性が十分にあるのが、サプライチェーン攻撃です。中小企業がサプライチェーン攻撃を受けると、その被害は取引先企業にまでおよび、自社の規模を超える大損害が発生してしまう恐れもあります。しかし、サプライチェーン攻撃がどういうものなのか、どういった脅威となり得るのか、詳しく理解できていない人も多いのではないでしょうか。
本記事ではサプライチェーン攻撃について、その攻撃手法や目的、対策の必要性について解説します。また、最新のサプライチェーン攻撃の動向や対策法についても紹介しているので、これから対策を考えている企業の方はぜひ参考にしてください。
この記事の目次[表示する]
MDM導入のご検討・
ご相談はこちら
昨今では、セキュリティ対策が手薄な企業を狙ったサイバー攻撃の脅威が高まっています。中でも、大企業だけではなく中小企業でも狙われる可能性が十分にあるのが、サプライチェーン攻撃です。中小企業がサプライチェーン攻撃を受けると、その被害は取引先企業にまでおよび、自社の規模を超える大損害が発生してしまう恐れもあります。しかし、サプライチェーン攻撃がどういうものなのか、どういった脅威となり得るのか、詳しく理解できていない人も多いのではないでしょうか。
本記事ではサプライチェーン攻撃について、その攻撃手法や目的、対策の必要性について解説します。また、最新のサプライチェーン攻撃の動向や対策法についても紹介しているので、これから対策を考えている企業の方はぜひ参考にしてください。
この記事の目次 [表示する]
- サプライチェーン攻撃とは
- サプライチェーン攻撃の手法・種類
- 【2023年最新】サプライチェーン攻撃の目的と動向
- サプライチェーン攻撃対策がどの企業にも必要な理由
- サプライチェーン攻撃の対策法
- サプライチェーン攻撃の防止はMDMの導入から
- まとめ
MDM導入のご検討・ご相談はこちらブロック
サプライチェーン攻撃とは
サプライチェーンとは、日本語で「供給連鎖」を指し、原材料や部品の調達から商品を販売するまでの一連の流れのことです。このサプライチェーンにおける組織間の繋がりを悪用して、セキュリティ対策が手薄な企業やサービス、ソフトウェアから標的となる企業に不正に侵入するサイバー攻撃をサプライチェーン攻撃と呼びます。
セキュリティ対策が強固で直接の侵入が難しい企業の場合でも、セキュリティ対策が手薄な関連会社や取引先企業を起点とすることで、標的となる企業への攻撃や侵入ができてしまう場合があります。標的となる企業がどれほどセキュリティ対策を強固にしていても、関連会社や取引先企業のどこかに脆弱性があれば被害に遭ってしまう可能性が十分にあるのが、サプライチェーン攻撃の恐ろしさといえるでしょう。
なお、総務省によると、サプライチェーン攻撃のリスクに対応すべく、2018年実施の「サイバーセキュリティ対策推進会議及び各府省情報化統括責任者連絡会議の合同会議」ではサイバーセキュリティ上の深刻な悪影響を軽減する新たな取り組みとして、調達に係る審査の段階で必要な情報を入手し、評価することが申し合わされたとされています。
参考:総務省「第1部 5Gが促すデジタル変革と新たな日常の構築」
サプライチェーン攻撃の手法・種類
サプライチェーン攻撃の攻撃手法は、ソフトウェアサプライチェーン攻撃、サービスサプライチェーン攻撃、ビジネスサプライチェーン攻撃の3種類に分けられます。それぞれ、攻撃の起点となる対象が異なります。
ソフトウェアサプライチェーン攻撃
