サプライチェーン攻撃をわかりやすく解説!セキュリティ対策方法も紹介
「サプライチェーン攻撃に関するセキュリティ対策をしていない」という企業もあるかもしれません。そのような企業は、自社のセキュリティが強固だったとしても、取引先を経由して攻撃を受ける可能性があります。
とはいえ、サプライチェーン攻撃がどのような攻撃か詳しくわからない方も多いかもしれません。
そこでこの記事では、以下の内容を解説します。
・サプライチェーン攻撃とは?【セキュリティが手薄な企業を経由した攻撃】
・サプライチェーン攻撃の被害事例
・サプライチェーン攻撃のセキュリティ対策方法
この記事を読めば、サプライチェーン攻撃についての理解が深まり、セキュリティ対策の方法がわかります。
ぜひ最後まで読んでみてください。
サプライチェーン攻撃とは?【セキュリティが手薄な企業を経由した攻撃】
サプライチェーン攻撃とは、サプライチェーンを悪用した攻撃のことです。
そもそもサプライチェーンとは、「原料調達→製造→配送→販売」など製品を消費者まで届ける一連のつながりのことをいいます。
このサプライチェーンを構成する取引先を足掛かりに、標的企業を攻撃するのです。
一般的に、中小企業はコストや人手が不足しがちなので、どうしてもセキュリティが手薄になります。
そこを悪意ある攻撃者は、見逃しません。
まずは、セキュリティの弱い企業に侵入します。
そこから、なりすましメールなどを送り、ターゲット企業へ攻撃を試みるのです。
ターゲットとなった企業は、普段の業務上のやり取りの中で侵入されるので、攻撃されても気づきにくいといった特徴があります。
攻撃の足掛かりとなった企業は、標的になった企業にまで被害が及んだ場合、望んでいなくても自らが加害者になります。
そのようなケースでは、多額の賠償金の支払いを命じられたり、取引き停止になったりすることもある恐ろしい攻撃です。
サプライチェーン攻撃の手法
サプライチェーンの手法を3つ紹介します。
どれもターゲット企業を直接狙わないところは、共通しています。
攻撃のキッカケがどこなのかによって名称が変わるので覚えておきましょう。
ソフトウェアサプライチェーン攻撃
攻撃者は、ソフトウェアの開発・製造工程に侵入します。
そして、侵入されたソフトウェアを利用した企業が被害にあうという攻撃です。
システム管理ツールやアプリケーションなどが、主な感染経路になります。
ソフトウェアの利用者が多ければ、被害が大規模になるでしょう。
サービスサプライチェーン攻撃
サービスを提供する企業へ侵入し、そのサービスを使っている企業へ攻撃します。
例えば、ITシステムの運用・管理する企業を経由して侵入を試みるケースです。
サーバーなどが乗っ取られ情報漏えい、ネットワーク停止といった影響が出る恐れがあります。
ビジネスサプライチェーン攻撃
ターゲット企業の関連会社や子会社を足掛かりに攻撃する手法です。
一番オーソドックスな手法になります。
前述したように、サプライチェーンの脆弱性(弱点)を利用した攻撃です。
サプライチェーン攻撃の被害事例
実際にあったサプライチェーン攻撃の事例を紹介します。
トヨタ自動車の部品をつくる企業が起点となった
2022年2月に、トヨタ自動車の取引先である小島プレス工業が足掛かりとなって、サプライチェーン全体に被害が及びました。
リモート接続機器の脆弱性を突かれて、ネットワークに侵入されたのが原因です。
データが暗号化されシステムが停止し、部品が出荷できなくなってしまいました。
結果的に14工場28ラインが止まり、約1万3000台の生産を見送る事態に発展した大きな事件です。
医療サービスが2ヶ月停止となった
2022年10月に大阪急性期・総合医療センターが被害を受けました。
給食事業者(社会医療法人 ベルキッチン)を経由したサプライチェーン攻撃です。
こちらの事例も原因は、リモート接続機器の脆弱性を突かれ侵入されたのが原因でした。
電子カルテのデータが暗号化されるなど、病院のシステム全体に影響が出たようです。
