ブログ

サプライチェーン攻撃とは?国内外で発生した5つの被害事例と有効な対策を解説!

2024/08/04 ブログ

 

サプライチェーン攻撃とは何か気になるけれど、被害事例や有効な対策は?

 

サプライチェーン攻撃には、どのような被害事例や有効な対策があるのでしょうか。

 

今回は、サプライチェーン攻撃の被害事例を解説します。また、サプライチェーン攻撃を防ぐ有効な対策を自社と他社に分けてまとめてみました。

 

これを読めば、サプライチェーン攻撃とは何か理解できて、被害事例を知ることができ、被害を防ぐ有効な対策を検討することができます。

 

先に結論を言うと、サプライチェーン攻撃は近年、国内外の大手企業で発生しており、自社だけでなく、関連企業と連携して対策を行うことで防ぐことが可能ですよ。

 

サプライチェーンとは?

サプライチェーンとは、商品や製品・サービスが消費者や企業に届くまでの一連の流れのことを言います。

 

具体的に言うと、製造・生産、調達、在庫、配送・物流、販売、サービス、消費のような役割や作業によって、モノが作られて消費者のもとに運ばれるまでの大きなサイクルです。

 

このように、様々な企業が支え合って商品や製品・サービスが完成しており、消費者や企業は安心して利用できています。

 

すなわち、商品や製品・サービスが消費者や企業に届くまでには、数多くの生産者、商流、サービスが関与するということです。

 

サプライチェーン攻撃とは?

サプライチェーン攻撃とは、ターゲット企業に直接攻撃するのではなく、子会社や関連会社などにサイバー攻撃を行った上で踏み台にし、本来のターゲット企業に攻撃を行うサイバー攻撃です。

 

また、子会社や関連会社にサイバー攻撃を仕掛けて機密情報を盗取したり、グループ企業のビジネスに影響を与えたりする手法もあります。

 

さらに、サプライチェーンを狙ったサイバー攻撃には様々な種類がありますが、最も多いのがランサムウェアです。

 

サプライチェーン攻撃は、複数の企業が関わるため、攻撃を受けてから感染が発覚するまでのタイムラグが大きくなり、その間に感染が拡大するリスクもあります。

 

国内外で発生したサプライチェーン攻撃の被害事例

サプライチェーン攻撃は、国内のみならず国外でも発生しています。被害事例を知っておくことも対策の一つになるため、どのような種類や手法で被害が発生したのかをきちんと理解しておきましょう。

 

では、国内外で発生したサプライチェーン攻撃の被害事例について、詳しく解説します。

 

2022年3月トヨタ自動車子会社

 

2022年3月、トヨタ自動車の部品を製造しているサプライチェーン企業がサイバー攻撃を受け、部品供給を管理するシステムが影響を受けました。

 

原因は、サプライチェーン企業の本社ではなく、子会社のリモート接続機器の脆弱性を狙われ、ネットワークに侵入されたとされています。

 

被害の発生に伴い、トヨタ自動車は国内全工場の稼働を停止すると発表し、サプライチェーン攻撃による点検や対策を行いました。

 

2022年10月大阪急性期・総合医療センター

 

2022年10月、大阪急性期・総合医療センターは、医療センターに給食を提供していた事業者を踏み台にしたランサムウェアが発生しました。

 

電子カルテシステム関連のサーバが利用できなくなったり、PCなど1300台のファイルが暗号化されたりしました。

 

また、サイバー攻撃の被害を受け、緊急時以外の診療を停止するなど、患者へ影響を及ぼす被害まで発展しました。

 

2023年11月LINEヤフー

 

2023年11月、LINEヤフーは、サイバー攻撃により約45万件の個人情報が漏洩したことを発表しました。

 

委託先企業に所属する従業員が利用するPCがマルウェアに感染し、NABER Cloudのシステムを介してLINEヤフーのシステムに感染が拡大したと見られています。

 

最終的には、LINEヤフーのサーバへ侵入され、ユーザや従業員、取引先に関する重要なデータが盗まれました

 

2020年12月アメリカのSolar Winds社

 

2020年12月、IT管理ソフトウェアやリモート監視ツールの開発を行っているアメリカのSolar Winds社は、システムの不正侵入に用いられるバックドアが含まれていると発表しました。

 

米国連邦政府機関を含む8か国40以上の組織、計1万8,000以上の顧客が影響を受けたとされています。

 

2022年2月アメリカのブリヂストン子会社

 

2022年2月、アメリカのブリヂストン子会社は、第三者による不正アクセスを確認し、現地連邦当局に報告、その後「身代金要求型ウイルス」に感染したと見られています。

 

このサイバー攻撃の二次被害を防ぐために工場の稼働を一時停止し、生産や販売を管理するシステムをネットワークから切り離すなどの措置を実施しました。

 

サプライチェーン攻撃を防ぐ有効な対策【自社対策】

サプライチェーン攻撃を防ぐには、まず自社のセキュリティレベルを向上させる必要があります。セキュリティ対策を怠ると関係のある企業に迷惑をかける可能性があるため、6つの有効な対策を実施しましょう。

 

では、サプライチェーン攻撃を防ぐ有効な対策について、具体的に見ていきましょう。

 

企業間の連携を強める

 

サプライチェーン攻撃を防ぐ有効な対策1つ目は、企業間の連携を強めることです。

 

サプライチェーン攻撃は、自社でコントロールできない他社のセキュリティ対策が必要です。

 

