サプライチェーン攻撃の7つの対策方法|
目的や攻撃手法の種類
2023.1.31
セキュリティー
大企業のビジネスは、調達・製造・販売などに携わる多くの企業との取引によって支えられています。近年では、そんなサプライチェーンを狙ったサイバー攻撃の手口が登場し、甚大な被害をもたらすと懸念されています。そこでは、大手企業と取引のある中小企業がサイバー攻撃で悪用されるリスクがあり、中小企業のセキュリティーの脆弱性が狙われているのです。本記事では、注意すべきサプライチェーン攻撃の対策方法について解説します。
サプライチェーン攻撃とは?
初めに、サプライチェーン攻撃の基礎知識を解説します。自社の弱点を知りサイバーセキュリティー対策を強化するために、攻撃者による最新の手口を把握しておくことをおすすめします。
サプライチェーン攻撃の意味
サプライチェーン攻撃とは、サイバー攻撃のターゲットである大企業を狙って、取引先企業や関連会社を経由した不正アクセスを行うサイバー攻撃のことです。このように他社を経由する理由は、ターゲットとなる大企業のセキュリティーが強固で、直接突破するのが難しいためです。それに対して、関連企業は大企業と比較してセキュリティーレベルが低い傾向にあり、弱点となってしまうことがあります。サプライチェーン攻撃は、こうした企業間のセキュリティーレベルの違いを悪用した手口だといえます。
サプライチェーン攻撃の目的
サイバー犯罪者がサプライチェーン攻撃を行う目的は、大企業の保有するデータと引き換えに要求する高額な身代金や、大企業の機密情報などです。セキュリティーレベルの低い企業は、自社の被害が懸念されるだけでなく、他社へのサイバー攻撃に悪用されかねません。万が一、サプライチェーン攻撃に巻き込まれると、自社だけでなく取引先にも大きな損失を与えるおそれがあります。大手企業と取引のある企業では、情報セキュリティーの担当者がサプライチェーン攻撃について理解を深め、適切な対策を行うことが重要です。
サプライチェーン攻撃の動向
サプライチェーン攻撃は、組織を狙ったサイバー攻撃のなかでも、近年とりわけ注目されている手口の一つです。2022年度には、独立行政法人情報処理推進機構(IPA)が公表する「情報セキュリティー10大脅威」にて、第3位にランクインしました。
サプライチェーン攻撃は、国内に留まらず世界的な被害が懸念されており、犯罪グループによる組織的な犯行も見受けられます。IPAの報告によれば、自社の子会社や海外拠点、業務委託先企業が狙われた事例も存在します。被害を受けた企業の中には、犯罪の温床であるダークウェブに顧客の個人情報が流出するといった、深刻な情報漏えいにつながってしまったケースも少なくありません。
サプライチェーン攻撃は、2021年度の4位から順位を上げていることから、今後の情報セキュリティー対策で注意すべき脅威だと考えられています。なお、2022年の第1位は「ランサムウェアによる被害」、第2位は「標的型攻撃による機密情報の窃取」でした。これらのサイバー攻撃は、いずれも国内で複数の被害事例があり、早急に対策が求められています。
【出典】「情報セキュリティ10大脅威 2022」(独立行政法人情報処理推進機構)
URL:https://www.ipa.go.jp/security/vuln/10threats2022.html
サプライチェーン攻撃は、国内に留まらず世界的な被害が懸念されており、犯罪グループによる組織的な犯行も見受けられます。IPAの報告によれば、自社の子会社や海外拠点、業務委託先企業が狙われた事例も存在します。被害を受けた企業の中には、犯罪の温床であるダークウェブに顧客の個人情報が流出するといった、深刻な情報漏えいにつながってしまったケースも少なくありません。
サプライチェーン攻撃は、2021年度の4位から順位を上げていることから、今後の情報セキュリティー対策で注意すべき脅威だと考えられています。なお、2022年の第1位は「ランサムウェアによる被害」、第2位は「標的型攻撃による機密情報の窃取」でした。これらのサイバー攻撃は、いずれも国内で複数の被害事例があり、早急に対策が求められています。
【出典】「情報セキュリティ10大脅威 2022」(独立行政法人情報処理推進機構)
URL:https://www.ipa.go.jp/security/vuln/10threats2022.html
サプライチェーン攻撃の手法
サプライチェーン攻撃には、具体的にどのような手法があるのでしょうか。ここでは、代表的な手法として「取引先(委託先)を踏み台にする手法」と「ソフトウェアやハードウェアを経由した手法」をご紹介します。
取引先(委託先)を踏み台にする手法
大企業の取引先の中から、セキュリティー対策が手薄になっている企業を探し、踏み台にする手法です。踏み台とは、他者の端末やサーバーなどを乗っ取り、そこからサイバー攻撃を仕掛けることを意味します。こうした手口は「グループサプライチェーン攻撃」と呼ばれることがあります。
グループサプライチェーン攻撃には、主に2つのパターンが存在します。一つは、踏み台となった取引先から不正アクセスして、ターゲットである大企業まで侵入するパターンです。もう一つは、取引先からターゲットである大企業の情報を盗み出し、情報を引き換えに大企業へ金銭を要求するパターンが挙げられます。
グループサプライチェーン攻撃には、主に2つのパターンが存在します。一つは、踏み台となった取引先から不正アクセスして、ターゲットである大企業まで侵入するパターンです。もう一つは、取引先からターゲットである大企業の情報を盗み出し、情報を引き換えに大企業へ金銭を要求するパターンが挙げられます。
ソフトウェアやハードウェアを経由した手法
ベンダーが大企業へ納品するソフトウェアやハードウェアを経由して、悪意ある第三者が不正侵入する手法です。ITシステムなどの製品にマルウェアが仕込まれており、大企業への納品物を通じてサイバー攻撃が行われます。マルウェアとは、ユーザーに被害をもたらす悪意あるソフトウェアのことです。こうした手口は「ソフトウェアサプライチェーン攻撃」と呼ばれることがあります。
ソフトウェアサプライチェーン攻撃では、サイバー犯罪者が製品の脆弱性を狙って攻撃を仕掛けます。マルウェアが含まれているとは知らずに、多数の人がソフトウェアをダウンロードしてしまう危険性もあり、注意が必要です。更新プログラムなどがターゲットとなり、一気にマルウェア感染が広がってしまうおそれもあります。
ソフトウェアサプライチェーン攻撃では、サイバー犯罪者が製品の脆弱性を狙って攻撃を仕掛けます。マルウェアが含まれているとは知らずに、多数の人がソフトウェアをダウンロードしてしまう危険性もあり、注意が必要です。更新プログラムなどがターゲットとなり、一気にマルウェア感染が広がってしまうおそれもあります。
サプライチェーン攻撃の対策
セキュリティーインシデントを予防するために、現状の対策を見直し、社内のセキュリティー意識を高めることが大切です。サプライチェーン攻撃に有効な対策方法を解説します。
OSやソフトウェアは常に最新のバージョンに更新する
サプライチェーン攻撃では、関連企業のセキュリティーにおけるあらゆる脆弱性がターゲットになり得ます。そのため、OSやソフトウェアを常に最新版に更新する基本のセキュリティー対策が必須です。アップデートを怠るとセキュリティーの脆弱性が放置されてしまうためご注意ください。
パスワードを強化する
パスワードの強化はセキュリティー対策の基本です。パスワード窃取のリスクを減らすには、一定以上の長さの複雑なパスワードを設定して、定期的に変更することが有効だとされています。その反対に、パスワードに規則性のある文字列を採用したり、複数のサービスでパスワードを使い回したりするのは好ましくありません。
ウイルス対策ソフトを導入する
社内の端末のウイルス感染を防ぐために有効な対策です。ウイルス対策ソフトを導入すると、ネットワークを常時監視して、不審な挙動を速やかに検知できるようになります。また、フィッシングメールをはじめとした、企業を狙った多様なサイバー攻撃をブロックすることも可能です。
データの共有設定を見直す
近年のビジネスシーンでは、クラウドを用いたデータ共有が活用されています。データ共有の際は、適切な権限設定を行い、データにアクセスできるユーザーの範囲を管理することが重要だといえます。また、システム上で履歴を閲覧できる状態にして、情報漏えいの発生時に速やかに原因を特定できると理想的です。
従業員へセキュリティー教育を実施する
従業員一人ひとりのセキュリティー意識を高めるための、セキュリティー教育も欠かせません。サプライチェーン攻撃による被害や手口を理解させるために、社員研修を実施するようおすすめします。問題発生時の報告や相談の流れなど、一連の対応についても取り決めて、組織的に防御するのがポイントです。
セキュリティー強化のための人材と予算を確保する
大手企業との取引がある企業では、セキュリティー強化のための人材と予算を十分に確保するのが望ましいといえます。セキュリティーツールやサービスを導入して安全性の高い環境を構築するとともに、定期的な訓練を実施して、日頃からセキュリティーインシデントの発生に備えることが大切です。
サプライチェーン攻撃の対策におすすめのセキュリティーツールやサービス
サプライチェーン攻撃の対策に適した、当社製品をご紹介します。セキュアな環境を構築するために、ぜひお役立てください。
多様化するサイバー攻撃対策に最適なUTM
WatchGuard Firebox
企業に必要なあらゆるセキュリティー対策をまとめて導入できる、便利な統合脅威管理(UTM)です。たった1台でウイルス感染・不正侵入・迷惑メール・ネットワーク攻撃などの多様な脅威から自社を守ります。サプライチェーン攻撃の対象となりやすい中小企業でも、大企業と同レベルの強固なセキュリティー対策を実現可能です。
信頼性の高いウイルス対策ソフトでPCを保護
TASKGUARD エンドポイントセキュリティー
社内PCや社外持ち出しPCをはじめとした端末を保護するエンドポイントセキュリティー対策ソフトです。自社の機器がサプライチェーン攻撃の踏み台となるのを防ぎます。管理者PCから各端末の状況を確認したり、一括で設定を管理したりと、エンドポイントの効率的な管理が可能となります。自動バージョンアップにより、常に最新の環境を維持できるため安心です。
万が一のインシデント発生時も安心の対応
TASKGUARD セキュリティーサービス
セキュリティーインシデントの発生時における初動対応で充実したサポートを受けられる、セキュリティーサービスです。サプライチェーン攻撃に備えた体制強化にお役立てください。24時間体制で見守り、異常を迅速に通知します。万が一の時にはリモートサービスで初動対応を実施するとともに、初動対応費用をカバーする簡易サイバー保険もご用意しています。
中小企業でもサプライチェーン攻撃に備えた対策の見直しを
大企業の関連企業が狙われる、サプライチェーン攻撃の手口についてお伝えしました。サプライチェーン攻撃では、大企業が最終的なターゲットでありながら、セキュリティーに脆弱性のある中小企業が巻き込まれるおそれがあります。サイバー犯罪から自社を守り、他社へ被害が及ぶのを防ぐためにも、中小企業でもセキュリティー対策の見直しをご検討ください。サプライチェーン攻撃に備えたセキュリティー強化には、当社のセキュリティーツールやサービスがおすすめです。情報セキュリティーのご担当者様は、どうぞお気軽にお問い合わせください。
