公開日
更新日
情報処理推進機構(IPA)が2022年1月に発表した「情報セキュリティ10大脅威 2022」によれば、「組織」における脅威の第3位に「サプライチェーンの弱点を悪用した攻撃」がランクインしています。いわゆる「サプライチェーン攻撃」です。
サプライチェーン攻撃とは、簡単にいうとサプライチェーンを悪用したサイバー攻撃のことです。IT機器やソフトウェアの供給に乗じて攻撃するものと、ターゲットそのものではなく関連企業を攻撃して踏み台を作る攻撃方法の2通りがありますが、本コラムでは、後者を対象とし、仕組みや対策、事例などをご紹介いたします。
【関連記事】
自社のセキュリティ強化だけではもう十分ではない!サプライチェーン攻撃とは
サプライチェーン攻撃とは、製造業において原材料の調達から始まり、生産管理、物流、販売までの一連の流れである「サプライチェーン」を悪用したサイバー攻撃です。この一連の流れに関わる企業を指してサプライチェーンとよぶこともあります。
サプライチェーン攻撃には、2つのパターンがあります。
一つは、IT機器やソフトウェアの供給に乗じて攻撃するものです。
もう一つは、ターゲットそのものではなく関連企業を攻撃して踏み台を作る攻撃方法です。広義では、直接のサプライチェーンだけではなく、子会社などの系列企業が踏み台にされるケースも含まれます。
IPAが発表する「情報セキュリティ10大脅威」においては、2019年版で初めて「サプライチェーンの弱点を悪用した攻撃の高まり」が登場して以降、2020年、2021年と4位をキープしていましたが、2022年に3位に上昇しました。
サプライチェーン攻撃には、いくつかの種類があり、それぞれ仕組みは異なります。
ただ、多くのケースでは、ターゲットとする企業では情報セキュリティが高く、直接、狙うことができないため、セキュリティの手薄い取引先や子会社などを足がかりにします。
たとえば、取引先の従業員が業務に使用しているPCをマルウェア感染させ、そこから登録してあるメールアドレス宛に勝手にマルウェアを添付したメールを送信して感染させたり、マルウェア感染させた取引先の従業員のPCにバックドアを作成し、より権限の高いアカウント情報を窃取していき、最終的にターゲット企業へのアクセス権限を得て不正アクセス行ったりするといった方法があります。
また、取引先にサイバー攻撃者を送り込んで機密情報や個人情報を持ち出させるといった内部犯行の手口もあります。
ほかには、ターゲット企業へ納品するソフトウェアなどの納品物の開発を行っている企業に不正アクセスし、開発中のソフトウェアの中にマルウェアを埋め込むという手口があります。
近いものとして、特定の企業が提供するソフトウェアの脆弱性を悪用したサイバー攻撃もサプライチェーン攻撃の一つで、別の企業が該当のソフトウェアを利用してサービス提供を行っている場合、そのサービスの利用者にも被害が広がる恐れがあります。
過去に実際に報告されたサプライチェーン攻撃の事例を2件、ご紹介いたします。
2017年3月、ジャパン・プロフェッショナル・バスケットボールリーグ(Bリーグ)のチケットサイトがサイバー攻撃に遭い、クレジットカード情報などの個人情報が約15万件も流出しました。漏えいしたクレジットカード情報からの不正利用の被害もあり、不正利用の総額は、判明しているだけで630万円にのぼりました。
チケットサイトの運営に当たっていたのは、Bリーグから運営を委託されていたチケット販売大手のぴあ株式会社から、さらに運営を再委託された複数のシステム会社でした。そもそも、チケットサイトの構築を委託されたシステム会社では、要求仕様書とは異なる構築を行っており、本来であれば顧客情報が保存されるはずのないサーバーに顧客情報が保存されており、そこから漏えいしたといいます。
不正アクセスについては、運営の委託先が利用していた「Apache Struts2」の脆弱性を悪用したものとみられます。
なお、不正利用されたクレジットカードの代金やクレジットカードの再発行にかかる手数料は、ぴあが補償を行いました。
2017年6月、ウクライナM.E.Doc社の会計ソフト「MeDoc(ミードック)」の更新プログラムに、ランサムウェア「Petya」に似たマルウェアが組み込まれ、更新プログラムを利用した64ヵ国のユーザーに感染が広がる事態となりました。
同ソフトは、ウクライナ国内では電力会社、銀行、地下鉄、チェルノブイリの放射線モニタシステムなどに利用されており、インフラにも打撃を与えました。
インシデントが発覚したのは6月ですが、その2ヵ月前にはすでにバックドアが組み込まれていたとみられ、ウクライナの企業が確定申告を行う時期に合わせて実行されました。入念な準備のもとに行われたサイバー攻撃であると考えられます。
では、こうしたサプライチェーン攻撃を防ぐには、どうしたら良いのでしょうか?
ご紹介してきたように、サプライチェーン攻撃では、情報セキュリティの手薄な取引先や子会社などが足がかりにされます。そこで、自社のみならず、関連する企業に対し、以下のような対策を取ることが重要です。
IPAでは、「情報セキュリティ5か条」として、次の5点の遵守を促しています。
上記の遵守に自社および取引先企業やグループ会社で取り組み、定期的なチェックを行いましょう。
取引先などに業務を委託する際は、自社のセキュリティーポリシーを満たす企業へ委託することはもちろん、NDA(Non‐Disclosure Agreement/秘密保持契約)を締結した上で、具体的に「重要な情報」が何を指すかについて、合意を取る必要があるでしょう。この「重要な情報」については、取り扱い可能なドメインを限定しておくことも大切です。
万が一、サイバー攻撃を受けた際に、どのような対応を取るのかを事前に決め、サプライチェーン間で共有しておく必要があります。どのサイバー攻撃がサプライチェーン攻撃なのかは、その後の調査でしか判断できないため、たとえば、不審なメールが届いたといったささいな兆候も、重大なインシデントのきっかけになる可能性を疑い、サプライチェーン間で情報共有する必要があるでしょう。
【関連記事】
自社のセキュリティ強化だけではもう十分ではない!サプライチェーン攻撃とは
サプライチェーン攻撃についての概要と仕組み、事例などをご紹介しました。
サプライチェーンそのものの最適化のためには全体の情報を見ていく必要がありますが、これは情報セキュリティの強化においても共通です。自社のみならず、サプライチェーン全体で情報セキュリティ体制を見直し、改善してサプライチェーン攻撃による被害を防ぎましょう。
アイネスでは、Webサイト改ざんをリアルタイムで検知し、0.1秒で復旧するツール「Peacock tail」をはじめ、サプライチェーンの弱点を悪用したサイバー攻撃に対する課題解決のためのセキュリティソリューションを提供しております。
詳しくは、下記ページをご覧ください。
次世代マルウェア対策ソフトBlackBerry Protect(旧CylancePROTECT)
Webサイト改ざん検知/瞬間復旧ソリューションPeacock tail(ピーコックテイル)
次世代ファイアウォールマネージドサービスPalo Alto Networks PAシリーズ(パロアルトネットワークス)
※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。
弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。