サプライチェーン攻撃とは?主な手口や被害事例、対策を解説

「サプライチェーン攻撃とは何か」「どのような手口でサプライチェーン攻撃は行われているのか」「どうやってサプライチェーン攻撃に対策すれば良いのか」など、疑問に感じている方も多いのではないでしょうか?

本記事では、セキュリティ対策に興味を持つ企業に向けて、サプライチェーン攻撃の概要から主な手口、被害事例、対策について解説します。

 

1. サプライチェーン攻撃とは

サプライチェーン攻撃とは、標的とする企業を攻撃するために、その企業と取引をしている他の企業を経由するサイバー攻撃です。

多くの大手企業ではサイバー攻撃に対するセキュリティ対策が取られており、企業内のネットワークへ侵入することは容易ではありません。

 

しかし、大手企業に比べてセキュリティ対策が手薄なサプライチェーン上の企業に対してサイバー攻撃を仕掛けるサプライチェーン攻撃では、セキュリティ対策が充実した企業でもサイバー攻撃の被害を受ける恐れがあります。

また、近年では取引をしている企業だけでなく、企業が利用しているIT機器やシステム、ソフトウェア、オンラインサービスを経由してサイバー攻撃を仕掛けるサプライチェーン攻撃も増加しています。

 

 

■サプライチェーンを経由した攻撃

サプライチェーンとは、原材料の調達から製造、在庫管理、配送、販売まで、商品が消費者の手元に届くまでの一連の流れです。

メーカーが商品を製造して販売する過程では、原材料を供給する企業や商品を店舗まで運ぶ配送業者、顧客に対して販売する卸売り・小売り業者など、さまざまな企業との取引が発生します。

 

サプライチェーンには大手企業だけでなく中小企業も含まれており、それぞれの企業におけるセキュリティ対策の度合いはさまざまです。

中小企業を中心としたサプライチェーンではセキュリティ対策が十分ではないケースが多く、先にサプライチェーンへサイバー攻撃を仕掛けることで、セキュリティ対策が充実した企業への侵入を可能としています。

 

 

■企業の脅威としての関心が高まっている

IPA(独立行政法人 情報処理推進機構)が公表した「情報セキュリティ10大脅威 2024」によると、「サプライチェーンの弱点を悪用した攻撃」は「組織」向け脅威の2位となっています。

順位

「組織」向け脅威

1位

ランサムウェアによる被害

2位

サプライチェーンの弱点を悪用した攻撃

3位

内部不正による情報漏洩等の被害

4位

標的型攻撃による機密情報の窃取

5位

修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)

2020年及び2021年では4位、2022年は3位、2023年は2位と年々順位が上がっており、企業の脅威としての関心が高まっていることが分かります。

参考資料:

情報セキュリティ10大脅威 2024「IPA(独立行政法人 情報処理推進機構)」

情報セキュリティ10大脅威 2023「IPA(独立行政法人 情報処理推進機構)」

情報セキュリティ10大脅威 2022「IPA(独立行政法人 情報処理推進機構)」

情報セキュリティ10大脅威 2021「IPA(独立行政法人 情報処理推進機構)」

情報セキュリティ10大脅威 2020「IPA(独立行政法人 情報処理推進機構)」

 

また、NTTビジネスソリューションが2022年に実施した調査によると、1,000人のアンケート回答者のうち2割弱が「サプライチェーン攻撃の被害にあったことがある」と回答しているそうです。

参考資料:

サプライチェーン攻撃に関する市場調査レポート「NTTビジネスソリューション」

 

 

2. サプライチェーン攻撃の手口

サプライチェーン攻撃の主な手口は以下の2つです。

  • 取引先・委託先を経由した攻撃
  • ハードウェア・ソフトウェアを経由した攻撃

 

それぞれの手口について具体的に解説します。

 

 

■取引先・委託先を経由した攻撃

サプライチェーン攻撃の手口の1つ目は、取引先・委託先を経由した攻撃です。

アイランドホッピング攻撃・ビジネスサプライチェーン攻撃・グループサプライチェーン攻撃と呼ばれることもあります。

 

中小企業や海外の拠点などセキュリティ対策が不十分なシステムへ先に侵入し、メールやファイル、USBメモリのやり取りを通じてセキュリティ対策が強固なターゲット企業へランサムウェアに感染させるなどのサイバー攻撃を仕掛ける仕組みです。

 

