近年、企業活動に欠かせないサプライチェーンを悪用したサイバー攻撃があとを絶ちません。この種類の攻撃は自社がいかに優れたセキュリティ対策を実施していても、情報を盗まれたり公開されるなどの被害に遭う恐れがあります。本記事ではそうしたサプライチェーン攻撃の実態と対策について、セキュリティソフトメーカ：トレンドマイクロ株式会社の知見を交えてお伝えします。

ビジネス環境を悪用するサプライチェーン攻撃とは

原料の調達から製造、流通に至るまでの一連のつながりを示すサプライチェーン。そこに関わる企業の中から、セキュリティ対策が不十分な企業を狙うなどして仕掛けられるのが「サプライチェーン攻撃」です。たとえセキュリティが堅固な大企業でも、属しているサプライチェーンを足掛かりにされてしまうと攻撃に晒されてしまうリスクがあります。

こうしたサプライチェーン攻撃の脅威は近年特に高まっており、IPA 情報処理推進機構が毎年発表している「情報セキュリティ10大脅威」の2022年版では、「サプライチェーンの弱点を悪用した攻撃」が組織の脅威で第3位にランクインしました。

攻撃を受けたことで個人情報などを流出させた場合、社会的信用の失墜から事業に大きな打撃を受ける恐れがあることからも企業は警戒を強めなければなりません。

サプライチェーン攻撃の手口

サプライチェーン攻撃の目的は、その多くが大企業が持つ重要な情報を奪い取ることにあります。

そのための手口としては、まず目標とする大企業のWebサイトなどにある取引実績情報を手がかりとして、攻撃するためのリストを作成します。そしてそのリストをもとにセキュリティが相対的に弱い中小企業を対象に攻撃を仕掛けます。攻撃にはマルウェア（コンピュータウイルス）が多く用いられ、メールサーバなどに侵入しターゲットである大企業との接点を探し出し、大企業側のネットワークへの進入路を発見して目標の情報を盗み出すのです。

ターゲットとなる企業の選定には、一般公開されている情報が用いられるため、どの企業も狙われる恐れがあります。

ほかにも、サプライチェーンにおいて流通しているソフトウェアやプログラムにマルウェアを仕込んで複数の企業に感染を広げ、情報を搾取・改ざんする手口もあります。こうしたサプライチェーン攻撃の最新の被害状況や手口、さらに有効な対策について、セキュリティソフトメーカ：トレンドマイクロ社 高橋氏に伺いました。

サプライチェーン攻撃の現状と対策

①2022年現在のサプライチェーン攻撃の被害数・規模、またトレンドマイクロ社に寄せられる相談内容を教えてください

サプライチェーン攻撃は数社程度の比較的小さなグループを対象にしたものや、数十～数百の企業が参加するサプライチェーンを対象にしたものなどさまざまです。また被害数は攻撃を受けた企業が公表しないケースもあるため、正しい発生件数については不明ですが、大規模な攻撃が度々発生しており、サプライチェーン攻撃の被害は確かに増加傾向にあると言えます。トレンドマイクロ社では、製品やサービスを導入いただいているお客さまから寄せられるご相談をもとに調査していますが、必ずしも最初からサプライチェーン攻撃と分かるものばかりではありません。例えば当初はランサムウェア*などの被害を受けたケースとして調査していくと、実はサプライチェーン攻撃であったと判明することがあります。むしろお客さまが最初からサプライチェーン攻撃と把握して相談にいらっしゃるケースはほとんどなく、トレンドマイクロ社などによる調査段階で判明することが多いのが実態です。

*ランサムウェア：企業が持つ情報を暗号化し、使用不能にしたうえで金銭を要求するサイバー攻撃に使用されるマルウェア

②最近のサプライチェーン攻撃の特徴にはどのようなものがあるでしょうか

最近のサプライチェーン攻撃は以下の３種類に大きく分けられます。

1.ソフトウェアサプライチェーン攻撃

ソフトウェアの製造工程を侵害し、ソフトウェアそのものやアップデートプログラムに不正なコードを仕込んでおく攻撃

2.サービスサプライチェーン攻撃

MSP*などサービス事業者を侵害し、サービスを通じて利用者に被害を及ぼす攻撃

3.ビジネスサプライチェーン攻撃

標的組織の関連組織や子会社、取引先などを侵害し、業務上の繋がりを利用して標的組織への攻撃の踏み台とする攻撃

また、最近の傾向として、直接的なサプライチェーン攻撃ではないがサプライチェーンに位置する企業への攻撃から二次的な被害が発生するケースもあります。例えば完成品PCを販売する企業のサプライチェーンに位置する部品メーカがサイバー攻撃を受け、情報資産の窃取あるいは改ざんにより工場の稼働が停止したとします。この場合、同じサプライチェーングループに位置する完成品PC企業は自社の情報資産は侵害されていないものの、部品メーカからの供給ストップなどにより事業に問題が発生します。「サプライチェーン・セキュリティリスク」の中には、直接的な侵害を受けるサプライチェーン攻撃だけでなく、このような「サプライチェーン被害」も存在することに注意を払う必要があります。

