サプライチェーン攻撃とは、サプライチェーン（製品が消費者の手元に届くまでの、調達・製造などから販売・消費といった一連の流れ）に関連する取引先を狙ったサイバー攻撃のことです。

もしサプライチェーン攻撃を受けてしまうと、業務の停止による売り上げ減少や情報漏洩による取引先からの損害賠償の可能性があり、甚大な被害を被る可能性があります。

現在もサプライチェーン攻撃の被害が増大傾向にある以上、一定の水準を超えたセキュリティ対策を保有していない企業は、今後の取引がなくなるケースも発生するかもしれません。今後のセキュリティ対策を実行しなければ、直接的な売上の機会損失につながる可能性が高くなります。

この記事では、サプライチェーン攻撃に関する攻撃手法や対策方法を徹底解説します。

サプライチェーン攻撃とは？

そもそもサプライチェーンとは、製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費までの全体の一連の流れです。

サプライチェーン攻撃とは、サプライチェーンに関連する取引先を狙うサイバー攻撃の総称を指します。サプライチェーン攻撃の実行者による被害は自社だけに留まらずサプライチェーンに連なる企業全体に及びます。もし自社が攻撃を受けた場合、顧客や取引先に損害が発生し「損害賠償を求められる」「取引を打ち切られる」などの危険性が大いにあります。

セキュリティ対策が強固な大企業を直接ターゲットにするのではなく、セキュリティ対策が手薄なサプライチェーン企業から不正に侵入し、最終的に大企業への攻撃を成功させることを目的としています。サプライチェーン攻撃の踏み台にされた場合最も恐ろしい点は、攻撃を受けた企業は被害者でありながら「加害者」になる点です。自社から取引先の機密情報がもし漏洩してしまったら、企業の社会的信用の低下や、金銭面の多大な損害は免れません。

攻撃手段に特定の手口はなく、機密情報を盗み、身代金を要求するのが大きな特徴になります。いずれにせよ攻撃者が不正に利益を得ようとする犯罪です。

サプライチェーン攻撃で起こりうる被害

サプライチェーン攻撃による被害は急増しており、独立行政法人情報処理推進機構(IPA)が調査した「情報セキュリティ10大脅威 2022」によると、サプライチェーンの弱点を悪用した攻撃は第3位に挙げられています。

参考：情報セキュリティ10大脅威 2022より

サプライチェーンを包括する商流上、消費者へ供給するためシステムを効率よく運用しています。もし関連する企業のうち１社でもサイバー攻撃を受けてしまうと連鎖的に被害が拡大していきます。業務を遂行するシステムが停止するだけではなく、情報が漏洩し社会的信用が失墜する恐れがあり企業生命に多大な影響を与えます。当然そのような被害にあわないために各社出来うる限りセキュリティ対策を行いますが、レベルの水準はバラバラになっています。特に中小企業と大企業を比較してみてもセキュリティレベルは圧倒的な差があります。

攻撃者はこの差を見て直接的に本命企業を狙うより、侵入しやすい企業を迂回して攻撃をしかけるケースが多くなっています。他にも、同じサプライチェーン企業間同士に信用と実績さえあればお互いのやりとりにおいても「〇社だから安心」といったセキュリティ意識が下がるところを狙われる理由として挙げられます。

サプライチェーン攻撃を受けた際に起こりうる被害には、以下のようなものがあります。

• マルウェア感染
• 情報漏洩
• 金銭的損失

マルウェア感染

マルウェア感染とは、使用するデバイス機器に不利益をもたらす悪意のあるコードやソフトウェアに感染することです。感染すると、中に保存されている個人情報や機密情報が攻撃者に流出する可能性があり、同一ネットワークに繋いでいる機器へ感染拡大します。また、マルウェアの種類によってはデータが破壊やデータの改ざんといった被害に発展するケースもあります。サプライチェーン攻撃被害の始まりは、まずマルウェアに感染することからです。

情報漏洩

サプライチェーンに関連する企業は、自社以外に取引先の機密情報を保有している状況がほとんどです。先ほど述べたマルウェア感染すると、外に公開すべきではない多くの情報が流出する可能性があります。漏れてしまった情報もダークウェブで取引され悪用された結果、自社だけの問題にとどまらず取引先への説明責任や今後の取引停止、賠償に発展するケースも想定されます。

