昨今は「サプライチェーン攻撃」による被害が拡大し、大きな問題として取り上げられています。企業はサプライチェーン攻撃の特徴やリスクを把握し、事前に対策を取ることが求められます。本記事ではサプライチェーン攻撃の基本やリスク、具体的な対策について解説します。有効な対策が実行できていない場合には、この機会にサプライチェーン攻撃の基本を確認してみてください。
サプライチェーン攻撃に対応するには、「サプライチェーン攻撃とは何か?」という基本から理解が必要です。以下では、サプライチェーン攻撃の概要を解説します。
サプライチェーン攻撃とは、関連企業や取引先を利用して、大企業に不正アクセスをするサイバー攻撃のことを指します。大企業ほどセキュリティ環境が整っていない中小企業を狙い、そこから大企業の情報を盗み取るのが、サプライチェーン攻撃の主な手法です。
中小企業はセキュリティ環境を整える時間やコストがなかったり、「自分たちは狙われない」という認識があったりと、攻撃しやすい状況にあることが多いです。そのためサプライチェーン攻撃による被害に遭うと、被害の拡大につながる原因になるケースも珍しくありません。
サプライチェーンとは、原材料・部品調達・製造・出荷・販売・消費といった、企業の事業における一連の流れを指す言葉です。この流れには複数の企業が携わり、スムーズな商品開発や製造を実現しています。その仕組みを悪用したサイバー攻撃が、サプライチェーン攻撃に分類されます。
昨今では、Emotetを利用したサプライチェーン攻撃も増加しております。Emotetとはマルウェアの1種で、メールなどを感染経路として企業の内部に侵入し、企業情報の流出などを実行する悪意のあるプログラムです。暗号化ファイルの中に埋め込まれていることが特徴です。
Emotetにはマルウェアのプラットフォームとして動く機能があるため、感染するとサプライチェーン攻撃をはじめとした、多くの脅威に晒される可能性が高まります。そのため企業は普段からEmotetへの感染対策も実施し、リスクを抑える工夫が求められます。
サプライチェーン攻撃の被害に遭うと、企業はさまざまなリスクを抱える結果になります。以下では、サプライチェーン攻撃によって発生し得るリスクについて解説します。
サプライチェーン攻撃は、企業の情報漏えいにつながるリスクがあります。不正アクセスによって機密情報や顧客情報が盗まれ、被害が拡大する可能性が懸念されます。攻撃者によっては盗んだ情報を漏えいしないことを条件に、金銭を要求するケースもあります。経済的に大きな損失を被る可能性もあることから、企業の存続に関わる被害につながることも多いです。
サプライチェーン攻撃に遭うと、発端となった企業は他企業からの信頼を失います。セキュリティ対策の不備などが原因の場合、その責任を問われる可能性もあるでしょう。自社を守ることはもちろん、他企業への影響も考えてサプライチェーン攻撃対策は重要視されています。自社もサプライチェーンを構成する企業であることを認識し、攻撃対象になる可能性を考慮して対策を進める必要があります。
サプライチェーン攻撃の被害は、近年増加しています。そのため企業はサプライチェーン攻撃の基本やリスクをあらためて確認し、必要な対策を考えることが求められています。以下では、サプライチェーン攻撃の被害が増加している現状について解説します。
「情報処理推進機構(IPA)」が発表した「情報セキュリティ10大脅威2023」でも、サプライチェーン攻撃は3位に入っています。それだけサプライチェーン攻撃の被害や危険性が、広まっていると解釈できるでしょう。
サプライチェーン等のサイバー攻撃が注目されるようになっていますが、いまだにリスクへの対策を十分に行えている企業は多くありません。特に中小企業は大手企業と比較して、サプライチェーン攻撃等へのリスクマネジメント意識が低いところも多く、対策が遅れている現状です。一方で、リスクマネジメントへのコストをきらい、企業の行動が遅くなっているという状況もあります。
サプライチェーン攻撃は、さまざまな被害事例をつくっています。例えば2017年4月には、男子プロスポーツ法人の委託先企業が再委託した会社において、脆弱性をついたサイバー攻撃が実施されました。結果的にクレジットカード情報などが盗まれ、多くの被害に発展しています。