ソフトウェアの開発・提供の工程に侵入し、正規のソフトウェアに不正なプログラムを混入させる攻撃手法をソフトウェアサプライチェーン攻撃と呼びます。攻撃者はソフトウェアを開発する企業の製造や提供を管理するシステムに侵入し、正規のソフトウェアに不正コードを混入させます。それをソフトウェアの利用者がダウンロードしたりアップデートしたりすることで、不正なプログラムを含むソフトウェアを多くの利用者に広めてしまうのです。ソフトウェアサプライチェーン攻撃は、その利用者が多いほど被害の規模は大きくなるため、多くの利用者がいるソフトウェア開発会社ほど狙われるリスクは高くなります。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃とは、サービス事業者を攻撃の起点として、そのサービスを利用する企業に危害を加えるサプライチェーン攻撃です。例えば、顧客の代わりにサーバーやネットワークの監視・保守・運用などを行うMSP(マネージド・サービス・プロバイダ)事業者やクラウドサービスなどが、攻撃の標的となります。攻撃者により攻撃を受けたMSP事業者がランサムウェアなどのウイルスに感染すると、そのMSP事業者に委託している顧客にまでランサムウェアの被害が及ぶリスクがあります。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃とは、標的となる企業の関連会社や子会社、取引先などから侵入し、普段の業務上のやり取りと偽って標的の企業にランサムウェアなどの攻撃を仕掛ける攻撃手法です。先述したように、企業の規模が大きいほどセキュリティ対策は強固となり、簡単に外部からの侵入を許しません。しかし、標的企業と業務上の繋がりがある企業の多くは、比較的セキュリティ対策が手薄になりがちな中小企業です。このサプライチェーンの脆弱性を利用して、まずはセキュリティ対策が手薄な企業のネットワークに侵入し、そこを起点として標的企業のネットワークに侵入したり、企業の持つ機密情報を抜き取ったりします。
MDM導入のご検討・ご相談はこちらブロック
【2023年最新】サプライチェーン攻撃の目的と動向
サプライチェーン攻撃による被害は、近年急速に拡大し、世界中で甚大な損害をもたらしています。なぜサプライチェーン攻撃はこれほどまでに脅威となっているのでしょうか。ここでは、2023年最新のサプライチェーン攻撃の目的と動向について解説します。
攻撃の目的
従来のサプライチェーン攻撃ではサプライチェーン上の企業間の繋がりを利用して、セキュリティ対策が手薄な企業に侵入し、ターゲットとなる企業を攻撃することが主な目的でした。ところが近年では、多くのユーザーが利用するソフトウェアやシステムの製造過程に侵入してウイルスなどの不正プログラムを仕掛け、より広範囲に被害を与える攻撃が増えています。
サプライチェーン攻撃を仕掛ける目的は主に2つあります。1つ目はランサムウェアなどに感染させて業務停止に追い込み、元の状態に戻すことを条件に身代金を要求すること。2つ目は企業の所有する機密情報を盗み、それを第三者に売却したり、情報を流出させない代わりに企業に身代金を要求したりして金銭を得ることです。
「情報セキュリティ10大脅威 2023」では2位にランクイン
サプライチェーン攻撃による被害は、年々増加しています。2023年にIPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2023組織編」で、「サプライチェーンの弱点を悪用した攻撃」は第2位にランクインしました。
「情報セキュリティ10大脅威」とは、前年に発生した社会的に影響が大きかった情報セキュリティにおける事案の中からIPAが選出し、情報セキュリティ分野の研究者や企業の実務担当者からなる選考会によって上位10脅威を選出したものです。「サプライチェーンの弱点を悪用した攻撃」は、2019年に初めて第4位にランクインして以降、2022年には第3位、2023年には第2位と順位を上げながら毎年上位にランクインし続けています。
サプライチェーン攻撃が近年脅威として取り上げられている背景には、デジタル変革に伴う生産や物流過程の複雑化があります。総務省は「情報通信白書令和2年版」で、5G時代の新たなセキュリティリスクとしてサプライチェーンリスクへの懸念を挙げました。
