サプライチェーン攻撃の実情と企業が取るべきセキュリティ対策

サプライチェーン攻撃」は、IPA公表の情報セキュリティ10大脅威の1つとされています。 2022年における第3位に位置し、企業が特に注意すべき脅威です。
※参照:IPA「情報セキュリティ10大脅威 2022」
https://www.ipa.go.jp/security/vuln/10threats2022.html

サプライチェーン攻撃とはどのような攻撃なのか、具体的な内容を示すとともに、企業が取るべきセキュリティ対策についてもここでまとめていきます。

目次

サプライチェーンとは

そもそもサプライチェーン」とは、商流に関わる組織全体の連なりのことを指します。
製品の企画や開発、材料の調達、そして製造、その後の在庫管理・物流・販売といった一連のプロセス自体を指して呼ぶこともありますし、そこに関与する企業をまとめて呼ぶこともあります。

例えば製造業を営んでいる場合、通常は1社で部品の製造販売、部品の加工、組み立て、販売などを完結させるのではなく、複数の企業との取引を通して1つの製品を流通させていくことになります。
1社で完結させようとすると規模がかなり大きくなってきますし、なかなかそれだけの資力を持つ中小企業はいません。また、自社だけで回していくことのメリットもありますが、他社も巻き込んだ方が効率的であることも少なくありません。

結果的に、多くの企業は他社の影響も少なからず受けながら企業活動を行っているのです。
そのためサプライチェーンのマネジメントを適切に実行することが在庫の適正化であったりコストの削減であったり、売上向上のためにも重要なこととされているのです。

サプライチェーン攻撃の内容

ある企業を攻撃することで、その企業とサプライチェーンの関係にある企業に対して間接的に攻撃を実行することも可能です。
これが「サプライチェーン攻撃」です。

昨今、情報セキュリティの重要性が説かれることも増え、外部からの攻撃に備えてセキュリティ対策を講じている企業も増えました。そのためある企業に損害を与えたいと考えても、対策が強固に施されているとなかなか攻撃を成功させることは難しいです。

とはいえすべての企業がセキュリティ対策をとるに至ったわけではありません。
脆弱性のあるシステムをそのまま使っている、サイバー攻撃に対する警戒心が薄い、という企業もまだまだ多く存在しています。
そうすると当該企業への攻撃が容易になることはもちろん、当該企業とサプライチェーンの関係にある企業に対しても攻撃を成功させられる可能性は高まります。

純粋な外部からの攻撃に対しては強くても、サプライチェーンを悪用した攻撃が想定されていないと、そこから情報漏洩が起こる危険は排除できないということです。

サプライチェーン攻撃の具体的な手口

サプライチェーン攻撃では、ターゲットが構成しているサプライチェーンの中からセキュリティ対策が手薄な事業者を探し、最初の標的とします。
例えばターゲットが利用しているソフトウェアの開発元、あるいはMSP(マネージドサービスプロバイダー:企業システムの監視や運用を請け負っている事業者)などを狙い、それら事業者が利用するオープンソース、ソフトウェアアップデートにウイルスを仕込みます。
そして利用者がアップデートの適用等をしたときにウイルスに感染。そのウイルスからターゲットの組織内に侵入するという手口です。

サプライチェーン攻撃による被害の実例

子会社や海外拠点を最初の標的とするサプライチェーン攻撃が行われています。

2021年4月には、光学機器メーカーのアメリカ子会社がランサムウェア攻撃をきっかけに多くの財務・顧客情報などが窃取されています。

2021年9月には、建設コンサル業者がランサムウェア攻撃を受け、7億円以上の特別損失を計上したと公表しています。そしてその影響を受け、同社への業務委託により貸与していたデータが外部に流出してしまうという被害が発生しています。

サプライチェーン攻撃は世界的に増加傾向にあり、2021年には世界中で前年比650%増となる1万件超の攻撃が起こったと言われています。

ランサムウェアについてはこちらの記事でも解説しています。

サプライチェーン攻撃への対策

サプライチェーン攻撃への対策は、他のサイバー攻撃への対策とは方向性が大きく異なります。
多くのセキュリティ対策は自社を強固にする方向で進めていきます。
これに対してサプライチェーン攻撃では取引先等の状況に着目しなければなりません。

例えば予防の観点からは次の対策を進めていくことが大切です。

  • 信頼性の評価基準を設け、信頼できる委託先を選定するようにする
  • 取引を始めるにあたり、情報セキュリティ上の責任範囲の明確化、賠償に関する条項を盛り込んで契約を締結する
  • 定期的に委託先企業のセキュリティ対策状況を確認、情報資産の管理実態なども把握できるようにする
  • 納品物の検証を実施する
  • インシデントに対する報告体制等、問題発生時の運用規則整備を行う
  • インシデント対応計画の整備と、定期的な訓練による継続的な見直しを行う

サプライチェーン攻撃を防ぐためには取引先の監査や見直しが重要になるのですが、干渉できる範囲にも限りがあります。また、セキュリティレベルを評価するのも簡単ではありません。
そこで各種認証の取得の有無に着目してみると良いでしょう。
例えば「ISMS」「Pマーク」などは代表的なセキュリティ認証制度です。一切のリスクがなくなるわけではないものの、一定水準以上の体制が整っていることは担保されます。

逆に、自社が取引先に認めてもらうためにはこれらの認証を受けておくことが有効であるとも言えるでしょう。