日本・海外のサプライチェーン攻撃事例から学ぶ最新の手口と対策

サプライチェーン攻撃は企業の取引先やパートナーを狙った攻撃であり、被害が広範囲に及ぶことがあります。一方、最新の事例を参考にサプライチェーン攻撃に対する知識を深めることで、適切な対策を講じることが可能です。

本記事では、最新のサプライチェーン攻撃の事例や攻撃手口の詳細、効果的な対策方法について解説します。

1. サプライチェーン攻撃とは

サプライチェーン攻撃とは、比較的セキュリティが弱い中小企業や下請け業者を経由することで、直接的には狙いにくい大企業や重要な組織を攻撃するサイバー攻撃の一種です。例えば、外部企業が提供するITサービスを利用している場合、外部企業のシステムが攻撃されると、結果的に自社も影響を受けることになります。サプライチェーン攻撃は企業の信頼性を損なうだけでなく、経済的損失や法的問題を引き起こす可能性があります。

 

【関連記事】

サプライチェーン攻撃とは?主な手口や被害事例、対策を解説

 

 

■攻撃のターゲットになりやすい企業

サプライチェーン攻撃のターゲットになりやすい企業は、中小企業やセキュリティ対策が不十分な企業です。大企業と比べてセキュリティ対策が手薄なことが多く、攻撃者にとって狙いやすい標的となります。サプライチェーンの中で重要な役割を果たしているものの、セキュリティリソースが限られている中小企業は、攻撃者にとって格好のターゲットとなってしまうわけです。攻撃者はこうした企業を経由して、大企業や政府機関などの最終的な標的にアクセスしようとします。

さらに、複数のサプライヤーやパートナー企業との関係を持つ企業も、サプライチェーン攻撃のリスクが高いです。たとえば、ソフトウェア開発会社が提供する製品にマルウェアを仕込むことで、その製品を使用する他の企業にも被害が及ぶ可能性があります。

このようなリスクを軽減するためには、サプライチェーン全体でのセキュリティ意識の向上が不可欠です。具体的には、各企業が自社のセキュリティ対策を強化するとともに、取引先企業ともセキュリティ情報を共有し、協力して対策を講じることが求められます。

 

 

■主な攻撃手法

サプライチェーン攻撃の主な手法は、企業のサプライチェーンを構成する外部の協力会社や取引先のシステムやソフトウェアに侵入することにより、直接的な防御が難しい企業内部に侵入する手法です。具体的な手法としては、マルウェアの埋め込みが挙げられます。これは、取引先のシステムやソフトウェアに悪意のあるプログラムを仕込むことで、最終的にターゲット企業のシステムに感染させる方法です。


他にも、メールや偽のWebサイトで取引先の従業員を騙して機密情報を引き出すフィッシング攻撃、取引先のシステムに密かに侵入経路を作り、いつでもアクセスできる状態を維持するバックドアの設置などがあります。このような手法は、企業が取引先に対して信頼を置いていることを逆手に取ったものです。

 

 

■最新の攻撃動向

サプライチェーン攻撃の最新動向として、攻撃者はさらに巧妙な手法を駆使し、企業の防御を突破しようとしています。増加している手法は、ソフトウェアの更新プロセスに悪意あるコードを潜ませる手法です。信頼されているソフトウェアの正規アップデートに見せかけた攻撃であり、ユーザーは気づかずに感染してしまうことがあります。また、クラウドサービスを利用した攻撃も増加傾向にあります。クラウドサービスの設定ミスを狙い、データを盗み出すといった手口が報告されています。

 

 

2. 日本国内のサプライチェーン攻撃事例

■子会社経由でのデータ流出

2022年2月、トヨタ自動車の取引先である小西製作所がサイバー攻撃を受け、その影響でトヨタの国内工場が一時的に稼働を停止しました。

この攻撃の背景には、サプライチェーン全体のセキュリティが一体となっていないことが挙げられます。取引先や下請け企業のセキュリティ対策が不十分だと、そこが攻撃の入口となり、大企業にまで影響が及ぶ可能性があります。トヨタのケースでは、取引先のシステムが狙われたことで、結果的にトヨタ自動車の生産ラインに支障をきたしました。