サプライチェーン攻撃に対して、リスクに対する役割・責任範囲を明確にし、サプライチェーン全体で適切な方策を取る必要があります。

 

取引先を含めた連携は、企業をまたいだセキュリティ対策のアセスメントやセキュリティ認証の取得、企業間のセキュリティ対策の要求と順守などが考えられます。

 

OSやソフトウェアを最新の状態に保つ

 

サプライチェーン攻撃を防ぐ有効な対策2つ目は、OSやソフトウェアを最新の状態に保つことです。

 

OSやソフトウェアは日々新たな脆弱性が発見されるため、アップデートして最新の状態に保つことが重要です。

 

新しいバージョンが提供されているにもかかわらず放置していると、脆弱性を利用されて攻撃を防げなくなります

 

そのため、新しいバージョンが提供されていないか定期的に確認し、提供されていた場合は速やかにアップデートを行いましょう。

 

セキュリティ対策ソフトを導入する

 

サプライチェーン攻撃を防ぐ有効な対策3つ目は、セキュリティ対策ソフトを導入することです。

 

不正アクセスやマルウェアを検知・検出し、その後の対応を適切に行うことが可能です。また、OSやソフトウェアのように定期的なアップデートを実施すれば、新たに発見される脅威に対しても効果的に対処できます。

 

自社にとって最適かつ最新の脅威にも対処できる、優れたセキュリティ対策ソフトの導入を検討しましょう

 

推測されにくいIDやパスワードを設定する

 

サプライチェーン攻撃を防ぐ有効な対策4つ目は、推測されにくいIDやパスワードを設定することです。

 

IDやパスワードを単純な文字列に設定してしまうと簡単に解析され、不正アクセスされるリスクが上がります。

 

設定する際は、以下3つのポイントを意識しましょう。

・最低でも12文字以上の文字列にする

・アルファベット、大文字、小文字、数字を組み合わせる

・企業名や設立年など推測されやすい文字列は使用しない

上記のポイントを意識して、より強固なIDやパスワードに設定し、社内セキュリティを強化しましょう。

 

定期的な社内セキュリティ教育を実施する

 

サプライチェーン攻撃を防ぐ有効な対策5つ目は、定期的な社内セキュリティ教育を実施することです。

 

組織全体のセキュリティ意識を向上させたり、社員のヒューマンエラーを防ぐことに繋がります。

 

社員が日常的な業務の中で起こりうるリスクを理解し、適切に対応できるようにするために重要と言えるでしょう。

 

定期的な社内セキュリティ教育を実施することで、サイバー攻撃の恐ろしさや情報漏洩の危険性など社員の危機管理能力を高めることも期待できます。

 

ゼロトラストセキュリティ

 

サプライチェーン攻撃を防ぐ有効な対策6つ目は、ゼロトラストセキュリティを取り入れることです。

 

ゼロトラストセキュリティとは、「決して信用せず、常に検証せよ」という考えに基づいたセキュリティ対策を言います

 

具体的には、ID認証を中心としたセキュリティ対策で、ゼロトラストセキュリティを実現させるための対策には、主に「クラウドセキュリティ」「ネットワークセキュリティ」「エンドポイントセキュリティ」「セキュリティ監視」の4つがあります。

 

ゼロトラストセキュリティでは、サイバー攻撃への対策強化や侵入後の対策も網羅されているため、サプライチェーンを構成する関連企業にも有効な対策と言えます。

 

サプライチェーン全体で実施すべき対策【他社対策】

サプライチェーン攻撃を防ぐには、自社のセキュリティ対策だけでは不十分です。セキュリティレベルの低い企業と関係がある場合、取引先から被害が広がる可能性があるため、サプライチェーン全体で連携して対策に取り組みましょう。

 

では、サプライチェーン全体で実施すべき対策について、具体的に見ていきましょう。

 

取引先とセキュリティ契約書を交わす

 

サプライチェーン全体で実施すべき対策1つ目は、取引先とセキュリティ契約書を交わすことです。

 

なぜなら、サプライチェーン攻撃を受けた際の責任の所在を明確にするために必要だからです。

 

契約書を交わすことで万が一、サプライチェーン攻撃を受けた場合に自社の被害を最小限に抑える効果が期待できます

 

また、契約書にはより具体的なセキュリティ対策の案やセキュリティ被害が発生した際の対応などについて記載しておくと良いでしょう。

 

取引先のセキュリティ状況を確認する

 

サプライチェーン全体で実施すべき対策2つ目は、取引先のセキュリティ状況を確認することです。

 

なぜなら、グループ全体のセキュリティレベルを向上させることが可能だからです。

 

セキュリティポリシーの内容や実施しているセキュリティ対策、リスク評価などをお互いに共有し、見直すべき点がないかを確認しましょう。

 

また、セキュリティ状況の報告を求め、足りない対策があればサポートすることで、より効率的なセキュリティ対策を講じることが可能です。

 

まとめ

今回は、サプライチェーン攻撃の被害事例や被害を防ぐ有効な対策について紹介しました。

 

サプライチェーン攻撃は、ターゲット企業に関連のある子会社や企業にサイバー攻撃を仕掛け、踏み台にした上でターゲット企業に攻撃を行うサイバー攻撃です。

 

関連企業に感染を拡大させないためにも、サプライチェーン攻撃を受けた場合の被害を想定して、ぜひ本記事を参考に有効な対策を検討してみて下さい。

 

 

様々な種類のサイバー攻撃から情報資産を守るため、インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。

詳細はこちらからご確認ください