サプライチェーン攻撃とは、ターゲットとなる大企業の関連会社などを経由して、大企業へ不正に侵入するサイバー攻撃です。
本記事では、サプライチェーン攻撃の特徴とその手法、対応策までをわかりやすく解説しています。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、サプライチェーン上にある中小規模の企業を経由し、本命の標的である大企業に侵入を仕掛けるサイバー攻撃です。気づかぬうちに自社が踏み台となり取引先に甚大な損害を与えてしまうという特徴があります。
※「サプライチェーン」は商品や製品が、消費者へ販売されるまでの一連のプロセスのことを指します。原料調達から、製造、加工、在庫管理、物流、販売などの経済活動をまとめた用語です。主に子会社・取引先・業務提携先・委託先がそのプロセス上の流れにあります。
たとえば、自動車製造に使われるタイヤには、大まかに以下のサプライチェーンが組まれています。
1. ゴム原料生産会社
2. タイヤ生産会社
3. 自動車メーカー
実際には調達や物流などもあるので製造に限らずですが、製造過程だけにおいても自動車製造の部品は2~3万点もの大量の部品が使われるため、相当な企業がサプライチェーンに含まれていることがわかるでしょう。
セキュリティ対策が手薄な中小起業が狙われる
サプライチェーン攻撃では、セキュリティの整っている大企業よりもセキュリティ対策が手薄な中小の関連企業が狙われます。サプライチェーン攻撃は、中小の関連企業を踏み台(入口)にして大企業のネットワークに侵入するため、被害を受けた中小の関連企業は被害者でありながら加害者にもなってしまうのです。
最悪の場合、サイバー攻撃を受けたことによりサプライチェーンが分断されるだけではなく、踏み台(被害の入り口)になった企業は取引先企業より信頼の損失、業務の停止、賠償請求をされてしまう可能性があります。
セキュリティ対策が脆弱な企業があえて狙われ、踏み台にされてしまう結果を考えると「うちの会社は小さいから狙われるわけがない」「被害が出ても大したことはない」という考え自体が当てはまりません。早急にセキュリティ意識を改めてるべきでしょう。
新型コロナウイルスの影響で活発化
近年では新型コロナウイルスの感染拡大により、資材不足が深刻化しています。そのため企業は従来のサプライチェーンを保てず、セキュリティレベルの低い会社と取引するケースが増えています。まさにサプライチェーン攻撃に狙われやすい状況といえるでしょう。サプライチェーン攻撃でよく使われる手口・手法
サプライチェーン攻撃には「一般的なサプライチェーン攻撃」と「デジタルサプライチェーン攻撃」の2種類があります。一般的なサプライチェーン攻撃
すでに紹介したように、中小企業はセキュリティ対策が進んでいないケースが多く見られます。一般的なサプライチェーン攻撃は、最初にサプライチェーンの末端であるサプライヤー(中小企業)に対してウイルスやマルウェアを感染させ、メールアドレスや業務アプリケーションの認証情報(ID・パスワード)を窃取します。
次に、盗み出した情報を使って、メインターゲットの大企業に対して標的型攻撃メールを送ります。
さらにメールに添付したファイルでランサムウェアに感染させて企業の重要データを暗号化し、データを戻すことと引き換えに金銭を要求します。
▼標的型攻撃に関しては、以下の記事もご覧ください。
標的型攻撃とは?企業の情報資産を狙う驚きの手口と事例・対策も紹介
また、金銭目的ではなく大企業の業務停止を目的として、サプライチェーン企業のシステムを寸断するケースも存在します。
デジタルサプライチェーン攻撃
デジタルサプライチェーン攻撃は、オープンソースで公開されているモジュールのぜい弱性(セキュリティホール)を狙い中小企業に潜入し、取引先の大会社に潜入する攻撃です。通常ソフトウェアはさまざまなモジュール(部品)を組み合わせて開発されています。
モジュールはすべて自社で開発するわけではなく、第三者が開発したオープンソースモジュールを利用するケースがあるため、その配布されたオープンソースモジュールのぜい弱性を突いてマルウェアに感染させます。
マルウェアに感染したモジュールを組み込んでしまうと、ソフトウェアも感染してしまい、ソフトウェアが企業内でインストールされれば企業のパソコンも感染するという仕組みです。
ほかには、はじめからマルウェアを紛れ込ませる目的で作られたフリーソフトもあります。便利なフリーソフトを見つけたと思ってうかつにインストールすると、マルウェアが紛れ込んでしまうのです。無料公開されているAPI(アプリケーション・プログラミング・インターフェース)も注意が必要です。
