ブログ

サプライチェーン攻撃とは?攻撃の手口や効果的な7つの対策を解説!

2024/12/04 ブログ

 

サプライチェーン攻撃の対策が気になるけれど、どのような対策があるの?

 

サプライチェーン攻撃の対策には、効果的な対策があるのでしょうか。

 

今回は、サプライチェーン攻撃の効果的な7つの対策を解説します。また、サプライチェーン攻撃の手口もまとめてみました。

 

これを読めば、サプライチェーン攻撃に対する対策が必要だと思えて、実施するきっかけになり、より効果的な対策を立てることができます。

 

先に結論を言うと、サプライチェーン攻撃の被害を受けると、自社だけでなく関連会社にも大きな影響を与えるリスクがあるため、企業間の連携を強めることが大切ですよ。

 

サプライチェーン攻撃とは?

サプライチェーン攻撃とは、セキュリティ対策が手薄な関連企業や取引先企業を踏み台にし、ターゲットとする大手企業へ不正アクセスを試みるサイバー攻撃です。

 

一般的に、製品の原材料や部品の調達から、商品の製造・出荷・販売・消費までの一連の流れを「サプライチェーン」と言います。

 

サプライチェーンのプロセスには、1つの企業だけでなく複数の企業が関わっており、その仕組みを悪用したサイバー攻撃がサプライチェーン攻撃なのです。

 

サプライチェーン攻撃に遭うと関連企業にも大きな損失を与える恐れがあるため、大手企業と取引のある企業ではお互いが理解を深め、適切な対策を実施しなければなりません。

 

サプライチェーン攻撃の3つの手口

サプライチェーン攻撃を細分化すると、以下の3種類に分けられます。

 

・ソフトウェアサプライチェーン攻撃

・サービスサプライチェーン攻撃

・ビジネスサプライチェーン攻撃

 

サプライチェーン攻撃の手口には上記の3種類があり、ターゲット企業のシステムへの侵入方法がそれぞれ異なります。攻撃のリスクを低減させるために、どのような手口で侵入されるのかをきちんと理解しましょう。

 

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃は、ソフトウェア開発のプロセスを侵害することで、プログラムにマルウェアなどの悪意あるコードを仕込み、ターゲット企業を侵害する攻撃手法です。

 

取引先が気付かず納品し、大手企業側が製品を受け取ってしまうと、ソフトウェアに仕込まれたマルウェアが社内PC全体に広がるリスクがあります。

 

主な攻撃経路としては、オープンソースコードやアプリケーション、管理ツールなどが挙げられます。

 

ライブラリの安全性を確認せず開発に使用すると、ソフトウェアだけでなく関連企業全体に影響を与えるリスクがあるため、導入しても問題ないかをきちんと確認することが大切でしょう。

 

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃は、MSP(マネージドサービスプロバイダ)事業者などが攻撃され、顧客システムの運用・保守における正当なアクセス権限が悪用される攻撃手法です。

 

事業者は企業の機密情報を保管したり、ネットワーク管理を代行したりしているため、事業者を通じてサービスを利用する企業のシステムにウイルス感染が広がるリスクがあります。

 

また、サービス事業者を介して企業に不正アクセスし、情報を盗み取るケースも少なくありません。

 

サービスを通じて侵入されればサーバなどが乗っ取られ、データにアクセスされることによる情報漏洩やネットワーク停止などの大きな影響が出る可能性があります。

 

ビジネスサプライチェーン攻撃

ビジネスサプライチェーン攻撃は、ターゲット企業と繋がりのある企業のシステムに侵入し、業務上のやり取りを通じてターゲット企業を攻撃する手法です。

 

セキュリティ対策が手薄な企業を踏み台にしてターゲット企業に不正アクセスし、大手企業のデータを盗んだり、サーバを乗っ取ったりするケースも見られます。

 

主な目的はメールアドレスを盗み取り、ランサムウェアを仕込んだメールを送信して金銭を要求することであるため、ウイルス対策ソフトやセキュリティツールを導入することで被害を抑えることが期待できます。

 

また、常習的にやり取りをしている企業を経由した攻撃であるため、気付くまでに時間がかかり被害が拡大しやすい点が特徴です。

 

サプライチェーン攻撃による被害リスク

サプライチェーン攻撃に巻き込まれると、自社だけでなく関連企業にも深刻な被害をもたらす可能性があります。

 

