サイバー攻撃で狙われるのは、重要情報を多く持つ大企業。しかし、そのような考えはもはや過去のこと。昨今、中小・零細企業を標的とする攻撃が増加傾向にある。その背景にあるのがサプライチェーン攻撃だ。この記事では、サプライチェーン攻撃の概要をはじめ、実際の被害事例、そして対策について解説する。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、企業の生産活動における「サプライチェーン」を狙う攻撃のことだ。企業間の取引で形成されるネットワークを経由して、目標とする対象へ攻撃を仕掛ける手法をとる。近年のサイバー攻撃の激化やデジタル化の進展に応じて、大企業や行政機関ではセキュリティ対策が進んでいる。その一方で、予算や人材などのリソースに乏しい中小・零細企業では、セキュリティ対策が十分ではない企業が少なくない。
また、企業間ではメールでのコミュニケーションや共通システムの利用といったように、デジタルを介した取引や連携がより密接になっていることから、攻撃者が介在する余地が生じている。こうした背景から、セキュリティ対策が手薄な傾向にある中小・零細企業を狙うサプライチェーン攻撃が増加しているのだ。
なお、サプライチェーン攻撃にはソフトウェア開発のプロセス、サプライチェーンに入り込むタイプのものもある。この記事では、主に企業の生産・流通過程におけるサプライチェーンを狙うサプライチェーン攻撃を中心に解説する。
サプライチェーン攻撃増加の背景
近年、サプライチェーン攻撃が激化している背景には、以下のような理由が挙げられる。
広がるセキュリティ対策の格差
国内の情報セキュリティ市場は年々、拡大する一方にある。その理由は、増大するセキュリティリスクへの対処として、企業におけるセキュリティ対策関連への投資が増加していることにある。また、コロナ禍以降、急速に普及が進むリモートワークにおいて、万全のセキュリティ対策を講じる必要性があることも関係している。
経営に余力がある大企業ではこうした対策が進む一方で、中小・零細企業では予算や人材の確保などの制約が伴う場合が多い。加えて、経営陣による自社に重要な情報資産が存在しないとの認識から、セキュリティ対策を怠るケースもある。攻撃者視点からすれば、サプライチェーン攻撃によって情報セキュリティ対策が脆弱な中小・零細企業を狙うのは合理的なのだ。
標的型攻撃の増加
データ自体の価値向上、情報漏えい時に生じる企業へのダメージ、闇ビジネスのエコシステム確立など、攻撃者にとっての攻撃メリットは総じて高まっている。そのため、手間をかけてでも攻撃する価値がある対象として狙われると、標的型攻撃が成功するまで執拗に攻撃が繰り返されるのだ。
特に、個人情報を大量に保有している、あるいは設計資料やノウハウなど、機密レベルが高い情報を有している企業は、攻撃者にとってサプライチェーン攻撃を用いてでも攻撃する価値があると言える。
容易に入手可能な攻撃ツールや各種情報
攻撃者が攻撃のツールや脆弱性情報を、ダークウェブなどさまざまなルートで容易に入手できるようになっている。流通している攻撃ツールは、RaaS(Ransomware as a Service)として提供される。これは、ランサムウェア攻撃用のツールキットや仕組みの提供、あるいはそれら全般をサービスとして受託するビジネスなどを包括しており、攻撃者はマルウェアに関する専門的な知識を必要とされない時代となっている。
近年、ランサムウェアの手口は、「ダブルエクストーション(二重の脅迫)」といった、より悪質かつ執拗な手口に変遷してきており、今後もより一層、手口は多様化していくものと見込まれる。
サプライチェーン攻撃の事例
増加傾向が顕著なサプライチェーン攻撃だが、実際にどのような実例があるのだろうか。ここでは、いくつかの事例を紹介する。
2013年、米国小売大手事業者の大規模情報流出
米国小売大手事業者で、数千万件に及ぶクレジットカード情報や個人情報が流出した事例では、空調管理システムを提供していた事業者を踏み台にしたサプライチェーン攻撃が原因とされている。攻撃者は小売事業者が導入していた空調管理システムの提供事業者に対してフィッシングメールを送付し、当該小売事業者のネットワーク情報を入手。ネットワークに侵入してPOS端末にマルウェアを仕掛け、大量のデータ窃取に至った。
