サプライチェーンの弱点を悪用した攻撃「サプライチェーン攻撃」とは？

サイバー攻撃の対象は有名企業・大企業だけ、と思っていませんか？

中小企業も被害にあう恐れのあるサイバー攻撃の一つとして、「サプライチェーン攻撃」があります。

「サプライチェーン攻撃」は以前から確認されている攻撃手法ではあるものの、情報セキュリティ10大脅威にもランクインするなど注目されているセキュリティ脅威の1つです。

この記事では、サプライチェーン攻撃とはどういったサイバー攻撃なのか、その脅威と必要な対策についてご紹介します。

目次

1. サプライチェーン攻撃とは
2. サプライチェーン攻撃の恐ろしさ
3. サプライチェーン攻撃のリスクを減らす対策
4. 踏み台にされない為の対策
5. まとめ

サプライチェーン攻撃とは、原料調達から消費者に届くまでの一連の流れ「サプライチェーン」を狙った攻撃手法のことを指し、2つの手法があります。

2015年12月に経済産業省が最初のガイドラインを公開した「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき3原則の1つとして「自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」と記載されていますが、まだその脅威の被害は後を絶ちません。

今回は「1.ターゲット企業に関連する組織を狙ったサプライチェーン攻撃」について、その脅威と対策についてご紹介します。

サプライチェーン攻撃の恐ろしい所は、最初に被害を被った組織が攻撃者に加担してしまう恐れがあることです。

セキュリティ対策が甘い組織が攻撃者に侵入されてしまうと、取引先から預かっていた機密情報が盗まれたり、関連会社へウイルスが仕込まれたメールを送付してしまう恐れもあります。

万が一情報漏えいが発生してしまった場合、取引先から損害賠償請求をされたり、業務の一時停止せざるを得なかったりなど社会的信用の低下からビジネスに甚大な影響を及ぼしてしまいます。

独立行政法人情報処理推進機構（IPA）は委託元組織、委託先の組織ごとの対策を紹介しています。

委託元組織の対策・対応

1. 業務委託や情報管理に置ける規則の徹底
   製造においては原材料や部品の調達経路、物流経路なども考慮する。
2. 信頼できる委託先組織の選定
   委託先組織の信頼性評価や委託先への品質基準を導入する。
3. 委託先からの納品物の検証
4. 契約内容の確認
   委託元組織と委託先組織の情報セキュリティ上の責任範囲を明確化し合意を得る。また賠償に関する取り決めを契約に含める。
5. 委託先組織の管理
   委託元組織が責任をもって委託先組織のセキュリティ対策状況の実態を定期的に確認することが重要である。
6. 公的機関が公開しているガイドラインの活用

委託先組織の対策・対応

1. セキュリティの認証取得（ISMS、Pマーク、SOC2など）
2. 公的機関が公開しているガイドラインの活用

攻撃者に踏み台にされないためにはどうしたらよいでしょうか。

踏み台攻撃の対象として狙われやすいのは、脆弱性のあるパソコンやサーバーが挙げられます。まずは脆弱性対策を実施してみてはいかがでしょうか。

エンドポイントセキュリティ対策製品の中でも脆弱性対策の機能がある製品もありますので、そのいった製品に切り替えるのも有効な対策といえます。

今回は、サプライチェーン攻撃についてご紹介しました。

ビジネス活動は一社だけで完結しません。例えばコールセンター業務を外部組織へ委託している場合、個人情報や技術情報を外部組織と共有しているのではないでしょうか。

業務の外部委託を検討する際は、委託先組織がセキュリティの認証取得を取得しているかどうかなど確認し、契約中は定期的にセキュリティ対策の実施状況を確認してみることをおすすめします。

脆弱性対策機能のあるエンドポイントセキュリティ対策の導入をご検討の場合、お気軽にＪＢサービスへご相談ください。

参考・引用

• 「情報セキュリティ10大脅威2021」／情報処理推進機構（IPA）