サプライチェーン攻撃は、標的となる企業に対して直接攻撃を行わず、セキュリティの脆弱な関連企業や取引先・委託先を狙うサイバー攻撃です。
この記事では、自社が取引先企業などに重大な損失を与える原因とならないためにも、企業の経営者が把握しておくべきサプライチェーン攻撃について、概要や攻撃方法、攻撃への対策などを解説します。
サプライチェーン攻撃とは
サプライチェーンとは、製品の企画から原材料の調達、製造、販売、消費までの一連の流れのことです。メーカー以外にも、製品の原材料を販売する企業や部品を製造する企業など、複数の企業が関連しているケースも少なくありません。
サプライチェーン攻撃は、こうした組織間または企業間のつながりを悪用して、目的の企業に直接攻撃するのではなく、セキュリティが弱い関連企業や取引先を標的に行われる間接攻撃です。業務委託先の企業や周囲の取引先などを攻撃して侵入してから、その企業を介して強固なセキュリティ対策を行っている企業に対して攻撃を仕掛けます。
ターゲットとする企業が使用するソフトウェアや更新プログラム、ハードウェアなどに不正なプログラムを組み込んで、マルウェアなどに感染させる攻撃方法もあります。
サプライチェーン攻撃の攻撃方法
・ハードウェアやソフトウェアを介した攻撃
ハードウェアやソフトウェアを介して実施される攻撃は、ソフトウェアサプライチェーン攻撃と呼ばれます。攻撃者が製造段階や提供段階で不正なコードを入れたソフトウェアを制作・提供し、企業内に入り込んだ不正コードの働きにより攻撃が開始される手法です。企業が使用しているソフトウェアをアップデートした際にマルウェアに感染し、不正にアクセスされるケースなどが考えられます。
自社が対策を行っていても、セキュリティの弱い関連企業のソフトウェアが感染させられ、ほかの企業を介してネットワークに侵入されるケースもみられます。比較的感染に気づきにくい方法のため、充分に対策を行うことが重要です。
・サービス事業者を介した攻撃
攻撃者がプロバイダなどに対して不正アクセスを行ってから、プロバイダがサービスを提供している顧客を狙う手法です。プロバイダを介して、顧客の企業にランサムウェアを拡散させるため、広範囲にわたって攻撃が実行されます。
サプライチェーンには、ターゲット企業の子会社、海外拠点、関連会社などさまざまな企業が該当します。サービス事業者を介した攻撃はサービスサプライチェーン攻撃とも呼ばれ、狙われるのは主に企業が利用しているWebサービスやMSP(Managed Service Provider)などです。
・委託先を介した攻撃
委託先を介した攻撃とは、ターゲット企業の取引先を調査してから、セキュリティが弱い委託先に攻撃を仕掛ける手法です。システム開発や顧客情報の管理などを委託している場合には、業務を委託している企業が狙われ不正アクセスが実行されます。
委託先企業から機密情報を盗み、ターゲット企業から金銭を脅し取るケースも見られます。
サプライチェーン攻撃への対策
・サプライチェーン全体の状況を把握する
サプライチェーン攻撃は自社だけでなく、取引先や委託先など、サプライチェーン全体で取り組む必要があります。そのためには、ビジネスを始める際にセキュリティ対策の内容を明確に定めてから契約を行うことが重要です。対策を共同で行うため、系列企業や委託先企業などが取り入れている対策の状況を把握する必要もあります。
対策状況は、定期的に確認を行います。万が一サプライチェーン攻撃を受けた場合に備えて、攻撃の被害を確認、報告する体制を整えることも重要です。
・情報セキュリティ教育の実施や対応フローの確立をする
社員の情報セキュリティに対する意識改革も対策のひとつです。たとえ情報セキュリティ対策を実施していても、社員のセキュリティ意識が低い場合には確実な対策ができません。
社内の情報セキュリティに対する意識を高めるには、研修や社員教育を行うことが重要です。社員が必要な知識を身につけることで、ヒューマンエラーによるマルウェア感染の防止にもつながります。
サイバー攻撃を受けたケースまで想定し、トラブル発生時の対応フローを設定しておくと、迅速な対応も可能です。
・OSやソフトウェアは最新にしておく
OSやソフトウェアには、「セキュリティホール」と呼ばれる情報セキュリティ上の脆弱性が発生する場合があります。セキュリティホールを狙って攻撃が行われるケースもあるため、OSなどは常に最新の状態にアップデートしておきましょう。
OSやソフトウェアメーカーは、発見したセキュリティホールを修復するため、更新プログラムをユーザーに配布しています。OSなどの脆弱性を修正する更新プログラムは、受け取った際にすぐ実行することが大事です。
・セキュリティソフトを導入する
ウイルス感染を防ぐには、セキュリティソフトの導入が適しています。これは基本的なセキュリティ対策として多くの企業が導入している方法です。
セキュリティソフトは、ウイルス対策やファイアウォールなどの機能で、ウイルス感染や不正侵入、さまざまなサイバー攻撃からネットワークとコンピュータを守ってくれます。導入後にはこまめなアップデートを行い、最新の状態を維持しておきましょう。
・ネットワーク対策を行う
サプライチェーン攻撃では、関連企業などを介して攻撃される恐れがあるため、被害を最小限に抑える目的でネットワーク上の対策も必要です。たとえば、重要な情報に関わるデバイスやネットワークは、他のネットワークとはつなげずに独立させておくことも対策になります。
ネットワークが独立していると、万が一攻撃を受けた際にも、他のネットワークから重要なデータへのアクセスを防ぐことが可能です。また、アクセス制限を設けるなどの対策も、外部からの攻撃を阻止するのに役に立ちます。
・パスワード対策を行う
不正なアクセスを防ぐため、推測や解析されにくいパスワードを設定することも重要です。さまざまなシステムやネットワークで同じパスワードを使い回していると、万が一パスワードが外部へ流出した際に被害が拡大しかねません。
パスワード対策では、長く、複雑なパスワードを設定し、パスワードの使い回しを防止しましょう。さらに、パスワードが流出した場合に備えて、多要素認証と組み合わせる方法でセキュリティを強化することも効果的です。
まとめ
サプライチェーン攻撃は、製品の企画、原材料の調達から消費まで、事業活動の一連の流れにおいて関係する企業を介し、目的の企業に攻撃を仕掛けるサイバー攻撃です。主に企業が使用するソフトウェア、サービス事業者、委託先などを介して行われます。
サプライチェーンのなかでもセキュリティが脆弱な企業を狙って攻撃されるため、全体のセキュリティ対策状況を把握することが重要です。ほかにも、OSを最新にしておく、セキュリティソフトを導入するなどの対策が考えられます。
より万全な対策を求める場合には、WAFに加えて脅威IPや悪性ボットの遮断といった機能を備えるクラウド型WAFサービス「Cloudbric WAF+」の導入をご検討ください。
...