2017年、国内プロスポーツチケットサイトからの情報流出
あるプロスポーツのチケットを取り扱う販売会社では、ファンクラブ受付サイトやチケット販売サイトなど、サイトごとに複数の会社にサイトの開設と運用を委託していた。委託先が開発・運用していたWebサーバーがApache Struts2の脆弱性を突かれ、不正アクセスを受けた。その結果、クレジットカード情報を含む個人情報が流出し、クレジットカードの不正利用も確認される事態となった。
2017年、無料ソフトのモジュール経由でのマルウェア感染
国内でも多くのユーザーが利用していた、著名なクリーンアップツールのアップデートモジュールにバックドアが仕掛られた。その結果、このバックドアを経由して全世界で200万人以上にも及ぶユーザーのパソコンがマルウェアに感染したとされる。これはソフトウェアの開発プロセスに侵入し、犯行に及ぶタイプのサプライチェーン攻撃と言える。
2022年、国内大手自動車工場の生産ライン停止へ
国内大手自動車メーカーでは、グループ会社を含めた14工場28ラインが稼働停止に追い込まれた。その発端となったのは、取引先となる部品メーカーにおけるランサムウェアの感染だ。攻撃者は、リモート接続機器の脆弱性を利用して子会社に侵入し、さらにその部品メーカーを攻撃して工場停止に追い込んだとされる。
サプライチェーン攻撃への対策
サプライチェーン攻撃への対策の近道は、適切なセキュリティ対策を講じることだ。特に、以下のような対策が重要となる。
経営者の意識改革
中小企業の経営者の多くは、セキュリティ対策を他人事と捉えがちであることが各種調査からも浮かび上がっている。サプライチェーン攻撃について適切に理解し、仮に被害に巻き込まれた場合には、取引停止に至る可能性を認識すべきだろう。中小・零細企業では特定の企業に売上高の多くを依存しているケースも少なくない。仮に、依存度の高い企業との取引が停止となれば、事業の存続が脅かされかねない事態に陥ることは想像に難くない。
こうしたリスクを踏まえ、組織的なセキュリティ対策を講じる必要性がある。IPA発行の「サイバーセキュリティ経営ガイドライン」なども参考にするようにしたい。
マルウェア、ランサムウェア対策
サプライチェーン攻撃の多くはマルウェア、ランサムウェアへの感染がきっかけとなっている。そのため、従業員が利用するパソコンにセキュリティソフトをインストールしておくのは基本的な対策として欠かせない。また、不審なファイルを開封しない、あるいは業務に関連しないWebサイトへのアクセスは控えるなど、従業員のセキュリティ意識を啓蒙するための社内講習の実施も検討してほしい。
社内、社外への通信を監視
攻撃者はサプライチェーン攻撃や標的型攻撃を行う前に、ターゲットへの調査を実施することが少なくない。そのため、そうした兆候を事前に察知できれば、セキュリティ対策の確実性はより高まることになる。社内、社外の双方向において、不審な通信をチェックするため、IDS/IPSなどの機器の導入が推奨される。
認証強度の向上
社内システムへのログインにおいて、認証レベルを強化することも安全性を高める方法となる。通常のパスワードを用いた認証以外に、ワンタイムパスワードや生体認証の併用も検討すべきだろう。また、適切にアクセス権限を設定しておくことも欠かせない。
サプライチェーン全体を考慮したセキュリティ対策へ
サプライチェーン攻撃は、攻撃者にとっても多くの手間、コストを要する攻撃手法である。それでも、サプライチェーン攻撃が増加し続けるのは、それだけ攻撃成功時の見返りが大きいためでもある。複雑化するサプライチェーンにおいては、どこかしらに脆弱な部分が存在してしまうことは避けられない。デジタル領域での連携・連動がより密接になったことで、攻撃者はサプライチェーンに侵入できさえすれば、最終目標の達成は限りなく高まるだろう。
こうした状況の中で今後の動向として想定されるのは、適切なセキュリティ対策が講じられていない企業は、サプライチェーン上の取引先から外されるということである。米国では、政府の調達においてNISTの基準に順守していることを掲げているが、こうした動きは日本国内でも今後出てくることが想定される。それは、セキュリティ対策が中小・零細企業においても必ず求められる時代の到来なのかもしれない。