サプライチェーン攻撃とは?
3つの攻撃パターンと対策・事例など総まとめ

情報セキュリティへの対策はデジタル化が進む現代社会では欠かせません。多くの大手企業が情報セキュリティへの対策を進めていますが、中小企業ではあまり進んでいないことが課題とされています。今回は、情報セキュリティ脅威として、特に注目されている「サプライチェーン攻撃」とは何か、中小企業におけるリスクやサプライチェーン攻撃のパターン、被害事例、対策までをまとめて紹介します。

今回のお悩み
サイバー攻撃の標的は大手企業が多いと思っていた。最近、よく耳にするサプライチェーン攻撃は中小企業も狙われていると聞く。どのようなものなのか、詳しい被害の事例や必要な対策があれば知りたい。

私が解説します!
多様化するサイバー攻撃の対象は、大手企業に限らず中小企業にも及んでいます。被害が年々増加し、政府からも注意喚起が行われているサプライチェーン攻撃について、被害事例や対策まで、わかりやすく解説します。

( 1 ) サプライチェーン攻撃とは何かをわかりやすく解説

サプライチェーンとは、原料・部品の調達から、生産、物流、販売などのすべての生産プロセスの連鎖を意味します。私たちが手にする商品は、複数の企業が連携しています。サプライチェーン攻撃とは、このつながりを利用したサイバー攻撃で、セキュリティが強固な大手企業を最終攻撃対象として、まずはセキュリティ意識の低い中小企業を足掛かりにマルウェアなどの悪意あるプログラムを感染させます。

IPA(独立行政法人情報処理推進機構)が公開している「情報セキュリティ10大脅威2024」では、サプライチェーン攻撃が組織に対する脅威の2位に入っています。2019年に初めて4位にランクインしてから徐々に順位を上げ、2023年からは2年連続で2位という結果が出ています。経済産業省ではサイバー攻撃のリスクの高まりを受け、サプライチェーン全体を俯瞰し、発生するリスクをコントロールするためのセキュリティ対策を実施するよう呼びかけています。

参照:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2024」

( 2 ) 中小企業がサプライチェーン攻撃に狙われる理由

サイバー攻撃の標的として中小企業が狙われる要因として、セキュリティ対策が大手企業と比較して甘いという点が挙げられます。サイバー攻撃に対して、セキュリティ意識の高い大手企業は強固な対策をしているため、攻撃者がシステムなどに侵入することは困難です。しかし中小企業の場合は、「自社が狙われるはずがない」「さほど重要な情報は扱っていない」と考えている経営者がいるほか、セキュリティ対策に予算をかけられない、従業員のリテラシーが低いといったケースが見られます。

攻撃者はこれらの状況を悪用し、サプライチェーンを担う企業を狙って攻撃を仕掛け、大手企業に侵入するための「踏み台」に利用します。中小企業がサプライチェーン攻撃の標的とされる大きな理由です。取引のある企業への踏み台に利用された場合には、加害者として損害賠償などの負担や、取引停止などの被害が発生する場合もあるため、自社では個人情報などの取り扱いがないとしても、必要なセキュリティ対策を行うことが重要です。

( 3 ) サプライチェーン攻撃の主な3つの攻撃パターン

サプライチェーン攻撃は、委託元(攻撃対象企業)に直接攻撃するのではなく、取引のある委託先から情報を窃取したり、委託元への納品物を悪用したりといった手法が使われます。攻撃パターンは主に以下の3つの型に分類できます。

●ビジネスサプライチェーン攻撃

標的とする企業の関連企業や子会社、取引先企業などのシステムに侵入し、「踏み台」として標的を攻撃する手法です。セキュリティ対策が十分でない企業を狙い、メールアドレスを盗み出してマルウェアなどを仕掛けた不正メールを送信する、または踏み台となる企業を経由した不正アクセスによる情報の窃取やサーバの乗っ取りなどを行います。

●サービスサプライチェーン攻撃

サービス事業者が提供するITシステムなどのサービスを経由して攻撃する手法です。サービスを介して侵入され、サーバなどを乗っ取られてしまうと、情報漏洩やネットワークが停止するなどの被害が出てしまいます。サービス事業者だけでなく、そのサービスを利用する顧客にも被害が及び、利用者が多い場合は大きな被害につながる恐れもあります。

●ソフトウェアサプライチェーン攻撃

大手企業と取引しているアプリやソフトウェア開発会社のシステムに不正アクセスを行い、納品物(ソフトウェアや更新プログラムなど)にマルウェアなどを仕掛け、標的となる企業のシステムに侵入を試みる手法です。開発会社が気づかないまま納品し、そのまま使用してしまうと、仕掛けられたマルウェアが社内全体に拡散してしまうリスクがあります。

( 4 ) サプライチェーン攻撃の被害事例3選

サプライチェーン攻撃の事例を3つご紹介します。いずれもマルウェア感染による個人情報漏洩など、大きな被害が生じたケースです。

●大手インターネット企業から個人情報漏洩

2023年11月、大手インターネット企業がマルウェア感染によって、約44万件の個人情報が漏洩したと発表しました。業務委託先企業の従業員が使用しているPCがマルウェアに感染し、関連企業のシステムを経由して感染が拡大。最終的にはユーザーや従業員、取引先に関する大量のデータが流出しました。不正アクセス発生後、1週間以上も経過してから不審なアクセスが検知されたことで、委託先従業員の正規アカウントを悪用された可能性が指摘されています。

●宿泊予約サイトを運営する大手企業への不正アクセス

世界最大級の宿泊予約サービスが不正アクセスを受け、ユーザーの個人情報が大量に流出しました。サービスに登録しているホテルにフィッシングメールを送り、マルウェアに感染させてシステムに侵入。ホテルの担当者がサービスのアクセスに使用するアカウント情報を窃取し、不正アクセスを行いました。攻撃者は、サービスのシステムを悪用し、予約者にフィッシングメールを送り、不正サイトを通じてユーザーのクレジットカード情報や個人情報を窃取したと見られています。

●医療機関のシステムがランサムウェアに感染

2022年10月、関西の医療機関がサイバー攻撃を受け、総合情報システムの停止により、救急や外来の診療、手術などに甚大な支障が出ました。病院から委託契約を受けた給食配給企業で使用している機器の脆弱性が狙われ、不正にアクセスを受けたものです。さらに病院のシステムへも侵入を許し、ランサムウェア に感染。電子カルテを含めたサーバの大部分が暗号されてしまい、身代金の要求を受けました。

( 5 ) サプライチェーン攻撃は自社と取引先全体で対策が必要

サプライチェーン攻撃により顕在化した主なリスクとして以下の5点が挙げられます。

  • 内部不正・不正アクセスによる委託先からの情報流出
  • 委託先からの納品物にマルウェアが混入
  • 委託元・委託先からのサイバー攻撃メール
  • 調達したソフトウェア・オープンソフトウェアの脆弱性による事故
  • システム運用委託先(クラウド、IoTシステム等)における停止事故・情報流出・情報消滅・乗っ取り

これらを踏まえ、IPAではサプライチェーンにおけるサイバーセキュリティ対策の強化について、さまざまな調査や取組事例の発表などが行われています。また、経済産業省では経営者に向けた「サイバーセキュリティ経営ガイドライン」を改定するほか、サプライチェーン全体のサイバーセキュリティ向上のため、中小企業等におけるサイバーセキュリティ対策を支援するための施策とともに、取引先への対策の支援・要請に係る関係法令の適用関係について整理を行っています。

参照:IPA_サプライチェーン・サイバーセキュリティ・コンソーシアム「サプライチェーンにおけるサイバーセキュリティ対策の強化について(企業における取組事例の公表)」 参照:経済産業省「サイバーセキュリティ経営ガイドライン」 参照:経済産業省「サイバーセキュリティ政策_サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」

サプライチェーン攻撃では、脆弱性などの弱点が狙われるのが特徴ですが、取引企業は安心という思い込みから管理や意識が甘くなることも原因となっています。また、自社が被害を受けるだけでなく、知らないうちに加害者になってしまうという怖さもあります。そのため、自社だけでなくサプライチェーン全体を見据えたセキュリティ対策が必要です。

( 6 ) 基本的なセキュリティ対策がサプライチェーン攻撃にも有効

中小企業であっても、サイバー攻撃のリスクは他人事ではなく、身近にある危険として考えなければいけません。サプライチェーン攻撃ではセキュリティの甘さや脆弱性が狙われますが、逆に言えば基本的な対策を適切に行うことで、多くの攻撃を防ぐことができます。

●情報セキュリティ5か条を徹底

IPAは以下の「情報セキュリティ5か条」を提唱しています。基本的な対策を徹底することがリスク軽減につながります。

  • OSやソフトウェアは常に最新の状態にしよう!
  • ウイルス対策ソフトを導入しよう!
  • パスワードを強化しよう!
  • 共有設定を見直そう!
  • 脅威や攻撃の手口を知ろう!
引用:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ5か条」

中小企業には情報管理専門の担当者やセキュリティに詳しい人材がいないことも少なくありません。しかし、専門的な知識がなくてもさまざまなセキュリティ機器やサービスが提供されているので、自社に適したツールを活用することも検討しましょう。

ここからはサクサの製品による具体的な対策例をご紹介します。サクサでは、1台でさまざまなネットワークセキュリティの課題を解決する「統合脅威管理アプライアンス(UTM)SS7000Ⅲ」をご提案しています。

●危険アクセスと情報漏洩を防ぐ「Webフィルタリング」

分野を設定することで、社員が危険なサイトへアクセスすることを防止し、SNSや掲示板などへの情報漏洩を防ぎます。業務目的外の利用を制限することで業務の効率化にもつながります。

●常に最新のセキュリティを保つ「自動ファーム更新」

1時間に1度、サーバと通信を行い、自動でシグネチャ(ウイルス検知ファイル)を更新します。進化を続けるランサムウェアにも対応し、常に最新のセキュアなネットワーク環境を維持します。

●高性能のアンチウイルスエンジンを採用

最新のウイルスも検疫できます。新たな脆弱性が見つかり、まだ修正プログラムが提供されていない状況下でのゼロデイ攻撃にも対応し、社内ネットワークを安全に保ちます。

( 7 ) まとめ

ここまでサプライチェーン攻撃によって生じるリスクや対応策について紹介してきました。中小企業だから大丈夫という認識を改め、適切なセキュリティ対策によって身近に潜む脅威から重要な情報を守り、情報漏洩による被害や自社の信頼低下を防止しましょう。
サクサは、記事の中でご紹介したUTMをはじめ、情報セキュリティ対策の提案を通して中堅・中小企業のサポートをさせていただきます。ぜひ気軽にご相談ください。

また、UTMの導入メリットや選び方をまとめた資料をはじめ、さまざまなお役立ち資料をご提供しています。ぜひご活用ください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら