自社のセキュリティ強化だけではもう十分ではない！サプライチェーン攻撃とは

JNSA（特定非営利法人日本セキュリティネットワーク協会）の調査によれば、情報セキュリティの市場規模は拡大傾向にあり、2018年度の売上高実績推定値は1兆455億円にも上ります。それだけ、企業がセキュリティにかける予算が増加しているともいえ、各企業のセキュリティに対する意識も向上していると考えられます。

ただ、攻撃者の手口も高度化・巧妙化していることは、以前の記事でもお伝えした通りです。今回は、狙った企業そのものではなく、周辺企業を足がかりに攻撃する手法「サプライチェーン攻撃」について解説します。

【関連記事】

高度化・巧妙化し続けるサイバー攻撃。その目的は？対策は？

多くのガイドラインで「サプライチェーン攻撃」へのセキュリティを注意喚起

冒頭でも少しふれましたが、「サプライチェーン攻撃」とは、どんなものなのでしょうか？

サプライチェーン攻撃とは？

製造業において原材料の調達から始まり、生産管理、物流、販売までの一連の流れと、これに関わる企業などをサプライチェーンとよびますが、このサプライチェーンを悪用してサイバー攻撃を行うことを「サプライチェーン攻撃」といいます。

サプライチェーン攻撃には2パターンあり、一つは、IT機器やソフトウェアの供給に乗じて攻撃するもの、もう一つは、ターゲットそのものではなく関連企業を攻撃して踏み台を作る攻撃方法です。本記事では、特に近年、被害が目立ち、多くのガイドライン等で注意喚起がなされている後者について取り上げます。さらに、類似の攻撃手法として、サプライチェーンだけではなく子会社などの系列企業が踏み台にされるケースも対象とします。

経済産業省が策定し、2017年11月に公開された「サイバーセキュリティ経営ガイドラインVer2.0」では、「サプライチェーン/系列会社」のセキュリティ対策の推進について記載しています。

また、IPA（情報処理推進機構）が策定する「情報セキュリティ10大脅威 2019版（組織編）」では、「サプライチェーンの弱点を悪用した攻撃の高まり」が初登場にして第4位にランクインしています。

さらに、IPAが2017年1月に、委託先を持つ国内企業の従業員に実施した「サプライチェーン」のセキュリティリスクに関するアンケート結果では、約6割の企業が直接の取り引きがある委託先のみにセキュリティ対策を講じるにとどまっていることがわかっています。

【事例】サプライチェーンからのサイバー攻撃

近年、被害に遭った国内外のサプライチェーン攻撃の事例をご紹介します。

イランの攻撃グループ「Chafer」が通信会社や航空会社を攻撃

イランのサイバー攻撃グループ「Chafer」は、個人情報の窃取を目的として中東を中心に2015年頃から活動しています。以前はイラン国内の個人や中東地域の航空関連会社、通信関連会社、IT企業などを中心に攻撃してきましたが、対象地域をアフリカまで拡大しつつあります

攻撃の入口としてバックドア「POWBAT」の亜種や「SEAWEED」「CACHEMONEY」を用いるとされています。

2017年には、通信会社に対してITサービスを提供するベンダーが攻撃されました。これは、サプライチェーンの上流への攻撃を入口とし、エンドユーザーの情報を得るという最終目的を果たすためだったと分析されています。

「Orangeworm」がサプライチェーン経由で医療機関を攻撃

サイバー攻撃グループ「Orangeworm」は、医療機関などのヘルスケア業界を狙い、医療従事者や医薬品業界、医療向けのITソリューションプロバイダーといったサプライチェーンを狙い、トロイの木馬型マルウェアの「Kwampirs」を感染させて欧米や日本を含むアジアのヘルスケア企業に被害をもたらしました。2018年4月のことです。

医療業界で古いOSなどレガシーシステムが依然として使われている弱点を突いた攻撃ですが、感染目的は感染させたMRIやレントゲンといった画像処理機器デバイスの調査だったようで、ネットワークアダプタ情報やシステムバージョンの情報などを収集するように設計されていたといいます。

サプライチェーンのサイバー攻撃対策の障壁となっているもの

先述のIPAの「サプライチェーンのセキュリティリスクに関するアンケート結果」では、8割弱がサプライチェーン攻撃のリスクを認識しているものの、実態は約6割の企業が直接の取り引きがある委託先のみのセキュリティ対策にとどまるという乖離を浮き彫りにしました。総じて、サプライチェーンのセキュリティ対策は遅れているといえるでしょう。

この原因となっているのが、サプライチェーンや系列企業ごとに、利用しているシステムの基盤がバラバラで一元管理が難しいことです。共通のネットワークがないことがさらに拍車をかけています。

また、いざサプライチェーン全体でセキュリティ対策を講じようと動き出したときに最初にぶつかるのが「セキュリティポリシー」の壁。各社でバラバラのセキュリティポリシーにどう整合性を取りながらセキュリティのベースラインを揃えるかというのは大きなハードルです。

サプライチェーン時代に求められるセキュリティと対策

繰り返しになりますが、サプライチェーン攻撃から身を守るためには、サプライチェーンや系列企業でセキュリティのベースラインを揃える必要があります

サプライチェーンに対しては、各企業のセキュリティが自社のセキュリティ基準に適合しているかどうかをチェックすることが重要です。満たない場合はセキュリティレベルの引き上げを求め、適応できない場合は取引を中止するといった判断も必要になってきます。

さらに、自社のみならず、政府などが出している業界のセキュリティ標準などとも比較しリスクアセスメントを取ることもおすすめします。これにより、自社の対策姿勢を示すとともに、セキュリティが標準を満たしていることを証明することができるためです

一方、系列企業に対しては、自社との同質性が高い分、サプライチェーンよりもセキュリティ対策を統一しやすいでしょう。基幹システムをクラウド化したり運用をアウトソーシングすることにより、極力、環境変更を伴わずに共通のベースラインを構築することが可能です。

ベースラインを揃えたうえで、AIを搭載したセキュリティシステムやWAF（Web Application Firewall）を導入してサイバー攻撃を未然に防いだり、従業員向けにメール訓練やe-ラーニングといった訓練・教育を施し、攻撃を受けても被害が最小限に食い止められるような対策を講じておきましょう

アイネスでは、Webサイト改ざんをリアルタイムで検知し、0.1秒で復旧するツール「Peacock tail」をはじめ、サプライチェーンの弱点を悪用したサイバー攻撃に対する課題解決のためのセキュリティソリューションを提供しております。

詳しくは、下記ページをご覧ください。

情報セキュリティソリューション
https://www.ines.co.jp/service/information-security.html

次世代マルウェア対策ソフトBlackBerry Protect（旧CylancePROTECT）
https://www.ines.co.jp/service/cylance-protect.html

Webサイト改ざん検知／瞬間復旧ソリューションPeacock tail（ピーコックテイル）
https://www.ines.co.jp/service/website-tampering-detection.html

次世代ファイアウォールマネージドサービスPalo Alto Networks PAシリーズ（パロアルトネットワークス）
https://www.ines.co.jp/service/next-generation-firewall.html

サイバー攻撃対策について、どうぞお気軽にお問合せください。