フリーソフトや無料APIは便利なものも多いのですが、そのソフトやベンダー(製作者)が信用できるかどうか必ず確認するようにしましょう。
中小企業でも安心できない!サプライチェーン攻撃の事例紹介
サプライチェーン攻撃はセキュリティ対策の甘い中小企業を狙ってきます。これまでの事例を知って対策の参考にしてみてください。事例紹介1.大手自動車工場の生産ラインがストップ
1つ目は一般的なサプライチェーン攻撃の事例です。日本国内大手自動車メーカーにて、取引先の部品メーカーがランサムウェアに感染したことで、調査のために社内サーバーは全面停止。ホームページも停止されました。
この事件で、14工場28ラインが稼働停止に追い込まれ、1日だけで約1万3,000台の生産に影響しました。
▼ランサムウェアに関しては、以下の記事もご覧ください。
ランサムウェアとは?感染経路や被害事例から対策を解説
事例紹介2.無料ソフトからのマルウェア感染で200万人以上の被害
2つ目はデジタルサプライチェーン攻撃の事例です。この事件では、全世界で20億ダウンロードを超える人気フリーソフトが標的になり、アップデートプログラムにバックドアが仕込まれました。
このバックドアを通じて、ハッカーは200万を超えるユーザーにマルウェアを感染させました。
▼マルウェアに関しては、以下の記事もご覧ください。
マルウェアとは?マルウェアの種類や対策・被害事例を解説
防ぐのが難しいサプライチェーン攻撃の対策方法
ここからは、サプライチェーン攻撃の対策方法について解説します。具体的なポイントは下記の10点です。• 常に最新のセキュリティアップデートを適用し、ぜい弱性対策を徹底する。とくにVPN機器やリモート接続機器など、外部へ公開されている機器は十分に取り扱いに注意する。
• メールを受信した際には、とくに添付ファイル付きのメールに警戒して送信元を確認する。
• 不審なメールを検出するアプリケーションを導入する。
• Officeファイルの「マクロの自動実行」をオフにする、PowerShellを無効化するなど、個人レベルでの対策を強化する。
• 多要素認証などを導入し、社内で利用されている業務アプリケーションやファイルアクセスへの認証を強化する。
• あらかじめ重要な情報は暗号化する。暗号化しておけば情報資産が窃取されても、ハッカーは復号できない。
• 日頃からデータのバックアップと復旧を業務として訓練する。バックアップデータはネットワークから切り離したところに保管すること。
• 仮にサプライチェーン攻撃によってシステム停止に追い込まれたとしても、業務を継続できる代替手段を計画する。
• インシデント対応計画を策定する。とくに、速やかに経営陣に連絡ができるような体制を整える。
• 中小企業向けの支援パッケージ「サイバーセキュリティお助け隊サービス制度」を活用する。
「サイバーセキュリティお助け隊サービス制度」はIT導入補助金の対象となっています。ぜひ活用してください。
いざというときのために!サプライチェーン攻撃を受けたら
サプライチェーン攻撃を受けると、動揺して適切な判断ができなくなる可能性があります。事前にサプライチェーン攻撃の対処法を準備して、迅速に動けるようにしておきましょう。対処法は下記のとおりです。
• 独立行政法人情報処理推進機構(IPA)、JPCERTコーディネーションセンター(JPCERT/CC)やセキュリティベンダーへの支援を依頼し、原因の解明と業務復旧を目指す。
• ランサムウェアに身代金を要求されても支払いには応じない。金銭を支払っても、窃取された情報が復号される保証はなく、さらに脅迫されるリスクがある。
※支払金に応じてしまうと米国財務省外国資産管理室(OFAC)の取り決めにより制裁対象になる可能性がある。
• 取引先、関連企業に対して注意喚起を行う。とくに、ウイルスへの感染を狙う攻撃メールである「Emotet」は、関係者宛になりすましメールが送信され被害が拡大する可能性がある
• 個人情報の漏えいが疑われる場合は警察、個人情報保護委員会、所管省庁に報告する
まとめ
サプライチェーン攻撃は、自社だけでなく関連企業や取引先を巻き込む可能性があり、自社の規模以上の被害が発生することを意味します。多大な損失を被る前に、セキュリティ対策の見直しをおすすめします。とはいえ、すべてのサイバー攻撃からのリスクをゼロにすることはできません。予想される被害額が大きい場合はサイバー保険も検討してみましょう。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