金銭的損失

金銭的損失になるケースは２つあります。

• 業務停止になり損失が発生するケース
• 攻撃者から身代金を要求されるケース

通常の業務体制へ戻すための復旧費用と攻撃者へ身代金を支払う場合です。

標的となった企業の情報が盗まれた後どうなるかというと、攻撃者による機密情報の暗号化です。もし業務に関わる情報が暗号化されると、業務の停止に追い込まれます。攻撃を受ける前に戻すために業務の復旧作業や被害に遭われた方々向けのコールセンター窓口設置など費用は多岐にわたります。その他、攻撃者は企業に対して「元に戻してほしければ身代金を支払え」と要求を行います。この場合、身代金を支払ったところで元に戻る保証はありません。一刻も早く復旧するために復旧に伴う大きな損失は計り知れません。

サプライチェーン攻撃手法

サプライチェーン攻撃の主流は目的が大手企業につながる情報の窃取であるため、メールサーバへの侵入やマルウェア感染を目的としたメール、フィッシングなどが考えられます。以下のような攻撃手法があります。

• 取引先を踏み台にするケース
• 製品の脆弱性を突くケース
• 委託先より情報が漏洩するケース

取引先を踏み台にするケース

標的となる企業の取引先や関連企業を調べ、セキュリティ対策が手薄な中小企業の脆弱性を突いて踏み台にし、ターゲットへ攻撃をしかけるケースです。

具体的には、まずセキュリティ対策が手薄な中小企業へサイバー攻撃を行い、メールアドレスや氏名などの情報を盗みます。盗んだ情報から取引先を装いターゲット企業へ添付ファイル付きメールを送り、ランサムウェアなどに感染させます。

盗まれた企業は「被害者」であると同時に「加害者」でもあり、場合によっては訴訟問題に発展する恐れがあります。

製品の脆弱性を突くケース

製造する企業へ不正に侵入しIT機器やソフトウェアにマルウェアを仕込み、ユーザーを更新プログラムなどからマルウェア感染させるケースです。

検出が困難で、受け取ってから問題が発覚するまで時間が掛かり気付かないまま感染していることもあります。

委託先より情報が漏洩するケース

こちらは委託元から業務の一部を請け負っている企業へサイバー攻撃が成功し、委託元の情報も漏れてしまうケースです。

サプライチェーンにおいて、機密情報は商流と逆に流れるという特徴があります。具体的にはWEBサイトの運用を委託する場合、委託元の機密情報が委託先へと流れます。つまり、委託元の機密情報を手に入れるために委託先を攻撃に成功した結果、委託元の機密情報を入手することに繋がります。

サプライチェーン攻撃の被害事例

それでは、サプライチェーン攻撃を受けた実際の被害事例をご紹介します。中には見覚えのある方もいるかと思いますが、決して他人事ではなく誰にでもあり得ることです。

国内自動車メーカーにおける生産ラインストップ

2022年2月に、国内自動車メーカーの取引先であるK社がマルウェア感染し、攻撃者から身代金の要求する脅迫文が送りつけられました。事態を把握するため、感染しているであろう業務サーバーを全て停止させた結果、国内自動車メーカーを始めとする取引先の生産停止につながる原因になりました。サプライチェーンに関連するたった1社のシステム障害により、国内の14工場28ラインが止まり、約1万3,000台の生産を見送る事態に発展しています。同月、海外の自動車業界でも同じサイバー攻撃をうけており被害の大きさを知らしめる事態です。

セキュリティ製品が悪用され不正なアップデートが配布

2020年にネットワーク監視製品を提供しているS社の製品が攻撃に悪用されました。攻撃者は正規コードを装った不正なコードを製品へ埋め込み世界中のユーザーへ感染させました。DLしたユーザーは延べ約1万8,000人にのぼり被害を受けた企業は政府機関を含めており、ショッキングなニュースとして取り上げられました。

委託先から大量の顧客情報の流出

B社から委託を受けA社が開発・保守を行っているECサイトの脆弱性を突かれ、顧客情報が流出したケースです。脆弱性を放置した結果、不正アクセスされてしまい顧客のクレジットカード情報が流出しました。A社はB社より個人情報が漏れた対応費用などを含めた損害賠償請求を受けることになりました。

