サプライチェーン攻撃とは？セキュリティ対策のポイント

サプライチェーン攻撃とは

サプライチェーン攻撃とは、ターゲットに対して直接サイバー攻撃を仕掛けるのではなく、ターゲットに関連する会社や取引先を経由して不正侵入を行うサイバー攻撃のことを指します。

「サプライチェーン」という言葉は、商品の原材料・部品の調達から、製造・販売までの一連の流れのことです。サプライチェーン攻撃は、この企業間のつながりを狙った攻撃になっています。

ターゲットが大企業の場合、厳重なセキュリティ対策を講じているため、大企業への侵入は容易ではありません。そこで、大企業と関わっているセキュリティ対策が脆弱な関連会社・取引先をターゲットにして、そこを踏み台として大企業への侵入を試みるのがサプライチェーン攻撃の手口です。大企業の関連会社・取引先は多く存在しますが、各社によってセキュリティ水準が異なります。サプライチェーン攻撃では、セキュリティが脆弱な関連会社・取引先を初めに狙い、そこから大企業への攻撃・侵入を試みます。

サプライチェーン攻撃を行う目的

サプライチェーン攻撃を行う目的は様々です。例えば下記のような目的があります。
・大企業で保管・管理している機密情報を盗む
・大企業のPC・サーバーに侵入し、マルウェアに感染させる。感染して停止しているPCを稼働させることを条件に高額な身代金を要求する。

年々増えるサプライチェーン攻撃

サプライチェーン攻撃は年々増えており、IPAの「情報セキュリティ10大脅威 2022」によると「サプライチェーンの弱点を悪用した攻撃」は3位という結果になっています。（昨年順位が4位）
今後もさらに増加する可能性は十分にあり、各企業でサプライチェーン攻撃に対して適切な対策を講じる必要があります。

サプライチェーン攻撃の国内での被害事例

近年、サプライチェーン攻撃によって国内の大手企業も甚大な被害を被りました。この章では、国内で起きたサプライチェーン攻撃による被害事例を紹介します。

トヨタ自動車

はじめに紹介するのは、トヨタ自動車の事例です。実際にサプライチェーン攻撃を受けたのは、トヨタ自動車の主要サプライヤーの「小島プレス工業」です。小島プレス工業がマルウェアの被害を受けたことがきっかけで、トヨタ自動車の14工場の28ラインが停止しました。さらに、約1万3000台の生産を見送る事態にも発展しています。

小島プレス工業がマルウェアの感染被害を公表したのが2022年3月1日であり、この影響でトヨタ自動車だけではなく、グループ会社の日野自動車やダイハツ工業も一部生産を見合わせる事態へと発展しました。

小島プレス工業は影響範囲の特定のため、社内サーバーを全て停止し、早急なシステム復旧を迫られました。トヨタの工場自体は3月2日に稼働を再開したものの、「サプライチェーン攻撃」のリスク・被害の大きさが改めて浮き彫りになりました。

参照：トヨタ取引先のサイバー被害で露呈した「供給網リスク」、狙われる保守用VPN装置 | 日経クロステック（xTECH）

三菱電機

次に紹介するのは、三菱電機の事例です。三菱電機は2020年11月20日に同社のネットワークが第三者による不正アクセスを受けたこと、社内の個人情報・企業機密情報が外部に流出した可能性があることを発表しました。

この三菱電機への攻撃は、中国にある三菱電機の関連会社から発生したサプライチェーン攻撃型によるものだと報道されました。中国の関連会社に侵入し、その後機密情報にアクセスできるパソコンへの不正アクセスを試みたとされています。

中小企業はサプライチェーン攻撃の対象か？

大企業を狙うサプライチェーン攻撃が発生する中、大企業だけではなく、サプライチェーンを構成する中小企業も強化なキュリティ対策を講じる必要があります。

日本国内のサイバー攻撃は年々増加している

日本国内のサイバー攻撃は年々増加しており、特に「ランサムウェア」による被害が年々増えている傾向があります。

警察庁は「令和4年におけるサイバー空間をめぐる脅威の情勢等について」で、サイバー攻撃の一つである「ランサムウェア」による感染被害が多発していることを発表しました。

ランサムウェアとは、PCやサーバなどに感染し、データを勝手に暗号化したり、PCの操作をできない状態にするマルウェアのことを指します。攻撃者は暗号化の解除を条件に高額な金銭を要求するため、身代金（ransom）とソフトウェア（software）を組み合わせてランサムウェア（ransomware）と呼ばれています。

令和4年上半期（1月～6月）に警察庁への報告件数は114件となっており、1年前の令和3年上半期は61件から倍以上の発生件数となりました。年々ランサムウェアによる被害が増えて続けていることが判明しました。

業界団体ごとにセキュリティガイドラインを策定している

ここでは、サプライチェーン攻撃に対してのセキュリティ対策状況を調査した「中小企業を含むサプライチェーンにおける情報セキュリティ対策状況等の調査」について解説します。
サプライチェーン攻撃を防ぐための取り組みは各企業で業界内のサプライチェーンに属している企業に対して、適切に行われていることがこの調査で分かります。

調査を実施したのは「株式会社三菱総合研究所」であり、各業界における情報セキュリティガイドラインやセキュリティ対策強化に向けた取組の有無・内容等を調査した結果となっています。調査対象は、製造やインフラ、防衛、情報通信など11の業界です。

調査した業界の多くは、業界としてのセキュリティガイドラインを策定していました。業界内のサプライチェーンに属している企業に対し、ガイドラインの実施状況を把握するための取組が適切に実施されていいました。

