近年、サプライチェーン攻撃と呼ばれるサイバー攻撃が急増しています。その特徴は大企業のみが狙われるのではなく、中小の企業が先に攻撃されて踏み台にされることにあります。あらゆる企業が十分な警戒をすべきサプライチェーン攻撃について、知っておくべき概要と対策をご紹介します。

サプライチェーン攻撃とは

まず、サプライチェーンとは「供給連鎖、供給網」を意味する言葉であり、製造業の場合でいえば、製品の原材料・部品の調達から製造、在庫管理、配送、販売、消費までを指すことが一般的です。そしてサプライチェーン攻撃とは、ターゲット企業をダイレクトに攻撃するのではなく、サプライチェーンの中のセキュリティ対策が比較的手薄な部分を突いて攻撃を仕掛ける手法を指します。

サプライチェーン攻撃で真っ先に狙われるのは、ターゲット企業の仕入れ先や発注先、関連会社、業務委託先、あるいは委託先が再委託している会社などです。つまり、ターゲット企業のセキュリティ対策をすり抜けるために、サプライチェーン全体の中から付け入る隙を探し出してそこを突破口とします。

また、もうひとつの攻撃方法として、ターゲット企業で使用されているソフトウェアやハードウェア、製品の更新プログラムなどをマルウェアに感染させたりバックドアを仕掛けたりする、というものがあります。こちらはソフトウェアサプライチェーン攻撃と呼ばれます。

企業に迫るサプライチェーン攻撃の脅威

サプライチェーン攻撃は、IPA（独立行政法人 情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」で、2019年に初めて圏外から4位に急浮上しました。続く2020年、2021年にもともに同位にランクインしており、その脅威は現在もなお続いています。

この攻撃がやっかいなのは、サプライチェーンにセキュリティ対策が不十分な企業があると、その企業（多くは中小企業）が最初の標的となるだけではなく、連続する攻撃の踏み台とされてしまうことにあります。

その場合、往々にして踏み台にされた中小企業が受ける被害よりも取引先の大企業に及ぶ被害のほうが深刻なものになります。最終的に、攻撃者は正面突破が難しい大企業のシステムに侵入し、情報の漏えい・窃取、システムの破壊、ランサムウェアを使った金銭の受け取りなどを狙っています。結果、踏み台にされた企業も大きな責任を負うことになり、取引先企業との信頼関係をも失ってしまいかねません。

サプライチェーン攻撃が増加するにつれ、とくに中小企業に対するセキュリティ対策の強化が強く求められています。セキュリティ対策が十分に整備されていない場合、取り引きを停止される可能性もあるでしょう。

中小企業が取り入れたいサプライチェーン攻撃への対策

サプライチェーン攻撃を想定して、中小企業はどのような対策を取り入れていくと良いのでしょうか。

メールセキュリティ対策の徹底

添付ファイルの開封やメール本文に記載されたURLリンクをクリックしてしまうことによるマルウェア感染など、メールを利用した攻撃は以前からの常套手段であるにもかかわらず今も減っていません。むしろ近年は取引先からの業務メールを装った標的型攻撃など巧妙化が進んでいます。

メールセキュリティにおいては受信時だけではなく、送信時にも不審な添付ファイルを送ろうとしていないか、誤送信しようとしていないかなどのチェックが必要です。ウイルス対策ソフトの導入はほとんどの企業が行っているはずですが、さらに取引先とのメールのやりとりを安全に行うためのツールの導入も検討すべきでしょう。

情報取り扱いルールの整備

自社内および取引先との間で個人情報や機密情報に関する取り扱いルールを策定し、共有しておくことも必要です。2社間、3社間で情報のやりとりをするときに具体的に何をし、何をしてはいけないかを明確化しておきます。万一、インシデントが発生したときの対応についての手順書も作成しましょう。

従業員へのセキュリティ教育

サプライチェーン攻撃に関するセキュリティ教育も実施してください。情報の取り扱いなどに関する一般的知識やノウハウを周知徹底してセキュリティ意識を高めることはもちろん、新しい継続案件を受注した際は個別のマニュアルを作り、厳守のための研修を実施するとよいでしょう。

サプライチェーン攻撃の事例

具体的にサプライチェーン攻撃はどのようにして行われるのか、最後に実際にあった事例を紹介します。

外部委託された会社が開発・運営するWebサイトが攻撃される

大手団体のWebサイトの運営を委託された会社が開発・運営していたサイトがサーバー攻撃を受け、個人情報の窃取とクレジットカードを不正利用されるインシデントが発生しました。原因はクレジットカード情報の取り扱いに関してシステム開発の際に決められていた要求仕様が守られていなかったためです。結果、クレジットカードの不正利用が起き、被害額は630万円に上りました。

フィッシングメールで標的企業のアカウント情報を剽窃

アメリカの小売大手企業からも大量のクレジットカード情報が流出したことがありました。攻撃者はまずその大手企業に空調機器システムを提供していた業者にフィッシングメールを送付し、標的企業のシステムにログインするためのアカウント情報を入手。システム侵入に成功すると、店舗のPOSシステムをマルウェア感染させてクレジットカード情報を盗み出したといわれています。この事例では7000万件におよぶクレジットカード情報が漏えいしました。

サプライチェーン攻撃という手法が広まることにより、サイバー攻撃の対象はセキュリティが手薄な中小企業へと向かっています。どのような企業であっても、今一度セキュリティに関してより徹底した対策を講じることが必要だといえるでしょう。

大容量ファイルをメールで送信できる「メールdeファイル」は、添付ファイルを自動分離してサーバーにアップロードすることでデータを安全に送受信でき、誤送信防止機能も搭載したメールセキュリティサービスです。詳しくはメールdeファイルのご案内をご覧ください。