ランサムウェア

サイバー攻撃で使用される事が多いマルウェアの1種。

感染した場合、攻撃者に対してお金を支払わないとターゲット企業が所有する社内機密や顧客情報といった重要なデータにアクセスできなくなる。

 

 

■ハードウェア・ソフトウェアを経由した攻撃

サプライチェーン攻撃の手口の2つ目は、ハードウェア・ソフトウェアを経由した攻撃です。

ソフトウェアサプライチェーン攻撃・サービスサプライチェーン攻撃と呼ばれることもあります。

 

IT機器やソフトウェアの製造工程でマルウェアに感染させたりバックドアを仕込んだりすることで、サイバー攻撃を仕掛ける手口です。

ソフトウェアを構成するOSS(オープンソースソフトウェア)の脆弱性を利用し、ソフトウェアへの侵入を試みるケースもあります。

 

マルウェア

ターゲットに対して有害な影響を与える、悪意のあるソフトウェアの総称。

コンピューターウィルスやワーム、トロイの木馬、バックドア、スパイウェア、ランサムウェア、ボット、キーロガーなどさまざまなものがある。

バックドア

攻撃者がシステムへ不正に侵入するためのプログラム。

正規の方法ではなく不正な方法で侵入するため、バックドア(裏口)と呼ばれる。

バックドアが設置されているだけでは被害は発生しないものの、設置されているといつでも不正アクセスが可能になる上、不正アクセスされていることに気付かないケースも多い。

 

また、アップデートプログラムやパッチにウィルスを感染させておき、システムやソフトウェアにアップロードする際に侵入を試みるケースもあります。

日常的に使用するシステムやソフトウェアを経由して侵入する手口のため、不正アクセスされていることに気付くまでに時間がかかり、被害が拡大してしまうこともあります。

 

 

3. 近年の日本国内及び世界で発生したサプライチェーン攻撃の被害事例

近年発生した日本国内及び世界におけるサプライチェーン攻撃の代表的な被害事例は以下の通りです。

 

  • トヨタ自動車:2022年2月26日
  • LINEヤフー株式会社:2023年10月9日
  • 宿泊予約サービス「Booking.com」:2023年10月
  • 大阪急性期・総合医療センター:2022年10月31日

 

 

■トヨタ自動車

2022年2月26日、トヨタ自動車はサプライチェーン攻撃による不正アクセスを受け、国内の全14工場を停止する被害を受けました。

創業時からの取引がありサプライチェーンとして重要な仕入先である小島プレスが不正アクセスを受け、部品の生産に関わる受発注システムを通じてランサムウェアに感染するというサプライチェーン攻撃です。

 

小島プレスの奮闘によりトヨタ自動車の工場停止を1日に抑え、1か月後にはシステムも復旧しました。

トヨタ自動車は直接取引のある取引先460社に対しセキュリティ講習を実施し、サプライチェーン全体でサプライチェーン攻撃への対策を行っています。

 

関連資料:小島プレス、サイバー被害から1年 苦難乗り越え深めた絆「トヨタイムズニュース」

 

 

■LINEヤフー

2023年10月9日、LINEヤフー株式会社はサプライチェーン攻撃による不正アクセスを受け、約44万件の個人情報が漏洩しました。

委託先企業に所属する従業員が使用するパソコンにマルウェアを感染させることで関連会社であるNAVER Cloudのシステムへ侵入、LINEヤフーのシステムに不正アクセスしたという手口です。

 

不正アクセスされていることを初めて検知できたのは約1週間後の10月17日で、10月27日に不正アクセスの可能性が高いと判断されました。

 

2023年11月27日時点で漏洩が確認された個人情報は以下の通りです。

  • ユーザーに関する個人情報 302,569件
  • 取引先等に関する個人情報 86,105件
  • 従業者等に関する個人情報 51,353件

 

サプライチェーン攻撃を受けたことに対し、LINEヤフー株式会社は以下のような対策を実施しています。

 

  • NAVER Cloud社との従業者情報を扱う認証基盤環境の分離
  • ネットワークアクセス管理の強化
  • 外部企業を交えた計画策定

 

関連資料:不正アクセスによる、情報漏えいに関するお知らせとお詫び「LINEヤフー」

 

 

■宿泊予約サービス「Booking.com」

2023年10月、宿泊予約サービス「Booking.com」はサプライチェーン攻撃による不正アクセスを受け、Booking.comを通じて宿泊施設の予約を行ったユーザーの個人情報が大量に流出しました。

