サプライチェーン攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. サプライチェーン攻撃
             

サプライチェーン攻撃

サプライチェーン攻撃(Supply Chain Attack)とは、ターゲットとなる企業や組織が使用するソフトウェア、ハードウェア、またはサービスの供給元に潜入し、不正な操作やマルウェア感染を仕掛けてターゲットを攻撃する手法です。サプライチェーン攻撃では、ターゲット企業そのものではなく、製品やサービスの供給元(サプライヤーや協力会社)に侵入し、そのネットワークやデバイスを通じて標的への攻撃を図ることで、より広範囲に被害を拡大することができます。

近年では、企業のサプライチェーンが複雑化し、製品やサービスの多くが外部のサプライヤーやクラウドサービスに依存しているため、サプライチェーン攻撃は情報セキュリティにおける重大な脅威として注目されています。大規模なソフトウェア供給元やITサービスプロバイダーに侵入されると、サプライチェーン全体に不正プログラムが拡散される可能性が高まり、多くの企業が被害を受けることになります。

サプライチェーン攻撃の手口

サプライチェーン攻撃の手口には、主に以下のような方法が含まれます。

1. ソフトウェアアップデートへのマルウェア埋め込み

攻撃者は、サプライヤーやサービスプロバイダーのシステムに侵入し、正規のソフトウェアやそのアップデートにマルウェアを埋め込みます。これにより、アップデートをインストールした利用者のシステムに不正プログラムが拡散し、攻撃者はターゲット企業のデータやネットワークにアクセスできるようになります。代表的な例として、2020年のSolarWinds事件があり、SolarWinds社のソフトウェアにマルウェアが混入され、多くの企業や政府機関が影響を受けました。

2. 開発環境の汚染

攻撃者は、サプライヤーのソフトウェア開発環境に侵入し、開発中のプログラムやライブラリに不正コードを追加します。この手口は、サプライヤーのセキュリティが脆弱な場合に有効で、製品が出荷される時点で既に不正コードが埋め込まれているため、ターゲット企業の検出が困難です。

3. サードパーティサービスやクラウド依存を狙う

クラウドサービスやSaaS(Software as a Service)を提供するプロバイダーが狙われるケースもあります。多くの企業が外部のクラウドサービスに依存しているため、クラウドプロバイダーが侵害されると、関連する企業すべてがリスクにさらされる可能性があります。

4. ハードウェアへの物理的改ざん

IT機器やネットワーク機器に不正なチップやバックドアを埋め込み、製品出荷時点で不正アクセスを可能にする手法です。これにより、標的のデバイスやネットワークに直接アクセスできるようになり、データの盗難や不正利用が行われます。

サプライチェーン攻撃の被害例

サプライチェーン攻撃の代表的な被害事例には、次のようなものがあります。

SolarWinds事件(2020年)

米国のIT管理ソフトウェア企業SolarWindsの製品アップデートにマルウェアが埋め込まれ、アップデートをインストールした米国政府機関や大手企業のシステムに不正アクセスされる事態が発生しました。この攻撃では、SolarWindsの供給先に影響が広がり、多くの組織が機密データの流出にさらされました。

CCleaner事件(2017年)

有名なPCクリーニングツールであるCCleanerのインストーラーがサプライチェーン攻撃のターゲットとなり、ダウンロードサイトに不正なコードが含まれたインストーラーが提供されました。ユーザーが不正インストーラーをダウンロードすると、PCにマルウェアがインストールされ、情報流出や外部からのアクセスが可能になるリスクが生じました。

NotPetya攻撃(2017年)

ウクライナで広く使われている会計ソフト「M.E.Doc」にマルウェアが埋め込まれ、このソフトを使用していた企業のシステムが感染し、データを暗号化するランサムウェア攻撃が世界中に拡散しました。感染した企業には、業務停止やデータ復旧のための多額のコストが発生しました。

サプライチェーン攻撃への対策

サプライチェーン攻撃への対策としては、次のような方法が推奨されています。

1. サプライヤーのセキュリティ評価

サプライヤーや外部プロバイダーを選定する際には、事前にそのセキュリティ体制を確認し、評価を行います。契約時にはセキュリティ基準を明示し、定期的な監査やテストを実施することで、サプライヤーのセキュリティレベルを確認します。

2. ゼロトラストのアプローチ

ゼロトラストモデルは、「全てのアクセスを常に疑う」という考え方に基づき、ネットワーク内外の全てのアクセスを検証するアプローチです。これにより、信頼されたサプライヤーからのアクセスでも定期的に認証を求め、不正なアクセスが難しくなります。

3. ソフトウェアアップデートの検証

ソフトウェアやファームウェアのアップデートを行う際には、内容を検証し、不正コードや改ざんの有無を確認します。特に、サプライヤーから提供されるアップデートには慎重を期し、信頼できるセキュリティソフトウェアでスキャンを行うと効果的です。

4. エンドポイントセキュリティの強化

サプライチェーン攻撃によって配布されたマルウェアは、エンドポイント(PCやサーバー)を介して拡散されることが多いため、エンドポイントセキュリティの強化が重要です。ウイルス対策ソフトやファイアウォールを最新の状態に保ち、脅威を未然に防ぎます。

5. インシデント対応計画の策定

サプライチェーン攻撃が発生した際に迅速に対応するため、インシデント対応計画を策定し、関係者が適切に対応できるよう訓練を行います。また、サプライヤーとも協力し、緊急時の連携体制を整えておくことが推奨されます。

まとめ

サプライチェーン攻撃は、ターゲット企業そのものではなく、その周辺にあるサプライヤーやITプロバイダーを狙う高度な手法であり、攻撃者はサプライチェーンの隙を突いて企業の情報システムに不正アクセスを図ります。攻撃を受けると、企業全体に影響が及ぶ可能性があるため、サプライヤーの選定や監査、ゼロトラストモデルの導入、インシデント対応計画の策定といった包括的なセキュリティ対策が必要です。

サプライチェーン攻撃への理解と対策は、企業の安全な運営を確保するためにますます重要となっており、サプライチェーン全体での協力が求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。