システムの復旧には、約2ヶ月もかかり、被害額は数億円以上にものぼりました。
三菱電機が情報漏洩した可能性を発表
2020年1月に三菱電機は不正アクセスを受け、個人情報や機密情報が外部に流失した可能性があることを発表しました。
関係会社(所在は中国)を経由したサプライチェーン攻撃によると推測されています。
攻撃者はまず、関係会社に侵入。
その後、本社の中間管理職層を中心に、機密情報にアクセスできるパソコンへ不正アクセスしたようです。
流出した情報の中には、防衛省や内閣府など複数の政府機関、電力会社・通信会社・JRなど主要な民間企業が含まれている可能性があります。
サプライチェーン攻撃のセキュリティ対策5選
サプライチェーン攻撃を防ぐためのセキュリティ対策方法を紹介します。
自社システムの脆弱性診断とセキュリティ強化
まずは、自社システムの状況を把握し、セキュリティを強化しましょう。
自社が被害にあわないようにすることはもちろん、加害者にならないようにするためです。
脆弱性診断を実施することでシステムの脆弱性を把握し、効率よくセキュリティ対策を実施しましょう。
社内教育でセキュリティ意識を高める
社内教育を実施し従業員のセキュリティ意識を高めましょう。
システムの強化をしても利用する従業員の意識が低ければ被害を受ける可能性が高いからです。
例えば、
・パスワードの管理方法
・フィッシング詐欺の防止策
・USBなど記憶媒体の取り扱い など
サプライチェーン攻撃の足掛かりにならないよう、社内教育に取り組みましょう。
社内インシデントの早期発見
自社システムやネットワークの監視を強化しましょう。
インシデント(事件)が発生してしまった場合に、被害を最小限にできるからです。
サーバ等における各種ログを確認するなど、異常なアクセスや通信を早急に検知して迅速に対応しましょう。
インシデント発生時の対処方法
実際にインシデントが発生してしまったケースを想定して、対処方法も確認しておきましょう。
データ消失に備えたバックアップの実施、復旧手順の確認をして少しでも早く元の体制に戻すことで被害を抑えられます。
また、社内や社外への連絡体制表を作成すれば、万が一のときにも素早く周知できるでしょう。
サプライチェーン企業とのセキュリティ契約とモニタリング
サプライチェーン攻撃に備えて、セキュリティ対策の内容を明確にした上で契約を交わしましょう。
自社がターゲット企業として被害にあわないように、サプライチェーン全体のセキュリティレベルを統一できるからです。
ビジネスパートナーやシステム管理の委託先などとの契約は、よく条件を確認した上で行いましょう。
契約した企業からセキュリティ状況を、定期的に報告してもらい把握しておきましょう。できることなら、監査の実施も有効かと思います。
万が一のためにサイバー保険に加入している企業であれば、さらに安心できますね。
まとめ
サプライチェーン攻撃は、サプライチェーンに組み込まれている企業を経由し、ターゲット企業へ被害を与える攻撃です。
大企業や中小企業といった枠組みを超え、サプライチェーン全体でセキュリティ対策する必要があります。
サプライチェーンを統制する立場の企業は、自社のセキュリティを強化することは当たり前です。
それと同時に、取引先にも十分なセキュリティを要求しなければなりません。
また、サプライチェーンを構成する企業は、サプライチェーン全体を背負っているという自覚を持つことが必要でしょう。
一度サイバー攻撃を受けると自社だけでなく、取引先や関係会社まで被害が及ぶ可能性があるからです。
そのことを肝に銘じて、自社のセキュリティ強化に努めましょう。
NEW
-
フィッシング詐欺にあったらどうする?すぐに取るべき対処法6選を解説!
2025/02/10 -
フィッシング詐欺に引っかかった時にクレジットカード情報が漏洩!対策5選を紹介。
2025/02/10 -
フィッシング詐欺を未然に防ぐ対策6選!被害に遭った際の対処法も解説。
2025/01/30