なぜなら、サプライチェーン攻撃には、企業のセキュリティシステムを巧みに突破し、広範囲に被害を発生させるリスクが存在するからです。

 

サプライチェーン攻撃による主な被害リスクには、以下の6つが考えられます。

 

・個人情報や機密情報の窃取

・不正アクセスによるデータの改ざんや破壊

・ランサムウェアによる身代金の要求

・マルウェア感染によるデバイスの乗っ取り

・サービス妨害によるシステム障害や業務停止

・信頼性の損失によるブランド価値の低下

 

サプライチェーン攻撃は、芋づる式に被害が広がるため、サプライチェーン全体に与える影響は必然的に大きくなります。

 

最悪の場合、関連企業や顧客に対する被害額が発生し、数億円に膨らんだり、サプライチェーン全体が倒産の危機に追い込まれたりするリスクも発生しかねません。

 

これらのリスクを踏まえ、サプライチェーン企業は、企業の規模に関わらずセキュリティ強化に注力する必要があるのです。

 

サプライチェーン攻撃の被害事例

サプライチェーン攻撃の被害は国内外で多く確認されており、中には大規模な損害を受けたケースも見られます。国内の大手企業がサプライチェーン攻撃の被害を受けた事例を紹介しますので、参考にして有効な対策を講じましょう。

 

では、サプライチェーン攻撃の被害事例について詳しく解説します。

 

大手電気メーカーが被害を受けた事例

2019年、国内の大手総合電気メーカーが大規模なサプライチェーン攻撃の被害を受けました。

 

攻撃者は、約8000台のPCに不正アクセスし、それらを踏み台にして中国に拠点を置く関連会社のシステムに侵入しました。

 

これにより、約120台のPCと約40台のサーバに不正アクセスを実施したと報告されています。

 

その結果、防衛省や内閣府といった政府機関や電力会社、JRなど民間企業の重要なデータの漏洩が疑われる被害へと発展したそうです。

 

大手自動車メーカーが被害を受けた事例

2022年、国内の大手自動車メーカーがサプライチェーン攻撃を受け、マルウェア感染の被害に遭いました。

 

感染経路は、セキュリティ水準が低いサプライヤーから侵入されたと発表しています。

 

被害規模は、工場14か所の28ラインにも及び、1万3000台の生産が見送りとなり、生産工場を一時的に停止する事態となりました。

 

この被害は、被害規模の大きさと有名な大手企業がサプライチェーン攻撃の被害に遭ったことで、大きな話題となりました。

 

総合病院が被害を受けた事例

2022年、医療センターに給食を提供していた事業者を踏み台にし、国内の総合病院がサプライチェーン攻撃を受けました。

 

攻撃者は同病院に侵入し、ランサムウェア攻撃を実施しました。これにより、医療センターの約2300台の機器のうち、バックアップを含む基幹サーバ、電子カルテシステム関連のサーバ、PC1300台においてファイルが暗号化される被害が発生しました。

 

事業者がVPN機器のアップデートを行っておらず、脆弱性が放置されていたことが原因と考えられます。

 

サプライチェーン攻撃を防ぐ効果的な7つの対策

サプライチェーン攻撃を防ぐ効果的な対策は、主に以下の7つです。

 

・企業間の連携を強化する

・OSやソフトウェアを常に最新の状態に保つ

・推測されにくいIDやパスワードを設定する

・ウイルス対策ソフトを導入する

・データの共有設定を見直す

・従業員に定期的なセキュリティ教育を実施する

・セキュリティ対策のための人材と予算を確保する

 

サプライチェーン攻撃を防ぐには、自社のセキュリティレベルを向上させるとともに、サプライチェーン全体でセキュリティ対策を強化する必要があります。では、それぞれの対策について、具体的に見ていきましょう。

 

企業間の連携を強化する

サプライチェーン攻撃を防ぐ効果的な対策1つ目は、企業間の連携を強化することです。

 

なぜなら、各企業は自社のセキュリティだけでなく、取引先企業との情報共有を通じて、脆弱性を未然に取り除くことが求められるからです。

 

例えば、取引先企業が実施しているセキュリティ対策に見直すべき点がないか確認したり、サプライチェーン攻撃を受けた際の責任の所在を明らかにするためのセキュリティ契約書を交わしたりすることが挙げられます。

 

企業間のコミュニケーションを積極的に図り、サプライチェーン攻撃のリスクを低減させましょう。

 

