Blue Planet-works|Blog

企業が警戒すべき「サプライチェーン攻撃」とは?

セキュリティ

企業が警戒すべき「サプライチェーン攻撃」とは?

ここ数年、企業に深刻かつ連鎖的な被害をもたらす新たな攻撃方法として知られるようになったのが「サプライチェーン攻撃」です。サプライチェーン攻撃は、IPAによる情報セキュリティ10大脅威 2019 でも、企業の脅威として4位にランクインしたことで注目されています。サプライチェーン攻撃とはどのような手法による、どのような被害をもたらす脅威なのか、その特徴と対策について解説します。

サプライチェーン攻撃とは

企業活動において原材料や部品の調達から製造、在庫管理、物流、販売、業務委託など仕入れから供給に至るまでの一連の工程をサプライチェーン(供給連鎖)と呼びます。

サプライチェーン攻撃とは、このサプライチェーンを悪用したサイバー攻撃のことです。

サプライチェーン攻撃には現在、取引先やグループ企業を経由した攻撃と、ソフトウェアやIT機器を介した攻撃の主に2種類があります。それぞれの概要は以下の通りです。

取引先やグループ企業を経由した攻撃

セキュリティ対策が強固な実際のターゲットとしている大企業ではなく、まずそのサプライチェーンとなるグループ会社や業務委託先、発注・仕入先といった中小の企業を攻撃してマルウェアなどを感染させ、それを踏み台にしてターゲット企業に侵入するタイプのサイバー攻撃です。

ソフトウェアやIT機器を介した攻撃

企業がよく使用しているソフトウェアの更新プログラム、IT機器などハードウェアのファームウェアなどに不正なプログラムを仕掛けて被害を拡大させるタイプのサイバー攻撃です。攻撃者はソフトウェアベンダーなどのシステムに侵入し、ソフトウェア製品のソースコードに不正コードを埋め込むなどしてソフトウェアを改ざんします。顧客は正規のソフトウェアやIT機器を使用しているにもかかわらずマルウェアに感染してしまいます。

企業が警戒すべきサプライチェーン攻撃の脅威

サプライチェーン攻撃がやっかいなのは、たとえ自社のセキュリティ対策を強固なものにしていても、他社の脆弱性が弱点となって攻撃を受け、被害が連鎖的に広がっていく点にあります。

例えばグループ会社、業務委託先、取引先がサイバー攻撃を受けてマルウェアに感染すると、その会社から他企業へとマルウェアに感染させるためのなりすましメールが送信される可能性があります。ふだん、メールの添付ファイルなどには十分注意をしている会社でも、取引先から送られてきたいつもと変わらないような内容のメールであれば、疑うことなくファイルを開いてしまうかもしれません。

ソフトウェアやIT機器に不正なプログラムが仕掛けられている場合は、さらに攻撃を防御し危険を回避するのが困難です。

近年、企業のシステムに侵入し、保存してあるファイルを暗号化して解除キーと引き換えに身代金を要求するランサムウェア「WannaCry(ワナクライ)」や、感染力・拡散力が非常に高いマルウェア「Emotet(エモテット)」の脅威が大きな問題となっています。これらの被害も、サプライチェーン攻撃によって拡散されているケースが多々見られます。

ウクライナの多くの企業が使用している会計ソフトウェアの自動アップデートシステムに、不正なプログラムが仕掛けられていた事件などはとくによく知られています。すべての顧客に「ExPetr」というランサムウェアが配信され、大きな混乱を招きました。また、「CCleaner」というWindowsのレジストリのクリーンアップ用フリーソフトのアップデートモジュールにバックドアが仕掛けられ、世界中のさまざまな企業が標的型攻撃の被害に遭うという事件も起きています。このときはおよそ200万台のPCに対して不正なアップデートが行われたと言われています。

いずれにせよ、ある企業がサイバー攻撃を受けると関連する他企業への攻撃のための踏み台にされるなどして、被害が一気に拡大する危険性があります。サプライチェーン攻撃は非常に巧妙化したサイバー攻撃の一種と言えます。

企業に必要なサプライチェーン攻撃への対策

サプライチェーン攻撃を防ぐには、自社だけではなく、グループ会社や取引先とも連携した対策が必要です。

とくに日本では、業務委託先のセキュリティ対策の甘さが原因・発端となって被害が広がるケースがよく見られます。そのため業務委託契約を結ぶ際は、委託元企業と委託先企業との間で委託業務の内容を踏まえたセキュリティについての取り決めを交わすことが求められます。重要情報についてはその取り扱い方について詳細に規定し、さらに万一、インシデントが発生した場合の対応や報告に関してもマニュアルを作成しておく必要があるでしょう。

ソフトウェアやIT機器を介した攻撃に対しては、こちらもマルウェア感染を防ぐための入口対策だけでは防ぎきれないのが現状です。そのため、以下のような対策も用意しておく必要があります。

具体的な方法としては、信頼するプロセス、アプリケーションのみを起動し、それらの動作中も不正・危険な処理をさせない機能を持つAppGuardのようなセキュリティ製品の導入などが有効です。また、感染後に端末を切り離すことで拡大を食い止めることができるEDR(Endpoint Detection and Response)や、ネットワークの常時監視、不正な通信を検出するセキュリティ対策IPS(不正侵入防止システム)の導入なども組み合わせて、多層的なセキュリティ環境を構築していくことが求められます。

サプライチェーン攻撃は自社だけではなく、取引先などの他社にも多大な影響を及ぼし自社が「加害者」となりうるサイバー攻撃です。重要な情報を守るために、大企業はもちろん、関連のある中小の企業も共同して堅牢なセキュリティ対策を築いていきましょう。

マルウェア「Emotet(エモテット)」は、2019年11月27日にJPCERT/CC、同11月28日には菅義偉官房長官から、国内で多発していることを受けた注意喚起が行われました。
詳細は下記ブログ記事をご確認ください。

マルウェア「Emotet」による被害と、その対策について解説

OSプロテクト型セキュリティ「AppGuard」の詳細はこちら

AppGuardで感染対策を!



ページトップに戻る