そのほか、2022年2月には大手自動車企業の取引先が被害を受け、盗んだデータを公開しないことを条件に身代金を要求する事態に発展しました。結果的に社内サーバーを止め、生産停止に追い込まれる事態にまで至っています。
サプライチェーン攻撃には、さまざまな手口があります。それぞれの特徴を把握し、対策を取ることも企業の担う責任です。以下では、サプライチェーン攻撃の主な手口を紹介します。
アイランドホッピング攻撃とは、メインターゲットの関連組織や、取引先の企業を対象に攻撃する手法のことを指します。セキュリティ対策が甘い企業を狙い、その情報を利用して本命に攻撃することが主な目的です。金融機関へのサイバー攻撃において、アイランドホッピング攻撃が使用されることが多い傾向にあります。
サービスサプライチェーン攻撃とは、サービスを提供する企業を攻撃して、そこからターゲットに不正アクセスなどを行う手法のことです。ITシステムの保守や運用代行をする「MSP(マネージドサービスプロバイダー)」に攻撃し、契約している企業に侵入するケースがあります。サーバーの乗っ取りやデータへの不正アクセスなど、大きな被害が予想されます。
ソフトウェアサプライチェーン攻撃とは、ソフトウェアの製造工程で、悪意のあるコードやマルウェアを忍ばせる手法のことを指します。ソフトウェアを提供する前に攻撃が終了しているため、そのソフトを使う企業全てに攻撃できる点が特徴です。アプリケーションやオープンソースコードなどが、主な攻撃対象になります。
サービスサプライチェーン攻撃を回避するには、事前の対策が重要となります。以下では、サービスサプライチェーン攻撃への対策となる方法について解説します。
外部からの攻撃に対処するには、まず使用するソフトやサービスを最新の状態に保つことが重要です。更新データが配布されたら速やかに適用し、攻撃の対象となる脆弱性を残さないことが基本となるでしょう。自社で使用しているOSやソフトウェアは、最新の状態を維持することを意識してセキュリティの向上に努めましょう。
従業員にサプライチェーン攻撃のリスクを伝え、個々にリスクヘッジができるように備えるのも対策の一環です。サプライチェーン攻撃について理解している従業員が少ないと、フィッシング詐欺などに遭う可能性も高まります。従業員全体にリスクを説明するミーティングを設けたり、専門家を呼んで対策方法を伝授してもらったりと、さまざまな方法が考えられます。
サプライチェーン攻撃に対応するには、専用のセキュリティ環境を構築することもポイントです。メールを経由した攻撃を想定して、メールの安全性を高めるセキュリティ環境を整備するなど、ピンポイントでの対応が重要となります。
一般的なウイルス対策ソフトだけでは、特定の企業をターゲットとした攻撃を回避できない可能性があります。そこで専門のセキュリティソフトを導入し、安全性を高める施策が重要視されています。
サプライチェーン攻撃は、企業の生産から販売におけるサプライチェーンを活用した攻撃手段として、近年問題視されています。サプライチェーンに関わる全ての企業が対策する必要があるため、この機会にサプライチェーン攻撃の基本やリスクを把握し、自社のセキュリティ状況を見直してみてください。
メール経由のサプライチェーン攻撃への対策を実施する際には、クオリティアが提供する、クラウド型標的型メール攻撃対策「Active! zone SS」の導入がおすすめです。メールの安全性を高め、感染リスクを下げられるサービスの導入は、サプライチェーン攻撃やそのほかのマルウェアへの対策になります。この機会にクオリティアが提供するサービスについて、ぜひお気軽にお問い合わせください。
資料請求はこちらお問い合わせはこちらActive! zone SSについてはこちら
この記事が気に入ったら
いいね!しよう
メールソリューションに関する
ご質問・資料請求などございましたら
お気軽にお問い合わせください。
お電話からのお問い合わせ
03-5623-2530フォームからのお問い合わせ
資料請求ダウンロードお見積り依頼・ご質問・ご相談はこちらから新規のお客様・パートナー様既存のお客様・パートナー様