OSやソフトウェアを常に最新の状態に保つ

サプライチェーン攻撃を防ぐ効果的な対策2つ目は、OSやソフトウェアを常に最新の状態に保つことです。

 

なぜなら、新しいバージョンが提供されているのにも関わらず放置していると、脆弱性を突いたサプライチェーン攻撃を防げなくなるからです。

 

アップデートの適用は脆弱性を修正し、サイバー攻撃のリスクを低減させるため、自動アップデートの設定や定期的に修正パッチを確認することが推奨されます。

 

そのため、新しいバージョンが提供されていないか定期的に確認し、提供されていた場合は速やかにアップデートを行いましょう。

 

推測されにくいIDやパスワードを設定する

サプライチェーン攻撃を防ぐ効果的な対策3つ目は、推測されにくいIDやパスワードを設定することです。

 

なぜなら、安易な文字列だと簡単に解析されてしまい、不正アクセスされるリスクが高まるからです。

 

そのため、IDやパスワードの設定の際は、「最低10桁以上の文字列」「大文字・小文字・数字・特殊文字を組み合わせる」「企業名などの推測されやすい文字は使用しない」「複数のサービスで使い回ししない」などのポイントを意識しましょう。

 

また、IDやパスワードは複雑に設定するだけでなく、こまめに変更することも有効な対策です。

 

ウイルス対策ソフトを導入する

サプライチェーン攻撃を防ぐ効果的な対策4つ目は、ウイルス対策ソフトを導入することです。

 

なぜなら、不正アクセスを検知したり、侵入したウイルスを検出することが可能だからです。

 

例えば、最新のマルウェアやランサムウェア、スパイウェアなどから、身を守りながらプライバシーを密接かつ個人的に保護できる「McAfee(マカフィーリブセーフ)」がおすすめです。

 

また、継続的なアップデートを行うことで、新たに発見される脅威にも効果的に対応できるため、ウイルス対策ソフトの導入は検討すべき重要な対策と言えるでしょう。

 

データの共有設定を見直す

サプライチェーン攻撃を防ぐ効果的な対策5つ目は、データの共有設定を見直すことです。

 

なぜなら、適切なアクセス権限の設定を行い、データにアクセスできるユーザーの範囲を管理することが重要だからです。

 

また、システム上でアクセス履歴を閲覧できる状態にして、情報漏洩が発生した際に、迅速に原因を特定できると理想的と言えます。

 

近年のビジネスシーンでは、クラウドサービスを用いたデータの共有が幅広く活用されているため、今一度アクセス権限などのデータの共有設定を見直してみましょう。

 

従業員に定期的なセキュリティ教育を実施する

サプライチェーン攻撃を防ぐ効果的な対策6つ目は、従業員に定期的なセキュリティ教育を実施することです。

 

なぜなら、従業員一人一人のセキュリティ意識を高めることで、企業全体のセキュリティレベルを向上させることが期待できるからです。

 

例えば、セキュリティポリシーを策定し従業員に共有したり、実際に起こったセキュリティ被害の事例を共有し危機意識を高めたりすることが挙げられます。

 

これらは従業員が日常的な業務の中で遭遇する可能性があるリスクを理解し、適切に対応できるようにするために重要と言えるでしょう。

 

セキュリティ対策のための人材と予算を確保する

サプライチェーン攻撃を防ぐ効果的な対策7つ目は、セキュリティ対策のための人材と予算を確保することです。

 

なぜなら、サプライチェーン攻撃を受けると被害が広範囲に広がるため、対策を行っていないと必要な人材や予算を大きく上回る損失が出るリスクが考えられるからです。

 

そのため、対策に必要なサービスを導入するための予算を確保し、継続して対策を行うための従業員を配置することが重要です。

 

サービスやツールを導入して安全性の高い環境を構築するとともに、日頃からインシデントの発生に備えることが大切でしょう。

 

まとめ

今回は、サプライチェーン攻撃の効果的な7つの対策やサプライチェーン攻撃の手口を解説しました。

サプライチェーン攻撃は、自社と関わりのある関連会社や取引先企業に大きな損失を与える可能性があります。そのため、自社のセキュリティレベルを高めることはもちろん、お互いが効果的なセキュリティ対策に取り組み、企業間の連携を強化することに注力していただきたいです。

 

サプライチェーン攻撃などのサイバー攻撃から不正アクセスや情報漏洩を防ぐため、インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。

詳細はこちらからご確認ください