サプライチェーンにおいては、サプライチェーン全体で統一したセキュリティポリシーを策定し、子会社や関連会社とも共有することが重要です。また、定期的なセキュリティ監査を実施し、弱点を早期に発見することが求められます。さらに、セキュリティ教育を徹底し、全従業員が最新の脅威に対する意識を持つことも重要です。これにより、サプライチェーン全体の安全性を確保し、データ流出のリスクを大幅に軽減できます。

 

関連資料:小島プレス、サイバー被害から1年 苦難乗り越え深めた絆

 

 

■外部委託先でのマルウェア感染

2021年、LINEヤフー株式会社のシステムが外部委託先を通じて企業の重要なデータが不正にアクセスされるという事件が発生しました。

この事件の背景には、LINEヤフー株式会社が一部のデータ処理を中国の委託先に依頼していたことがあります。データの保存先やアクセス権限の管理が不十分だったことが原因で、委託先の技術者が日本国内のユーザーデータにアクセスできる状態になっていました。

この事件を受けて、LINEヤフー株式会社はアクセス権限の見直しやデータの暗号化、委託先のセキュリティ監査の強化などデータ管理体制の見直しを行い、外部委託先との契約内容を再検討しました。

サプライチェーン攻撃を防ぐためには、外部委託先のセキュリティ対策を事前に確認し、契約時にセキュリティ要件を明確にすることが重要です。また、定期的なセキュリティ監査や委託先との情報共有を通じて、潜在的なリスクを早期に発見し対策を講じることが求められます。

 

関連資料:不正アクセスによる、情報漏えいに関するお知らせとお詫び

 

 

■ランサムウェアに感染

2022年10月、大阪急性期・総合医療センターは外部からのランサムウェア攻撃を受け、電子カルテシステムが一時的に使用不能となりました。医療機関の業務を停止させ、患者の診療に大きな影響を及ぼしています。

この事件の背景には、医療機関が持つ膨大な個人情報が狙われやすいという現実があります。医療機関は患者の個人情報や医療データを多く扱っており、これが金銭的価値を持つため、攻撃者にとって魅力的な標的となっているわけです。さらに、医療機関のシステムは複雑なため、外部のITベンダーやシステム管理会社との連携が欠かせません。このような外部との接点が、サプライチェーン攻撃の経路となることが多いのです。

医療機関は単に自社のシステムだけでなく、外部の業者やサプライヤーとのセキュリティを強化する必要があります。具体的には、定期的なセキュリティ評価やサプライヤーとの情報共有を行い、攻撃のリスクを最小限に抑える取り組みが必要です。

 

関連資料:大阪急性期・総合医療センター 情報セキュリティインシデント調査報告書 概要

 

 

3. 海外のサプライチェーン攻撃事例

■宿泊予約サービスへのマルウェア攻撃

2023年10月、宿泊予約サービス「Booking.com」では、Booking.comに掲載されたホテルのWEBサイトへマルウェアが仕込まれ、Booking.comを利用してホテルを予約した顧客の個人情報が第三者によって不正にアクセスされるという事件が発生しました。Booking.comが直接攻撃されたわけではなくサプライチェーンの一部であるホテルが攻撃の入口となり、Booking.comの顧客情報が流出する結果となりました。

 

関連資料:VIDAR INFOSTEALER STEALS BOOKING.COM CREDENTIALS IN FRAUD SCAMVidar Infostealer Steals Booking.com Credentials in Fraud Scam | Secureworks

 

 

■ソフトウェアに仕込まれたバックドア

2024年3月29日、オープンソースのデータ圧縮ツールとして広く利用されている「XZ Utils」は、「XZ Utils」の公式配布サイトに侵入し、ソフトウェアにバックドアを仕込むというサプライチェーン攻撃の標的となりました。この攻撃は、開発者の信頼性を利用してソフトウェアの更新を装い、ユーザーに気づかれずにマルウェアを拡散するという巧妙な手口です。ユーザーは公式サイトを信頼してダウンロードしているため、悪意のあるコードを含むバージョンをインストールしてしまう可能性があります。

このような攻撃を防ぐためには、ソフトウェアの信頼性を常に確認することが重要です。具体的には、信頼できるソースからのみソフトウェアをダウンロードし、提供者のセキュリティポリシーを定期的にチェックすることが推奨されます。また、セキュリティソフトを導入し、定期的にシステムをスキャンすることで、バックドアの検出と排除を図りましょう。

