ページの本文へ

セキュリティ

日本は対応が遅い? サプライチェーン攻撃の対策

サプライチェーン攻撃とは、今後数年の間に日本で大きな脅威になることが懸念されているサイバー攻撃の一種です。サプライチェーン攻撃の手口と企業が備えることができる有効な対策について解説します。

  1. サプライチェーン攻撃とは
  2. 2つのサプライチェーン攻撃
  3. サプライチェーン攻撃の脅威
  4. サプライチェーン攻撃への有効な対策

サプライチェーン攻撃とは

サプライチェーン攻撃とは、ターゲットとなる企業や組織に直接攻撃を仕掛けるのではなく、まず取引先や関連会社を攻撃し、それを足がかりとしてターゲット企業のシステムに侵入する、あるいはターゲットとなる企業が利用しているソフトウェアや製品の更新プロセスに不正なプログラムを仕込むことで攻撃を仕掛けるサイバー攻撃のことです。

その危険性は以前から指摘されていましたが、実際に被害が発生し、脅威として強く認識されるようになったのはここ数年のことです。しかし日本ではいまだ対応が遅れており、世界的に見ると最低レベルの対策しか行われていません。そのため、サプライチェーン攻撃による被害が増えていくことが懸念されています。

2つのサプライチェーン攻撃

サプライチェーン攻撃には主に2種類の手法があります。それぞれの違いについて説明します。

1.取引先や関連会社を経由したサプライチェーン攻撃

そもそもサプライチェーンとは、製造業でいえば原材料の調達、生産、物流、販売といった一連の工程を指す言葉です。サプライチェーン攻撃は、この一連のプロセスの途中を狙った攻撃手法です。

取引先や関連会社を経由したサプライチェーン攻撃では、まずターゲット企業の取引先会社、関連会社、関連組織などを攻撃します。その理由はターゲット企業となりやすい大企業そのものは高度なセキュリティ対策が構築されていて攻撃がしづらく、一方で中小企業が中心となる取引先会社や関連会社には対策が手薄なところが多いためです。攻撃者にしてみれば、侵入がしやすいところから攻撃するというごく当たり前の選択をしているともいえます。

例えば、取引先会社のネットワークに侵入できたら、もともと標的としていた企業のシステムにアクセスするヒントとなる情報を盗み出し、次にその情報を使って首尾よく標的システムに侵入して目的を達成する、というのが典型的な攻撃手口です。

2.ソフトウェアを経由したサプライチェーン攻撃

ソフトウェアを経由したサプライチェーン攻撃では、攻撃者は何らかの方法でターゲット企業が使用し、ソフトウェアベンダーが提供しているソフトウェアのアップデートプログラムやパッチモジュールにマルウェアなどを埋め込みます。ターゲット企業は正規のダウンロードサーバーから配布された更新プログラムであれば疑うことなくアップデートを実行し、その結果、マルウェアに感染してしまいます。

この手口はソフトウェアサプライチェーン攻撃とも呼ばれます。この場合、一社のアップデートプログラムにマルウェアが混入されて配布されると、そのソフトウェアを使用している多くの企業が同じように被害を受けることになります。

また、ターゲット企業が使用しているIT機器などのハードウェアに、製造工程で「バックドア(不正にシステムへ侵入するための接続経路)」が仕掛けられるといった事例もあります。

サプライチェーン攻撃の脅威

サプライチェーン攻撃には、自社のセキュリティ対策をいくら強固なものにしていても、取引先などのセキュリティを突破されて侵入されるという怖さがあります。また、中小企業の立場からすれば、自社が取引している大企業を攻撃するための踏み台に利用される可能性があるということになります。

つまり、サプライチェーン攻撃を防ぐには、取引先や子会社を含めた関連会社全体で一貫した対策をしなければならないということです。業務だけでなく、セキュリティ面でも綿密な連携が必要であり、これを怠れば、サプライチェーン全体が悪意ある者からの攻撃を受ける危険性にさらされていることになります。

サプライチェーン攻撃への有効な対策

サプライチェーン攻撃に対抗するには、取引先との連携を念頭に置いたセキュリティ対策を構築することが肝要です。

しかし、それを行ったとしても、サプライチェーン攻撃を100%防ぐことは難しいといわれています。仮に1つ目のサプライチェーン攻撃を抑え込んだとしても、2つ目のソフトウェアサプライチェーン攻撃、正規に配布されたアップデートプログラムに仕込まれたマルウェアなどは、ソフトウェアベンダー側で完全な対策をされる以外、防ぐのが難しくなります。

そこでこのような攻撃に対しては、従来とは少し違う考え方が求められます。従来のウイルス対策ソフトなどのセキュリティ製品は、「侵入を防ぐこと」を主な目的としています。しかし、最近注目されているEDR(Endpoint Detection and Response)製品などは、侵入されたときのことを想定し、インシデントが発生したときにそれをなるべく早く検知し、それに対し早期対応をすることで被害を最小限に食い止めることを目的としています。

侵入を防ぐだけではなく、侵入されたときに情報の流出などを食い止める出口対策を実施すれば、サプライチェーン攻撃に対しても有効な手段の1つとなる可能性があります。ポイントは、攻撃されても被害を出さないようにすることです。

サプライチェーン攻撃の脅威は、大企業にも、中堅・中小企業にも関係しています。その攻撃から情報を守るための対策について考えてみてはいかがでしょうか。

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら