ひとつの商品やサービスが新たに開発されて利用者に届くまでには、多くの企業が様々な立場で参画し、相互に連鎖することが必要です。
この連鎖をサプライチェーンと呼びます。
この記事では、サプライチェーンを悪用したサイバー攻撃である「サプライチェーン攻撃」について、その概要と被害事例、有効な対策について解説します。
サプライチェーン攻撃とは
サプライチェーン攻撃は、攻撃の最終的なターゲットである企業を直接攻撃せず、ターゲット企業のサプライチェーンを構成する他の企業を踏み台にするサイバー攻撃です。
ターゲットが大企業の場合、セキュリティ対策がしっかりしており、直接的なサイバー攻撃はなかなか成功しません。
そこで、サプライチェーンに参画する様々な組織のうちセキュリティ対策が相対的に弱い企業を狙ってサイバー攻撃を仕掛け、攻撃が成功したらそこを踏み台にしてターゲット企業を攻撃するのが、サプライチェーン攻撃です。
どの企業も自社のネットワークのセキュリティについてはケアしますが、取引先のネットワークまでは目が届かないところを突いた、巧妙な攻撃方法です。
近年、サプライチェーンにかかわる大きな被害事例がニュースになったことで、サプライチェーン攻撃のリスクが注目されてきました。IPA(情報処理推進機構)が毎年発行している「情報セキュリティ10大脅威」の2021年度版でも、組織に対する脅威の4位にランクインされており、その対策の必要性が強調されています。
中小企業はセキュリティ対策が比較的脆弱で、サプライチェーン攻撃の踏み台として狙われる可能性がより高まります。一旦踏み台として使われてしまうと、自社だけでなく委託元に多大な損害をもたらしますので、サプライチェーン攻撃に対する十分な対策が必要です。
サプライチェーン攻撃の種類と事例
サプライチェーン攻撃の脅威を知るために、攻撃方法についてより詳しく見ていきましょう。
サプライチェーン攻撃の方法は、大きく3つのタイプに分類されますので、具体的な被害事例とともに個々の攻撃方法について説明します。
【タイプ1】取引先から情報を収集してターゲット企業へ侵入
サプライチェーンを構成する企業間では、相互のネットワークへのアクセスを許容するといった業務環境の共有が行われることが多くあります。その場合、セキュリティ対策が不十分な取引先企業を踏み台にして、ターゲット企業へ不正侵入する攻撃が有効です。
まず、取引先企業に対して標的型攻撃などによりターゲット企業のネットワークに関する情報を入手し、その次にターゲット企業に侵入します。この種の攻撃で最も有名なのは、2011年に発生したロッキード・マーティン社の事例でしょう。
ロッキード・マーティン社への不正アクセスの事例
2011年にロッキード・マーチン社のネットワークへの不正アクセスと情報漏洩事件が起こりました。 攻撃者はセキュリティ対策が充実したロッキード・マーチン社を直接狙わず、同社と取引関係にあったRA Security社に侵入してロッキード・マーチン社のSecure IDの情報を入手し、その情報を使ってロッキード・マーチン社のネットワークへの侵入に成功しました。
【タイプ2】納品物の脆弱性を利用してターゲットを攻撃
取引先企業からターゲット企業への納品物の脆弱性を利用して、ターゲット企業を攻撃します。偶然発見される脆弱性を利用する場合だけでなく、納品物を改ざんして悪意のあるコードを挟み込むこともあります。
国内でも利用者の多いPCメーカーASUSの事例は、この種の攻撃の典型的なものでしょう。
ASUSの自動更新プログラムの事例
台湾のPCメーカーであるASUSが提供するツールが改ざんされ、バックドアが仕込まれていたことが2019年に発覚しました。 このツールはASUSの正規のサーバーでホスティングされていたため発見が遅れ、日本国内数万台を含む全世界100万台以上のPCにバックドアつきのツールがインストールされたことがわかっています。
【タイプ3】取引先が管理する機密情報の漏洩
ターゲット企業が保有する情報を、よりセキュリティ対策が不十分な取引先企業から盗み出す攻撃です。
外部からの攻撃による漏洩だけでなく、取引先企業の内部からの漏洩もあります。
国内プロスポーツリーグの顧客情報漏洩事例
プロバスケットボール団体Bリーグ のチケット販売サイトからの顧客情報漏洩が、2017年に発覚しました。 同リーグはチケット販売サイトの開発を外部に委託しており、その委託先に対する不正アクセスによる漏洩です。個人情報15万件、クレジットカード情報3万2千件が流出したことが報告されています。
三井住友銀行のソースコード公開事件
2021年1月に三井住友銀行が保有するシステムのソースコードの一部が、外部のソースコード共有サイトであるGitHub上に公開されていることが発見されました。 公開したのは同行がシステム開発を委託している企業のSEであったことが、わかっています。
サプライチェーン攻撃に有効な5つの中小企業向け対策
ここまでサプライチェーン攻撃の種類と事例について説明してきました。
セキュリティ対策が脆弱になりがちな中小企業にとって、サプライチェーン攻撃の対象になることが重大なリスクであることが理解できたかと思います。
ここからは、サプライチェーン攻撃への対策について述べます。特に中小企業が実行すべき5つの項目をあげました。
【対策1 】 日常的なネットワークセキュリティの順守を徹底する
サプライチェーン攻撃は、ターゲット企業を攻撃するために、まずセキュリティ対策が不十分な取引先企業を攻撃するものです。
日常的なネットワークセキュリティの順守により自社のネットワークを守ることは、サプライチェーン攻撃の踏み台にならないためにも有効な手段になります。
- OSやソフトウエアは最新のパッチにより更新された状態を保つ
- パスワードの管理を徹底する
- アンチウイルスソフトの利用を徹底する
- 不審なメールをむやみに開かない
- USBメモリなどの外部記憶装置による持ち出しを抑制する
社員個々人ができるこういった基本的な対策の積み重ねが、とても重要なのです。
【対策2】契約時に重要情報の取り扱いルールを明確化する
サプライチェーン攻撃による情報漏洩を防止するためには、業務委託元から展開される機密情報の取り扱いについて、委託元と事前に合意しておくことが必要です。
- どの情報を保護対象とすべきか
- アクセスの範囲をどこまでに限定するか
- 保有期間や廃棄方法をどう決めるか
業務委託の契約時にこれらのルールを委託元と十分検討しておき、そのルールに従った管理を行うことは、サプライチェーン攻撃に対する有効な対策になるだけでなく、委託元との信頼関係構築にも役立ちます。
【対策3】 請け負った委託業務を行うネットワークを分離する
自社のネットワークに対する攻撃がサプライチェーン攻撃につながることを避けるためには、請け負った委託業務を実施するネットワークを自社の他業務のネットワークと分離しておくことがよい手段です。
ネットワークを分離しておけば、自社のネットワークに対する攻撃が取引先のネットワークへの踏み台になることはありません。
また、自社のネットワークでウイルス感染が発生した場合でも取引先に危害が及ぶのを防ぐことができます。
【対策4】IPS・UTMによる不正侵入防止の強化
多くのサプライチェーン攻撃事例は、踏み台となる企業のネットワークへの不正侵入からはじまります。自社のネットワークへの不正侵入を防止するのは、サプライチェーン攻撃への具体的な対策になります。
不正侵入防止システム (IPS :Intrusion Prevention System)や統合脅威管理システム(UTM:Unified Threat Management)を導入してネットワークへの不正侵入を防ぐことは、サプライチェーン攻撃に対する即効性のある方策です。
【対策5】EDRによるエンドポイント端末の挙動監視
さまざまな対策を施していても、自社のネットワークのウイルス感染や不正侵入を100%防ぐことはできません。自社のネットワークに問題が発生した場合には、それが取引先に影響することがないよう発生をいち早く検知し、被害を最小限にとどめることが必要です。
自社のネットワークにウイルス感染や不正侵入が発生した場合の対策には、EDR(Endpoint Detection and Response)製品の導入が解になります。
EDRは自社ネットワークにつながっているエンドポイント端末の挙動を監視し続けて、異常を検知して脅威を除去してくれますので、自社のネットワークがサプライチェーン攻撃の踏み台に使われる可能性を大幅に低減してくれます。
まとめ
この記事では、昨今注目の集まっているサプライチェーン攻撃について解説しました。
サプライチェーン攻撃は、セキュリティ対策が相対的に弱い組織を踏み台にする攻撃です。これまでセキュリティに対してリソースをかけてこれなかった中小企業にとっては、厳しい時代になりつつあります。
しかし、十分なセキュリティ対策を採って市場の信頼を勝ち取ることができれば、大企業のサプライチェーンに参画しやすくなります。
この機会に自社のセキュリティ対策を見直してはいかがでしょう?