 

関連資料:有名ソフトにバックドア、防止不可能「ソフトウエアサプライチェーン攻撃」の脅威

 

 

4. 企業が実施すべきサプライチェーン攻撃対策

企業が実施すべきサプライチェーン攻撃対策は以下の3つです。

  • 外部企業とのセキュリティ対策の共有
  • セキュリティソフトウェアの導入
  • 業務を委託している企業に対するリスク管理

それぞれの対策について詳しく解説します。

 

 

■外部企業とのセキュリティ対策の共有

企業が実施すべき1つ目のサプライチェーン攻撃対策は、外部企業とのセキュリティ対策の共有です。

サプライチェーン攻撃を防ぐためには、セキュリティポリシーや手順を文書化したり定期的に見直したりするといった、企業間でセキュリティに関する共通の理解を持つことが求められます。

次に、定期的なセキュリティ評価を実施し、外部企業のセキュリティ基準を確認することが重要です。これにより、潜在的な脅威を早期に特定し、対策を講じることができます。また、外部企業との間で情報共有の体制を整えることで、不正な活動の早期発見や迅速な対応が可能です。さらに、外部企業と共同でセキュリティトレーニングを行うことで、双方の従業員が最新の脅威を理解し、適切な対策を取る能力を高めることができます。

 

 

■セキュリティソフトウェアの導入

企業が実施すべき2つ目のサプライチェーン攻撃対策は、セキュリティソフトウェアの導入です。

セキュリティソフトウェアの導入により、外部からの不正アクセスやマルウェアの侵入を防ぐことができます。特に、ウイルス対策ソフトやファイアウォールは基本的な防御策として欠かせません。これらのソフトウェアは、リアルタイムでシステムを監視し、疑わしい動きを検知した際には即座に警告を発します。

近年では中小企業向けに手頃で使いやすい製品も多数提供されており、クラウドベースのソリューションを活用することで、導入コストを抑えつつ最新のセキュリティ機能を利用することが可能です。

ただし、セキュリティソフトウェアの活用には、定期的な更新と設定の見直しが必要となります。ソフトウェアは常に最新の状態に保ち、新たな脅威に対応できるようにすることが重要です。加えて、従業員に対する教育も欠かせません。セキュリティソフトウェアの機能を最大限に活用するためには、従業員がその機能を理解し、適切に操作できるようにすることが求められます。

 

 

■業務を委託している企業に対するリスク管理

企業が実施すべき3つ目のサプライチェーン攻撃対策は、業務を委託している企業に対するリスク管理です。

サプライチェーン攻撃を防ぐためには、委託先のセキュリティ対策を定期的に評価し、必要に応じて改善を求めることが求められます。

まずは、業務委託先の選定段階で、セキュリティ基準をしっかりと確認しましょう。例えば、ISO27001やSOC2などの国際的なセキュリティ認証を取得している企業は、一定のセキュリティ水準を満たしています。また、委託先の過去のセキュリティインシデントの有無や対応状況も重要な選定基準です。

次に、定期的なセキュリティ監査を実施することも効果的です。監査を通じて、委託先のセキュリティ対策が適切に実施されているかを確認し、問題があれば改善を促すことができます。

さらに、委託先とセキュリティに関する情報を共有し、協力体制を築くことも大切です。セキュリティポリシーやインシデント対応手順を共有し、万が一の際には迅速に対応できるようにしておきましょう。

最後に、業務委託契約書にセキュリティ条項を盛り込み、委託先に対して明確なセキュリティ義務を課すことも有効です。これにより、委託先がセキュリティ対策を怠った場合の責任を明確にすることができます。

 

【関連記事】

委託先管理とは?目的や必要な理由、実施する際のポイントを解説

 

 

5. まとめ

今回は、日本・海外のサプライチェーン攻撃事例をご紹介しました。

サプライチェーン攻撃は、企業のセキュリティを脅かす深刻な問題です。近年の事例を見ても、攻撃者は巧妙な手法を用い、被害は広範囲に及ぶことがあります。しかし、適切な対策を講じることで、被害を最小限に抑えることが可能です。

本記事で解説した攻撃手口の詳細と効果的な対策方法を参考に、しっかりとした防御策を構築していきましょう。

 

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。