参考：自工会/部工会・サイバーセキュリティガイドラインの概要、要求事項、評価方法を解説

さらに、業界内でサイバーセキュリティに取り組むためのワーキング・グループも立ち上げており、そこでガイドラインやセキュリティ対策推進に関わるコンテンツ等を作成し、会員内で共有していました。
このようにサプライチェーンに属している全ての企業に対して、定期的に情報セキュリティに関する理解を深める勉強会や情報共有が実施されていることがこの調査で分かりました。

サプライチェーン攻撃のパターンと分類

サプライチェーン攻撃は、Webアプリケーションやサーバー、スマートフォンアプリなど、様々なものを対象として攻撃していきます。

ここでは、サプライチェーン攻撃のパターン・具体的な攻撃方法について解説します。

参照：サプライチェーン攻撃のセキュリティ対策は、どのような方法があるのか？ | ITコラム｜アイティーエム株式会社

Webアプリケーションに対しての攻撃

Webアプリケーションに対して攻撃する場合、「SQLインジェクション」や「クロスサイトリクエストフォージェリ」と呼ばれる攻撃手法が利用されるケースが多く見られます。

SQLインジェクションとは、データベースと連動したWebアプリケーションに対して行われる攻撃のことです。データベースで保管している個人情報などを盗んだり、改ざんしたり、悪質なサイバー攻撃の一種だといえます。

クロスサイトリクエストフォージェリとは、Webアプリケーションの脆弱性を突いた攻撃の一つです。例えば、会員サイトなどにログインしたユーザーが自身の情報を入力した際に、意図していない処理が勝手に行われていきます。巧みに偽サイトに誘導させて、サイト内の入力欄に個人情報を入力して情報を詐取する流れです。

参考：脆弱性診断とは？ペネトレーションテストとの違い、ツール比較の3つのポイントを解説 | 漏洩チェッカー

サーバーに対しての攻撃

サーバーに対しての攻撃は、「DoS攻撃」や「DDoS攻撃」などが有名です。

DoS攻撃（Denial of Service Attack）とは、サーバに対して大量なデータを送りつけることで高い負荷をかけ、サーバーダウンを目的とした攻撃です。DDoS攻撃（Distributed Denial of Service Attack）も同じタイプの攻撃ですが、複数のマシンを乗っ取って攻撃するため、DoS攻撃よりも大きな負荷をかけられる点が特徴です。また、複数のマシンに分散して攻撃を仕掛けるため、攻撃者の特定が非常に難しくなります。

スマートフォンアプリに対しての攻撃

スマートフォンアプリに対しての攻撃も増加しています。偽造したコピーアプリをデバイスに対して配布し、脆弱性を突いて不正利用・データ改ざんなどが行われます。

サプライチェーン・セキュリティの対策ポイント

ここでは、サプライチェーン攻撃に対する対策を進めるためのポイントについて、詳しく解説していきます。

セキュリティポリシーの策定

はじめに、経営者が組織全体の対応方針を外部に対して宣言できるように、セキュリティポリシーを策定します。IT部門のみではなく、製造や販売、サービスなど、事業に応じた対応方針を
検討していきましょう。

策定したセキュリティポリシーは、社内ポータルサイトへ掲載したり、従業員に対して教育を実施したり、社員全体に周知する必要があります。

リスクの特定と対策の実装

次に、企業内でのセキュリティリスクを把握し、リスクに対応するための計画を立てていきます。
計画を立てる際には、サイバー保険の活用や外部のベンダへの委託等を含めた検討が必要です。

インシデント発生に備えた体制構築

インシデント発生時に備えた体制も構築する必要があります。インシデントが発生した際に、影響範囲や被害の特定、被害拡大を防止するための対応、再発防止策の検討を実施するための体制等を事前に整備しておきましょう。

サプライチェーンリスク全体の整理

サプライチェーン攻撃に対する対策を進めるためにも、サプライチェーンが受ける可能性があるリスクについて、改めて整理しておきましょう。主なリスクは下記の4つです。

参照：経産省 通商白書2021- サプライチェーンリスク

環境的リスク

環境的リスクとは、自然災害やパンデミックを指します。日本国内においては、自然災害によるサプライチェーンへの影響は大きいといえるでしょう。

2011年3月11 日に発生した東日本大震災では、地震による被害に加え、被災地域に生産拠点がある産業も大きなダメージを受けました。近年の新型コロナウイルス感染拡大も、各業界のサプライチェーンに多大な影響を与えました。

地政学的リスク

地政学的リスクとは、テロや政治的な不安などによるリスクを指します。紛争・政治的な不安は、国内の経済活動にも大きな影響を及ぼします。

経済的リスク

経済的リスクとは、経済危機や原料の価格変動といったリスクを指します。原料の価格高騰の影響は身近にある食品・商品の値上げにもつながるため、私たちの生活にも大きく関わってきます。

技術的リスク

技術的リスクとは、サイバー攻撃やシステム障害などのリスクを指します。普段私たちが行っている仕事は、様々なシステムを通じて行われています。サイバー攻撃によってシステム障害が発生すると、自社への被害だけではなく、サプライチェーンに属している会社にも被害をもたらします。

まとめ

今回は、サプライチェーン攻撃に対するセキュリティ対策のポイントについて解説しました。

悪質なサプライチェーン攻撃に対しては、サプライチェーンに属している会社全体で対策を講じる必要があります。強固なセキュリティ対策を策定するためにも、サプライチェーン攻撃の影響の大きさ・攻撃を受けた際のリスクについて理解することから始めていきましょう。

関連記事：サイバーセキュリティ経営ガイドラインVer3.0とは？3原則や重要10項目を解説 | 漏洩チェッカー