サイバー攻撃のターゲットは中小企業へ
取引先にも影響を及ぼすサプライチェーン攻撃

情報セキュリティへの対策はデジタル化が進む現代社会では欠かせません。多くの大手企業が情報セキュリティへの対策を進めていますが、中小企業ではまだまだ進んでいないことが課題といわれています。近年、脅威とされている「サプライチェーン攻撃」とは何か、中小企業におけるリスクと対策について紹介します。

今回のケース

情報セキュリティ攻撃の標的は大企業が多いと思っていた。最近中小企業も狙われているというニュースを見たが、どういう内容なのだろうか?必要な対策があれば知りたい。

( 1 ) 取引企業を踏み台にするサプライチェーン攻撃

サプライチェーンとは、原料・部品の調達から、生産、物流、販売などのすべての生産プロセスの連鎖を意味します。私たちが手にする商品は、複数の企業が連携しています。サプライチェーン攻撃とは、このつながりを利用したサイバー攻撃で、セキュリティが厳しい大手企業を最終攻撃対象として、まずはセキュリティ意識の低い中小企業を足掛かりにマルウェアなどの悪意あるプログラムを感染させます。

IPA(独立行政法人情報処理推進機構)が公開した「情報セキュリティ10大脅威2021」では、組織に対する脅威の4位にサプライチェーン攻撃が入っています。今やどの企業もサイバー攻撃の対象になってしまう可能性があるのです。自分の企業だけでなく、関連する企業へと被害が拡大するだけに、サプライチェーン攻撃や、それによって生じるリスクを理解し、早めの対策に取り組みましょう。

参照:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2021」

( 2 ) サプライチェーン攻撃のパターンとリスク

サプライチェーン攻撃は、委託元(攻撃対象企業)に直接攻撃するのではなく、取引のある委託先から情報を窃取したり、委託元への納品物を悪用したりといった手法が使われます。攻撃パターンは主に以下の3つの型に分類できます。

  • 委託先踏み台型
  • ソフトウェア埋め込み型
  • 委託先情報攻撃型

委託先のセキュリティ脆弱性を狙った「委託先踏み台型」

まず、下請けなど委託先企業の脆弱性を狙ってサイバー攻撃を仕掛け、委託元である取引先のメールアドレスなどの情報を窃取します。その情報を利用して、取引先企業にマルウェアを含んだメールを送信し、感染させるなどの攻撃を行います。

脆弱性を埋め込んだソフトウェアを利用する「ソフトウェア埋め込み型」

委託先で脆弱性が埋め込まれた納品物(ソフトウェアなど)を、受け取った委託元が攻撃を受けるというものです。信頼のあるソフトウェアなどを悪用するケースでは、発見が難しく時間がかかることも多いため、そのぶん被害が大きくなります。

委託先へ渡された個人情報を窃取する「委託先情報攻撃型」

委託元企業から委託先へ個人情報などの重要な情報を渡している場合、委託先の脆弱性を狙って個人情報が窃取され、外部に漏洩します。委託先、再委託先へと情報が渡っているとリスクの把握がより困難になります。

近年、サプライチェーン攻撃により顕在化したリスクとしてIPAでは以下の項目を挙げています。

  • 内部不正・不正アクセスによる委託先からの情報流出
  • 委託先からの納品物にマルウェアが混入
  • 委託元・委託先からのサイバー攻撃メール
  • 調達したソフトウェア・オープンソフトウェアの脆弱性による事故
  • システム運用委託先(クラウド、IoTシステム等)における停止事故・情報流出・情報消滅・乗っ取り
引用:IPA(独立行政法人 情報処理推進機構)「サプライチェーンのセキュリティ脅威に備える」

サプライチェーン攻撃では、脆弱性などの弱点が狙われるのが特徴ですが、取引企業は安心という思い込みから管理や意識が甘くなることも原因となっています。また、自社が被害を受けるだけでなく、知らないうちに加害者になってしまうという怖さもあります。そのため、自社だけでなくサプライチェーン全体を見据えたセキュリティ対策が必要です。

( 3 ) 基本的な対策を徹底することが大切

中小企業であっても、サイバー攻撃のリスクは他人事ではなく、身近にある危険として考えなければいけません。サイバー攻撃には高度なものもありますが、基本的な対策を行うことで、多くの攻撃を防ぐことができます。

  • 重要な情報の明確化と取り扱いルール

委託契約時に重要な情報を明確にし、取り扱う際のルールを確定することで、リスクを最小限にします。攻撃を受けてしまった場合の報告や事後処理の準備もしておくことで、迅速に対応することができます。

  • 情報を管理するドメインを限定し運用

重要情報は限られたドメイン内で扱い、場所や人、使用する機器も明確にして運用・管理します。個人利用の端末やUSBなどは標的になりやすいため、原則は使用を禁止しましょう。

  • 情報セキュリティ5か条を徹底

IPAは以下の「情報セキュリティ5か条」を提唱しています。基本的な対策を徹底することがリスク軽減につながります。

  • OSやソフトウェアは常に最新の状態にしよう!
  • ウイルス対策ソフトを導入しよう!
  • パスワードを強化しよう!
  • 共有設定を見直そう!
  • 脅威や攻撃の手口を知ろう!
引用:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ5か条」 基本的な対策を徹底することが大切

中小企業には情報管理専門の担当者やセキュリティに詳しい人材がいないことも少なくありません。しかし、専門的な知識がなくてもさまざまなセキュリティ機器やサービスが提供されているので、自社に適したツールを活用することも検討しましょう。

( 4 ) 外部や内部からの脅威に対応してサイバー攻撃を防止

ここからはサクサの製品による具体的な対策例をご紹介します。サクサでは、1台でさまざまなネットワークセキュリティの課題を解決する「統合脅威管理アプライアンス(UTM)SS7000II」をご提案しています。

危険アクセスと情報漏洩を防ぐ「Webフィルタリング」

分野を設定することで、社員が危険なサイトへアクセスすることを防止し、SNSや掲示板などへの情報漏洩を防ぎます。業務目的外の利用を制限することで業務の効率化にもつながります。

常に最新のセキュリティを保つ「自動ファーム更新」

1時間に1度、サーバと通信を行い、自動でシグネチャ(ウイルス検知ファイル)を更新します。進化を続けるランサムウェアにも対応し、常に最新のセキュアなネットワーク環境を維持します。

高性能のアンチウイルスエンジンを採用

最新のウイルスも検疫できます。新たな脆弱性が見つかり、まだ修正プログラムが提供されていない状況下でのゼロデイ攻撃にも対応し、社内ネットワークを安全に保ちます。

( 5 ) まとめ

ここまでサプライチェーン攻撃によって生じるリスクや対応策について紹介してきました。中小企業だから大丈夫という認識を改め、適切なセキュリティ対策によって身近に潜む脅威から重要な情報を守り、情報漏洩による被害や自社の信頼低下を防止しましょう。
サクサは、情報セキュリティの提案を通して中堅・中小企業のサポートをさせていただきます。ぜひ気軽にご相談ください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら