見出し画像

企業の信頼を失墜させるサプライチェーン攻撃とはどんな攻撃なのか

株式会社ハイパー公式note

近年、大企業に比べて比較的セキュリティ対策の弱い中小企業を狙い、サプライチェーンでつながった大企業に間接的な被害を与えるサイバー攻撃が頻発しています。こうした攻撃は「サプライチェーン攻撃」と呼ばれ、適切な対応ができなければ企業の信頼を失墜させるだけに留まらず、莫大な損害賠償が請求されることもあります。

そこで今回は、サプライチェーン攻撃の手法や過去の被害事例を交えて解説していきます。

サプライチェーン攻撃とは

そもそもサプライチェーンとは、製品の企画やデザイン、原材料や部品などの調達、製造、在庫管理、物流、販売、さらには消費やサポートを含む一連の流れを意味しています。これらの流れは1つの企業だけで成立しているわけではなく、複数の関連組織、時には個人事業者によって支えられています。

このようにサプライチェーンを支える組織や個人は複数存在していますが、それぞれのセキュリティ対策レベルは決して同じではありません。大きな企業であれば高いセキュリティレベルを維持できるかもしれませんが、たとえば部品を製造している小さな町工場に同レベルのセキュリティ対策を求めるのは困難だと言わざるを得ないでしょう。コストや人的要因から、中小企業の多くは十分なセキュリティ対策を実施できていないのが現状です。
しかし、攻撃者はこうしたサプライチェーンの中にあるセキュリティの隙を狙っています。単に中小企業を狙っているのではなく、サプライチェーンでつながった先の大企業を攻撃することが目的なのです。

サプライチェーン攻撃が非常に深刻である最大の理由は、中小企業がサイバー攻撃の被害者になってしまうと同時に、関連企業への攻撃者にもなってしまうことにあると言えます。セキュリティ対策が不十分であったために、他の企業がランサムウェア被害に遭ってしまう、あるいは大企業の生産ラインが止まってしまうといったケースも実際に生じています。

サプライチェーン攻撃の手法

サプライチェーン攻撃とは、サプライチェーンを狙った間接的なサイバー攻撃の総称であるため、さまざまな手口の犯罪がありますが、大きく分類するとビジネスサプライチェーン(またはグループサプライチェーン)攻撃、ソフトウェアサプライチェーン攻撃、サービスサプライチェーン攻撃の3つに分けられます。
実際にどのような手口があるのかを確認していきましょう。

[取引先から委託された機密情報を盗まれる]

サプライチェーン攻撃の最初のステップは、機密情報の窃取です。取引先から預かった製品の設計書、商品企画書、あるいは顧客情報などが流出してしまえば、自社の損害だけでなく取引先にも被害が及びます。これはビジネスサプライチェーン攻撃に該当します。

[攻撃の踏み台になる]

サプライチェーンでつながった企業への攻撃の踏み台になるのも、ビジネスサプライチェーン攻撃の一つです。攻撃の踏み台としてメールを使った手口が一番多いと言われています。侵入した企業からメールアドレスの一覧を窃取し、サプライチェーンでつながった標的となる企業に対して取引先を装ったフィッシングメールやマルウェアが添付されたメールを送りつけるといった流れで攻撃を仕掛けてきます。
実在する取引先や関係者からのメールを装っているため警戒されにくく、うっかりURLをクリックしたり添付ファイルを開いてしまったりすることが多いそうです。
こうした手口でランサムウェア被害に遭うケースも多く報告されています。

また、少数ではありますが、ボット型のマルウェアによってシステムを乗っ取られ、取引先の企業に対するハッキングに使用されてしまうケースもあるため、注意が必要です。

[ビジネスメール詐欺]

自社の経営層や取引先企業の担当者を装い、経理や財務部門の担当者に偽の請求書などを送り付け、金銭をだまし取る攻撃を「ビジネスメール詐欺(BEC: Business E-mail Compromise)」と呼びます。過去には実在する従業員を装って給与の支払い口座を変更するといった手口も報告されています。
こうしたBECもビジネスサプライチェーン攻撃になることがあり、標的となる企業のメールアドレスの一覧を窃取する、あるいはBECを送る踏み台として利用されるというパターンが挙げられます。取引先からの請求書を装う場合、事前に本物の請求書を確認するなど巧妙な手口も多いです。

[製品にマルウェアを仕込まれる]

ハードウェアやソフトウェアを製造する企業に侵入し、製品にマルウェアを埋め込むという手口もあります。こうした手口はソフトウェアサプライチェーン攻撃とも呼ばれています。製造過程で感染するだけでなく、製品のアップデートに使用する更新プログラムやパッチファイルにマルウェアが埋め込まれることがあります。
取引先の製品にマルウェアが埋め込まれていた場合、それまでの信頼関係から検出が遅れるケースも多く、そうなると甚大な被害が出てしまうのは避けられません。

[サービス事業者を狙った攻撃]

サービスプロバイダのシステムに侵入し、提供しているサービスを通じて顧客企業にランサムウェア攻撃などの被害を及ぼす攻撃をサービスサプライチェーン攻撃と呼びます。基本的にサービスプロバイダのセキュリティレベルは高く、あまり事例はありません。しかし、ひとたび発生すると被害企業が膨大な数に上ることから、非常に深刻なサイバー攻撃でもあります。

サプライチェーン攻撃の事例

サプライチェーン攻撃の被害はたくさんありますが、近年の事例としては次のようなものがあります。

[プロスポーツ法人の関連Webサイト]

2017年4月、国内のとあるプロスポーツ法人のWebサーバとデータ管理運用を委託された企業が攻撃を受け、クレジットカード情報を含む「最大15万人以上の個人情報」が流出したことが報告されています。関連したクレジットカード不正利用の被害額は報告されただけでも379件あり、800万円を超える被害報告がありました。

[三菱電機]

2020年1月、三菱電機は第三者による「不正アクセス」を受け、個人情報や企業機密情報が外部に流出した可能性があることを発表しました。これは中国にある関連企業を踏み台としたサプライチェーン攻撃で、本社の機密情報にアクセスできる複数のパソコンに不正アクセスが行われています。対象となった機密情報は三菱電機自身の情報だけでなく、防衛省、内閣府、原子力規制委員会をはじめとする複数の政府機関および、電力会社、通信会社、JR、自動車会社といった大企業も含まれていたと報告されています。

[トヨタ自動車の生産ライン停止]

2022年2月、トヨタ自動車ではなく、関連企業である小島プレス工業がランサムウェアの標的となりました。この攻撃によって小島プレス工業は稼働する社内サーバーを全て停止し、その結果としてトヨタ自動車を始めとする取引先の生産ラインを停止する事態を引き起こしました。小島プレスのシステム停止によって14工場28ラインが止まり、約1万3000台の生産に影響が出たと言われています。

[米国Kaseya社が提供したツールの脆弱性からランサムウェア被害]
2021年7月、米国Kaseya社は、自社が提供するリモート監視・管理ソフトウェア「Kaseya VSA」の脆弱性が悪用された攻撃を受けました。Kaseya VSAは中小企業を対象としたマネージドサービスプロバイダ(MSP)やマネージドセキュリティサービスプロバイダ(MSSP)で利用されているツールで、この一件ではアイルランドにあるMSPおよび、そのMSPを利用している複数の企業がランサムウェア攻撃に巻き込まれてしまいました。これは、典型的なサービスサプライチェーン攻撃と言えるでしょう。

サプライチェーン攻撃にどう対応していけばいのか

  • 安全なパスワード管理(長くランダムな文字列を使う、定期的/不定期に変更する、使いまわさない)

  • 可能な限り安全なネットワークを使用する(社内ネットワークの外からであれば、公衆無線LANなどは使用しない)

  • 知らない相手からのメールは開封しない

  • 知っている相手からのメールでも不用意にURLをクリックしない/添付ファイルを開かない

  • 常にOSやアプリケーションを最新に保つ

  • セキュリティソリューションを導入する

  • 請求書等の支払いに関する業務フローを見直し、複数回のチェックができる体制を作る

もちろんこれらの対策には、金銭的にも人的にもコストがかかります。そのため、ついつい後回しにしてしまうという企業も少なくありません。しかし、パスワード管理、適切な接続先の選択、メールへの適切な対応、システムアップデートなどは従業員へのセキュリティ教育でカバーできることで、どのような規模の企業でもITを利用する業務には必須となる知識です。

セキュリティソリューションは、予算との兼ね合いという部分も大きいでしょう。国や自治体がセキュリティ対策に関する助成金や補助金を支給することもありますので、調べてみるのも良いかもしれません。

サプライチェーン攻撃はどの企業にとっても他人事ではありません。そのため、経済産業省は中小企業を含むサプライチェーン全体でのサイバーセキュリティ対策を進めるため「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」を立ち上げています。中小企業対策を強化したワーキンググループもあり、中小企業が直面する悩み・課題・解決策・プラクティスの共有にも取り組んでいます。

また、最近ではサイバー攻撃による金銭的被害を補償してくれる「サイバー保険」などもありますので、検討してみてはいかがでしょうか。

まとめ

  • サプライチェーン攻撃は、サプライチェーンでつながったセキュリティ対策の弱い企業を狙う

  • サプライチェーン攻撃の被害者になると、同時に関連企業への加害者になる

  • サプライチェーン攻撃によって取引先を失ったり、損害賠償が請求されたりすることもある

この記事が気に入ったらサポートをしてみませんか?