サプライチェーン攻撃の対策方法

サプライチェーン攻撃に対する絶対的な防御策はないといっても過言ではないです。なぜならば、自社のみならず関連企業が狙われるケースやありとあらゆる攻撃手法があるためです。

それでも脅威となりうる要素を少しでも排除できる方法をご紹介します。

• インシデント発生時における適切な対応をとる
• ソフトウェアは常に最新に更新する
• パスワードは使いまわしをしない
• セキュリティ製品の導入
• 社内のセキュリティ意識の向上

インシデント発生時における適切な対応をとる

まず何かしらのインシデントが起こった時に事態を把握し、適切な対応をとることが一番重要です。そのためには、情報システム管理やセキュリティ対策チームの設立とあらゆる事態を想定し、会社としての方針をとることが大事になります。社外対応やデータのバックアップなど、万が一の事態に遭遇した際も適切な対応を取らねば企業の存続に大きく影響されるからです。

ソフトウェアは常に最新に更新する

業務に関わるOSやソフトウェアは、常に最新に更新しましょう。ただし、信用できる更新プログラムを入れることが必要となります。無作為に更新したプログラムが実はマルウェアで感染してしまう事態にならない為にも整合性のあるところから入れることをおすすめします。常に最新版になることで、脆弱性を突かれる可能性が低くなります。

パスワードは使いまわしをしない

パスワードの使いまわしをすることは非常に危険です。何かしら流出し悪用されてしまった場合、不正アクセスされる可能性があります。パスワードに関しては、それぞれ独自のパスワード、定期的な更新を徹底することで被害を未然に防ぐことができます。

セキュリティ製品の導入

セキュリティ対策製品はサイバー攻撃を防ぐ上で大事な要素の１つです。常に稼働することで悪意のあるプログラムを感染させないようにすることが可能です。

社内のセキュリティ意識の向上

サプライチェーン攻撃を防ぐためにも社内のセキュリティ意識の向上は必須と言えます。いくら、最新のセキュリティ製品を導入しても使う人間の問題で攻撃を受けてしまっては元も子もないです。

もし、社内のセキュリティ意識が低いケースでは、以下のようなインシデントが起こる可能性が高まります。

• メールに添付しているファイルを開き、ランサムウェア感染してしまう
• 同じパスワードの組み合わせを使い回し、不正アクセスされてしまう
• 怪しいサイトを開いて社内ネットワークに感染してしまう

ヒューマンエラーを起こさないためにも、一人一人のセキュリティ意識の向上は非常に重要です。

専門の調査解析業者に相談

サプライチェーン攻撃被害を受けた可能性やマルウェアに感染したり情報漏洩の疑いがある場合には「情報漏えいがあったのか」「何が原因でマルウェアに感染したのか」といった事後調査が必要です。

しかし、個人での原因特定には限界があるため、マルウェアの感染経路を適切に調査するには、マルウェア被害の調査業者に相談することをおすすめします。マルウェアの対応実績がある調査業者であれば安全かつ的確な対処が分かり、結果として被害を最小限に抑えることができます。

おすすめする調査解析業者

サイバー攻撃を受けマルウェア感染範囲や状況を調査したい場合にはどのような基準で業者を選べばいいのでしょうか？

正確な調査結果を得るためには、業者が専門知識と調査技術を持っているかどうかを確認しましょう。おすすめの調査業者として、累計相談件数1万4,000件以上で大手企業・警察の捜査協力などの実績を持つ「デジタルデータフォレンジック」を紹介します。

まとめ

サプライチェーン攻撃による脅威は、企業規模問わず非常に危険ですが、一番恐ろしい点は、サイバー攻撃をうけ侵入を許した「被害者」である企業が踏み台となり他企業に対してサイバー攻撃の「加害者」になるところです。

踏み台となった被害者側からすれば通常業務へ復旧するための費用であったり、売上の減少に直結します。しかし、ターゲット企業側の視点でいえば損害を与えた企業となります。どのような被害であれ、十分な対応をしていても損害賠償や今後の取引がなくなるなど関係性を維持することが難しくなる恐れがあります。

万が一のインシデントが発生する前に、セキュリティ対策をすることは企業のリスク回避に大きく貢献します。今後の脅威に備えることは企業成長のためぜひ検討してみてはいかがでしょうか。