サプライチェーン攻撃の本命は大手企業や政府機関

サプライチェーン攻撃とは、大手企業や政府機関へのサイバー攻撃をおこなうために、サプライチェーン（供給網）の構成上にある関係機関や取引先を経由する攻撃手法のこと。もともと｢サプライチェーン｣とは､製品製造における素材､部品などの原材料の調達から製造･生産､品質管理､在庫管理､物流を経て消費者の手元に届くまでの一連のプロセスを指し､サプライチェーン攻撃はそれになぞらえて命名されている｡

多くの機密情報を保有する大手企業や政府機関は、セキュリティ対策に掛ける予算も大きく、従業員教育も徹底しているため直接攻撃することは難しくなっている。しかし、そのような大組織でも、原材料を調達し、製造、販売するなかで複数の企業とサプライチェーンを構築している。このようなサプライチェーンを構成する関係機関や取引先、子会社を攻撃対象として侵入し、本命である大手企業や政府機関へのサイバー攻撃を試みる例が増加している。

二種類の攻撃手法

サプライチェーン攻撃の手法は二種類に大別される。

• サプライチェーンを構成する規模の小さな中小企業を標的とする方法
  日本では、企業の99%以上を中小企業が占めている。豊富な資金力で万全なセキュリティ対策を施す大企業に対し、資金力に劣る中小企業は、セキュリティ対策に十分な予算を掛ける余裕はない。また､慢性的な労働者不足な環境に置かれている企業も多く､専門人材の不在や社員のセキュリティ対策に対する認識不足､教育のレベが低い傾向にある｡加えて数多くの中小企業の中には、セキュリティ対策を軽視しがちな経営者もいる。そこで、本命である大企業や政府機関への不正アクセスを成功させるためのステップとして、防御の甘い中小企業に侵入し、踏み台のように利用する。
• ハードウェアやソフトウェアなどのIT製品の開発プロセスに入り込む方法
  パソコンもソフトウェアも設計から完成までに多くの企業が関わっている。そのプロセスに関与する企業に脆弱性を突くことで侵入し、製品の奥深いところにマルウェアやバックドアを潜ませる。これらはユーザーが日常的に利用する際におかしな挙動を見せるわけではなく、攻撃者が意図したタイミングで攻撃を開始する。製品を利用するユーザー自体がターゲットのこともあるが、ほかの大規模な攻撃に加担する、あるいは踏み台として利用される、といった例が多い。

サプライチェーン攻撃の脅威を防ぐために

サプライチェーン攻撃のような高度で複雑な攻撃は今後、より一般的になってくるであろうと考えられている。そのため、自社だけ防御策を固めればよいという考えを改め、取引先にも適切なセキュリティ対策の実施を求めたり、取引条件に加えたりすることが大企業、行政機関などで広がっている。パソコンやソフトウェアなどの購買においても、さまざまな観点から、その企業がセキュリティに対して注力しているかを判断して選択してほしい。