2015年12月に経済産業省と独立行政法人 情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」には、「系列企業やサプライチェーンのビジネスパートナー、ITシステム管 理の委託先を含めたセキュリティ対策が必要」と書かれています。
サプライチェーンといえば、サービス提供を行うための一連のビジネス活動を意味し、取引先や関連企業などを含めたビジネス活動の流れを指しています。
「サプライチェーン攻撃」とは、本来効率的で円滑なビジネスを実現するサプライチェーンを逆にサイバー攻撃に悪用するものです。具体的にどういったもので、どのように対策をすれば良いのでしょうか。
サプライチェーン攻撃とは
多くの場合、サイバー攻撃はターゲットとなる企業や組織に直接攻撃をしかけます。しかし、最近では、大手企業や政府機関など大きな組織の場合は、正面突破が難しい高度なセキュリティ対策が行われているケースも多くなっています。
そこで、サプライチェーン攻撃では、比較的セキュリティ対策が手薄な取引先を経由することや、利用しているソフトウェア等の製品に不正プログラムを紛れ込ませる形での攻撃を行います。これがサプライチェーン攻撃です。
サプライチェーン攻撃の仕組み
具体的にサプライチェーン攻撃が行われる場合は、以下の2つの方法で行われます。
取引先や関連会社を経由した攻撃
比較的セキュリティ対策の薄い取引先や関連会社を経由して、ターゲットである企業への攻撃を行う。たとえば取引先のメールを偽装し、ターゲット企業に送るといった方法。
ソフトウェアやソフトウェアの更新プログラムを介した攻撃
ターゲットである企業で利用されているソフトウェア製品や、製品の更新プログラムなどに不正なプログラムなどを仕掛けることで攻撃を行う。
サプライチェーン攻撃の被害事例
実際にはサプライチェーン攻撃が行われた事例にはどういったものがあるのでしょうか。以下では、3つの被害事例を紹介します。
ケース1. WannaCryの事例
2017年に世界150カ国以上でランサムウェア「WannaCry」が猛威を振るい、欧州企業を中心に大きな被害が発生しました。このときには、サプライチェーンを経由して国内の企業にも被害が連鎖的に発生するという事態になりました。
ケース2. ロッキード・マーティン社の事例
2011年に米国の軍需産業のロッキード・マーティン社やノースロップ・グラマン社への不正アクセスと情報漏洩の事例です。この事例では、悪意のある犯罪者は直接同社への侵入ができないので、セキュリティ企業である「RSA Security」に侵入し、盗み出したSecure IDの情報を悪用して侵入するという方法を使っています。
ケース3. MeDoc税務会計ソフトの事例
2017年6月にウクライナのソフトウェアベンダーMeDocが提供している税務会計ソフトの更新プログラムが悪意を持つ第三者に改ざんされた事例です。ベンダーが行う正規のアップデートであったので疑う余地がなく、被害はウクライナ企業や取引先を通して全ヨーロッパに広がりました。
サプライチェーン攻撃の今後
大手の企業や政府機関のように、高度なセキュリティ対策を実施し、悪意を持つ犯罪者にとって侵入しにくくなるケースは今後さらに増えることでしょう。しかし、そういった対策はなかなかコスト面などから中小企業には難しいものです。犯罪者にとっては中小企業は比較的アクセスしやすいままとなるのです。
今後、こうした中小企業はターゲットとなる大きな組織への攻撃を行うための踏み台として使われるケースが急激に増していくことは間違いありません。
サプライチェーン攻撃への対策
ターゲットを直接攻撃するのではなく、取引先や関連会社、利用しているソフトウェアなどを介して攻撃を行うサプライチェーン攻撃は、非常に防ぐのが難しいものです。しかし、一旦攻撃を受けると、他のサイバー攻撃と同じように大きな被害となってしまう可能性があります。
この攻撃を防ぐための対策としては、大きく以下の3つが必要となります。
- ネットワークへの不正侵入を防ぐIPSの導入
- EDR導入による端末の不正な挙動の監視
- 取引先や関連会社を含めた啓発とセキュリティ対策の向上
まとめ
近年、大手企業などではセキュリティ意識の高まりとともにしっかりとした対策を施しているケースが増えています。高度なセキュリティ対策は、悪意ある犯罪者にとって攻撃を躊躇する大きな理由となります。
こうした状況の中で増えてきているのが、大手に比べてセキュリティ対策の薄い取引先や関連企業を介した攻撃や、利用しているソフトウェアを介して攻撃を行う「サプライチェーン攻撃」です。
サプライチェーン攻撃を効果的に防ぐためには、ネットワークへの侵入を監視し防御するIPSや、端末の挙動を監視するEDRなどシステムとして防御する仕組みの導入はもちろんですが、取引先や関連会社などを含めた人的な啓発を行うことがとても重要です。