セキュリティ情報BLOG

  • INFORMATION
  • 2023.09.05

サプライチェーン攻撃とは?攻撃手法とセキュリティ対策について解説

サプライチェーン攻撃という攻撃を聞いたことがあるでしょうか。
サプライチェーン攻撃とは、企業が取引するサプライヤーや下請け業者を通じて、標的企業の情報システムに不正アクセスを行う攻撃手法です。今回はサプライチェーン攻撃の攻撃手法とセキュリティ対策について解説していきます。

サプライチェーン攻撃とは

サプライチェーン攻撃とは企業が取引するサプライヤーや下請け業者を通じて、標的企業の情報システムに不正アクセスを行う攻撃手法のことです。
この攻撃手法は標的企業と直接関係のない第三者のシステムに侵入することで、標的企業の情報システムを攻撃し、機密情報を盗み出します。
標的企業の取引先や関連会社が、サイバー攻撃によって侵入された場合、攻撃者はそのシステムを利用して、標的企業の情報システムにアクセスしたり、サプライヤーが標的企業のシステムにアクセスするために使用するリモートアクセスツールに侵入することで、標的企業の情報システムを攻撃することも可能です。
サプライチェーン攻撃は標的企業とつながりのある、相対的にセキュリティ体制が脆弱な企業の情報システムを狙い、そこを踏み台にして目的を達成する構造になっています。

サプライチェーン攻撃の先にある被害とは

サプライチェーン攻撃による被害としては、以下のようなものが挙げられます。
- 重要な機密情報の盗難や漏えい
- システムを停止させたり、操作不能の状態にする
- サービス提供の中断
- イメージダウンや信頼喪失
- 法的な問題や罰金などの経済的損失
被害は企業によって異なりますが、復旧に時間がかかり被害額も高額になることが多いため、セキュリティ対策を行うことが重要です。

サプライチェーン攻撃の攻撃手法

サプライチェーン攻撃は、近年ますます増加しているサイバー攻撃の一種です。
その攻撃手法は多岐にわたりますが、以下に3つ挙げます。

攻撃手法①サプライチェーンに対する攻撃

攻撃者は、標的企業が取引するサプライヤーや下請け業者のシステムに対して攻撃し、標的企業のシステムにアクセスします。サプライチェーンには、多数の企業や個人が関わっており、セキュリティ対策が十分でない場合があるため、攻撃者はサプライチェーン内で最も脆弱な環境に侵入し、そこを踏み台にして攻撃を行います。

攻撃手法②中間者攻撃

サプライチェーン内の通信を傍受して情報を盗む方法です。また攻撃者は通信を改ざんして、標的企業のシステムに悪意のあるプログラムを送り込むなどします。例えば、サプライチェーン内のメールサーバーを攻撃し、標的企業に送信されるメールの内容を改ざんするなどの攻撃を仕掛けてきます。

攻撃手法③マルウェア攻撃

攻撃者は、サプライチェーン内のシステムにマルウェアを送り込むことで、標的企業のシステムにアクセスします。このマルウェアは標的企業のシステム内に侵入し、機密情報を盗み出したり、システムを停止させたりします。
またサプライチェーン内の多数のシステムにマルウェアを送り込み、広範囲に被害を与えます。標的企業のセキュリティ対策を回避するために常に進化していたりするため、対策が追いつかないケースがあります。

サプライチェーン攻撃を防ぐためには?

サプライチェーン攻撃を防ぐためには、以下のような対策が考えられます。
- サプライヤーや下請け業者のセキュリティ体制の確認と強化
- サプライヤーとの契約にセキュリティ要件を盛り込む
- サプライチェーン内の通信やシステムの監視と検知
- セキュリティ意識の向上と従業員の教育
- システムの脆弱性の定期的なチェックと修正
これらの対策を総合的に行うことで、サプライチェーン攻撃を防衛できます。
以下でいくつかの対策について詳細を見ていきましょう。

対策①サプライヤーや下請け業者のセキュリティ体制の確認と強化

サプライヤーや下請け業者のセキュリティ体制を確認するだけでなく、より強力なセキュリティ体制を確立することが求められます。このためには、以下のアクションを検討してみましょう。
- サプライヤーや下請け業者に対して、情報セキュリティに関する施策を策定する。
- サプライヤーのセキュリティ体制について、厳密な監査を行う。
- セキュリティ問題に対する迅速な対応策を策定し、事前に想定されるリスクに備える。
- セキュリティ対策のトレーニングをサプライヤーや下請け業者に提供することで、セキュリティ意識の向上を図る。

対策②サプライヤーとの契約にセキュリティ要件を盛り込む

サプライヤーとの契約にセキュリティ要件を盛り込むことで、セキュリティ体制を間接的に強化し、サプライチェーン攻撃に対する防御力を上げる方法です。例えば、情報セキュリティに関する規定を明記したり、情報漏えい時の責任を明確化したりするなどの施策が考えられます。

対策③サプライチェーン内の通信やシステムの監視と検知

サプライチェーン内の通信やシステムを監視し、異常を検知するといった直接的な防御策も対策の一つです。不審な通信を検知した場合にはその通信の内容を調査し、特定の国や地域からのアクセスが多い場合には、その地域におけるセキュリティ対策を強化するなど、必要に応じて対策を講じることが挙げられます。

被害事例① ダークウェブ上での情報公開

2020年に国内の企業や行政機関が大規模なサイバー攻撃をうけ、ログインパスワードなどの機密情報が多数流出しました。VPNの脆弱性を狙った攻撃でしたが、結果的に全世界で5万台以上の機器から重要データが搾取されました。
流出した情報はダークウェブ上で公開され、不特定多数の個人や組織に売買されています。

まとめ

ここまでサプライチェーン攻撃の攻撃手法とセキュリティ対策について解説してきました。
サプライチェーン攻撃は増えているサイバー攻撃の一種であり、非常に注意しなければならないものの一つです。もし自社のセキュリティ対策に不安がある場合は、ぜひセキュアエッジテクノロジーにご相談ください。

お問合せ
資料請求