グローバル・バリューチェーンと呼ばれる世界規模の分業が主流となった近年では、より多くの地域や企業がサプライチェーンの中に組み込まれます。その結果、狙われる対象が増え、より脆弱性につけ込まれやすくなってしまったのです。今後も、セキュリティ対策が不十分な企業を狙ったサプライチェーン攻撃は増えていくと予想されています。
サプライチェーン攻撃対策がどの企業にも必要な理由
サプライチェーン攻撃への対策が必要となるのは、大企業に限った話ではありません。むしろ、中小企業や個人が攻撃の対象として狙われるケースが多発しています。ここからは、サプライチェーン攻撃対策の必要性について、具体的な事例などを交えて解説していきます。
中小企業こそ攻撃の対象
先にも解説したように、サプライチェーン攻撃は標的となる企業を直接攻撃するのではなく、セキュリティ対策が手薄な関連企業や取引先を経由して標的に攻撃を仕掛けます。そのため、予算や人材などの都合からセキュリティ対策が手薄になりがちな中小企業こそ、攻撃の対象となってしまうのです。
実際に、中小企業がサプライチェーン攻撃を受けたことによる被害の事例を2つご紹介します。
小島プレス工業株式会社の事例
2022年3月にトヨタ自動車の部品を取り扱う小島プレス工業株式会社が、子会社の社内ネットワークを介して外部より不正アクセスを受け、ランサムウェアによる攻撃を受けました。同社は子会社が独自に特定外部企業との専用通信に利用していたリモート接続機器から子会社内のネットワークに侵入され、さらに同社内のネットワークにまで侵入されてしまったと公表しています。この被害を受けて、取引先のトヨタ自動車は国内全工場の稼働を一時的に停止せざるを得なくなりました。
株式会社ショーケースの事例
2022年10月に株式会社ショーケースが提供する「フォームアシスト」など複数のサービスが、第三者によってソースコードを書き換えられる被害がありました。同社は対象サービスにおけるシステムの一部の脆弱性をつかれ不正アクセスされてしまったものとしています。この被害により、一部の取引先企業でウェブサイトなどに入力された情報が外部へ流出した恐れがあると公表しています。
被害規模が大きい
先に挙げた事例を見てもわかる通り、サプライチェーン攻撃による被害は攻撃を受けた企業だけに限定するものではありません。攻撃を受けた企業を起点に、その被害規模は関連する取引先や顧客にまで広がってしまう可能性があります。
つまり、会社のセキュリティ対策をしっかり行っておかないと、自社だけではなく、取引先や顧客にも甚大な被害を与えてしまう恐れがあるのです。その結果、会社の社会的信用の損失や、賠償金の請求や訴訟問題、取引中止などのさまざまなトラブルに繋がります。
サプライチェーン攻撃の対策法
最後に、サプライチェーン攻撃の被害に遭わないためにはどうすればよいか、具体的な対策法を5つご紹介します。
- OSやソフトウェアを最新の状態に保つ
- セキュリティソフトの利用
- アクセス制限、二要素認証などの利用
- セキュリティーポリシーの策定や従業員へのセキュリティ指導
- IT資産やデバイスの管理の徹底
OSやソフトウェアを最新の状態に保つ
サプライチェーン攻撃を防ぐための最も基本的な対策は、OSやソフトウェアを常に最新の状態に保っておくことです。OSやソフトウェアはセキュリティ上の脆弱性や脅威を発見次第、随時修正を行っています。最新版にアップデートせずに古いOSやソフトウェアのまま使用していると、新たに見つかった脆弱性に対応することができません。外部による脆弱性をついた攻撃のリスクを減らすためにも、OSやソフトウェアは常に最新版にアップデートするようにしましょう。
セキュリティソフトの利用
ウイルス対策ソフトなどのセキュリティソフトを導入することも有効です。具体的には、システムにおけるセキュリティの脆弱性を検出してリスクを未然に回避することや、万が一不正アクセスされた場合に外部からの攻撃を防御したり、不正な改ざんをいち早く検知したりすることが可能です。