*MSP:「Managed Service Provider」の略称。IT関連サービス全般の整備や保守を行う事業者を指す

③サプライチェーン攻撃につながるリスクの特定方法を教えてください

サプライチェーンには一般的に製品やサービスの設計から廃棄までのプロセスと、それらに関わるメーカやシステム構築業者などのステークホルダーが存在します。そしてその各段階において、さまざまなリスクが存在しています。例として、開発・製造段階でシステム構築業者が攻撃を受け、開発環境にマルウェアを仕込まれる、流通段階でメーカが作成したソフトウェアの更新パッチに不正なコードを挿入されるなどがあります。

一般的に、リスクは脅威×脆弱性×資産という3つの要素で分解して評価することができます。サプライチェーン・セキュリティリスクを考える際にも、これを適用できます。

まずは「資産」です。リスクを正しく評価するために、「自組織が守るべき情報資産の洗い出し」が重要であり、出発点になります。どういったデータを自社で持っているのか、どういった端末を保持しているのかなど、全てをリストアップすることが正確なリスクの把握に欠かせません。

次に「脅威」です。脅威は企業やサプライチェーンに被害を及ぼす内的・外的な要因です。具体的には、サイバー攻撃者、内部犯行者、マルウェア、保守用の持ち込み機器などが該当します。

そして、三つ目が「脆弱性」です。脆弱性はこのような脅威から資産を守る上で必要なセキュリティレベルと現状の差を示しています。例えば、設計段階でマルウェアを検知する仕組みが存在しない、運用保守の段階でセキュリティの観点からルールが整備されていない、などが該当します。

自社、またはサプライチェーンのセキュリティを考える際はこの脅威・脆弱性・資産の３要素のレベルを評価しそれらを掛け合わせることで、自組織にとって深刻なリスクを特定することができます。

④サプライチェーン攻撃を防ぐにはどうしたらよいでしょうか

まず、サプライチェーン攻撃に対する絶対のセキュリティ体制はほぼ不可能です。さまざまな形の脅威が存在し、それらを全て防御することは現実的ではないためです。

有効な対策の構築には、まずサプライチェーンを下図のようにプロセスとエコシステムの二つに分けて考えることを推奨します。

この内、「サプライチェーン・プロセス」は主として自社に対する視点で供給ライフサイクルをとらえた上で、自社の内部のどこに弱点がありどのような強化が必要なのかを正しく把握するという考え方です。

「サプライチェーン・エコシステム」では自社を含む経済圏をネットワークとして捉えて強化し、セキュリティの穴を塞いでいきます。ここではサプライチェーンの経済圏で、自社を含む参加企業が活動を維持するためにセキュリティを構築することが目的となります。そのためゴールはサプライチェーンの安全性確保であり、加えて自社が安全である事のサプライチェーン内における信頼性獲得や、サプライチェーンの外側にも自社がどんなセキュリティ対策をしていて、安全であるかを発信することも重要な取り組みです。

こうした安全性に関する発信においては自社に求められる説明範囲、これはセキュリティ・IT部門だけでなく全社的な視点で考える必要があります。

最後に、サプライチェーンでのセキュリティは全体のレベルを合わせることが重要であることをお伝えします。下の図はサプライチェーンセキュリティを考えるときによく使われる「セキュリティの樽」です。

樽の水がサプライチェーン全体のセキュリティレベルです。そして、板の一枚一枚がサプライチェーンを構成する各組織であり、その板の長さがサプライチェーンに参加している各企業のセキュリティレベルとお考えください。サプライチェーンに参加している企業の一社でもセキュリティのレベルが低い（板が短い）と、そこからサプライチェーン全体のセキュリティレベル（樽の水）が減ってしまいます。

そのため、サプライチェーン全体でセキュリティレベルをあわせていく必要があり、またセキュリティを担保していることを各社がしっかりと外部に説明できる責任を持つことが求められます。

こうしたサプライチェーン全体のセキュリティ向上の音頭をとるのは親会社などが全体を見渡して行うことが一般的ですが、子会社であっても自社の取り組みで有効なものがあればそれを発信するなど、できることは多くあります。ぜひサプライチェーン内の交流を増やし、セキュリティの高度化やレベルの均等化に取り組んでいきましょう。

まとめ

本記事でご紹介した通り、サプライチェーンは企業の活動に欠くことができない重要な繋がりですが、同時にサイバー攻撃者がつけいる隙にもなり得ます。重要な情報資産を持つ企業はもちろん、自社にはそのような情報は持っていないと考えている企業も攻撃の踏み台にされてしまうなど、全ての企業がターゲットになる可能性を認識したうえで、自社とサプライチェーン全体のセキュリティレベルの向上・一致を図ることが大切です。

また、ソフトバンクではこうしたサプライチェーン攻撃に対してほかにも有益な情報やソリューションをご用意しています。この機会にぜひ、下記のリンクからご確認ください。

資料ダウンロード

同じカテゴリーの記事をみる