アクセス制限、二要素認証などの利用
万が一、第三者に攻撃されてしまった場合、アクセス制限や二要素認証などを利用することでも被害を抑えることが可能です。サーバーへアクセスできる対象を事前に承認済みのユーザーのみに制限したり、パスワードやID以外に第三者には知りえない複数の要素を認証に用いたりすることで、外部からの不正アクセスを制御することができます。
セキュリティーポリシーの策定や従業員へのセキュリティ指導
攻撃による被害に遭わないためには、従業員のセキュリティに対する意識を高めることも大切です。サプライチェーンの脆弱性をついた攻撃の手口は年々、巧妙化しています。例えば、取引先に侵入した第三者が取引先になりすましてウイルスを含んだ添付ファイルをメールで送信するケースなどです。従業員がセキュリティ対策について正しい知識を身につけていないと、誤ってファイルを開いてウイルスに感染してしまうリスクがあります。
こうしたリスクを避けるためにも、社内のセキュリティに対する基本的な考え方や対策基準などをまとめたセキュリティーポリシーの策定、従業員へのセキュリティ指導を定期的に行い、従業員のセキュリティ対策への理解度を高めておくことが必要です。
IT資産やデバイスの管理の徹底
社内のIT資産やデバイス管理の徹底も重要です。中小企業がセキュリティ対策を進める上で課題となるのが、予算や人員の問題です。上記で紹介したようなセキュリティ対策を導入するためには、少なからずコストがかかることを覚悟しなければなりません。ところが自社のIT資産やデバイスの管理が徹底されていないと、必要な対策が漏れてしまったり、重複した対策にコストをかけてしまったり、せっかくの対策が意味をなさなくなってしまうこともあるのです。こうした無駄を省くためにも、IT資産やデバイスの管理は徹底して行う必要があります。
サプライチェーン攻撃の防止はMDMの導入から
サプライチェーン攻撃の予防対策として、MDM(モバイルデバイス管理)の導入もおすすめです。MDMとは、タブレットやスマートフォンなどのモバイル端末を一元的に管理・運用するソフトウェアのことです。また、第三者による不正利用対策やデバイスの機能制限など、企業のセキュリティの維持や強化のためにも利用されています。
近年、テレワークの普及に伴い、従業員が社外に会社の端末を持ち出す機会が増えました。MDMではそれらの端末をつねに最新状態で一元管理できるだけではなく、万が一紛失してしまった場合には遠隔ロックなどの機能によって情報漏えいを防いでくれます。MDMを導入しているだけで、モバイルデバイスの運用をより安心・安全に実施することができるのです。
MDMについて気になった方は、以下の記事でMDMの詳細を解説していますので、参考にしてみてください。
関連記事:MDM(モバイルデバイス管理)とは?基本や導入時の注意点まで徹底解説
まとめ
今回は、サプライチェーン攻撃の手法や最新の動向、対策法について詳しく解説してきました。サプライチェーン攻撃は、企業の製造や販売過程における組織間の繋がりの脆弱性につけこんだサイバー攻撃です。標的となる企業のサプライチェーンの中で、セキュリティの手薄な企業やソフトウェア、サービスなどから侵入して攻撃を仕掛けます。どの規模の企業、組織であっても狙われるリスクが十分にあるため、しっかりとしたセキュリティ対策を講じることが非常に大切です。
サプライチェーン攻撃の被害に遭うと、自社のみではなく、取引先企業まで巻き込んだ莫大な被害に発展する可能性もあります。最悪の事態を避けるためにも、この記事で紹介した対策法を実践し、セキュリティ対策の強化を目指しましょう。記事内でご紹介したMDMの導入を検討している方は、モバイル管理サービス「mobiconnect for Business」の製品もぜひ参考にしてください。
MDM導入のご検討・ご相談はこちらブロック