 

Booking.comのシステムが直接狙われたわけではなく、Booking.comに掲載されたホテルのWEBサイトへマルウェアが仕込まれたメールを送信することでホテルのシステムへ侵入、Booking.comにアクセスするためのアカウント情報を盗むことで、Booking.comのシステムへ不正アクセスしたという手口です。

 

正規のアカウント情報を使用してBooking.comにアクセスしているため不正アクセスの発見が遅れ、被害が拡大しています。

 

関連資料:VIDAR INFOSTEALER STEALS BOOKING.COM CREDENTIALS IN FRAUD SCAM

 

 

■大阪急性期・総合医療センター

2022年10月31日、大阪急性期・総合医療センターはサプライチェーン攻撃による不正アクセスを受け、ランサムウェアに感染するという被害に遭っています。

 

攻撃者のサプライチェーン攻撃の手順は以下の通りです。

  • VPN機器を経由して給食事業者のシステムへ侵入
  • 給食事業者のシステム情報を不正入手
  • 病院の給食サーバーへ侵入
  • 病院内の他のサーバーのシステム情報を不正入手
  • 病院内の基幹システムへ侵入

 

病院内の各サーバーにランサムウェアを感染させ、ランサムノートを表示し身代金を要求する手口でした。

病院内のPC端末約2,200台に不正アクセスの痕跡があり、基幹システムサーバの再稼働に43日間、病院全体の診療システム復旧に73日間かかっています。

 

上記のサプライチェーンにより、数億円以上の調査・復旧費用、十数億円以上の診療制限に伴う逸失利益が発生したようです。

 

関連資料:大阪急性期・総合医療センター 情報セキュリティインシデント調査報告書 概要

 

 

4. サプライチェーン攻撃への対策

サプライチェーン攻撃への対策は以下の通りです。

  • サプライチェーン全体で対策する
  • ゼロトラストセキュリティを導入する
  • 取引先・委託先の管理を強化する

 

対策について具体的に解説します。

 

 

■サプライチェーン全体で対策する

サプライチェーン攻撃への対策の1つ目は、サプライチェーン全体で対策することです。

 

前述したサプライチェーン攻撃の事例のように、自社だけがセキュリティ対策を万全にしていたとしても、サプライチェーンのどこかに脆弱性があれば不正アクセスを受ける恐れがあります。

セキュリティ対策に対する取り組み方や危険性の認識には企業ごとに差があるため、サプライチェーンの中にはサプライチェーン攻撃の標的にされてしまう企業があるかもしれません。

 

また、自社では機密情報や個人情報を扱っていないから不正アクセスを受けるはずがないと考える中小企業も多いようです。

前述した事例では、個人情報を扱っていない企業を経由して、委託元の個人情報に不正アクセスしているケースもあるため、機密情報・個人情報を扱っていなくても、しっかりと対策を行う必要があります。

 

サプライチェーンを経由した不正アクセスだったとしても、結果として自社が不正アクセスされてしまえば社会的な信頼性が低下したり、被害を受けた顧客への損害賠償が発生したりすることになります。

サプライチェーン攻撃を含めたサイバー攻撃に対するガイドラインを作成し、サプライチェーン全体で対策することが重要です。

 

 

■ゼロトラストセキュリティを導入する

サプライチェーン攻撃への対策の2つ目は、ゼロトラストセキュリティを導入することです。

 

ゼロトラストセキュリティとは、セキュリティ対策を実施する際に、社内外のすべてを信頼しないという考え方を指します。

従来のセキュリティ対策では、社内と社外に境界線を設け、社外からのアクセスに対して警戒することで不正アクセスを防止しています。

 

しかし、社外のセキュリティ対策を強固にしても、サプライチェーン攻撃による内部からの侵入を完全に防ぐことはできません。

 

一方、ゼロトラストセキュリティでは、社外だけでなく社内も含めたあらゆるアクセスに対して信頼性を確認して不正アクセスを防止します。

 

 

■取引先・委託先の管理を強化する

サプライチェーン攻撃への対策の3つ目は、取引先・委託先の管理を強化することです。

 

前述したように取引先・委託先を含めたサプライチェーン全体で対策することは重要ですが、自社と取引先・委託先の間でセキュリティ対策に対する認識に差が生じていたり、時間の経過とともに危機感が低下していたりする恐れがあります。

 

取引開始時に提示したガイドラインは守られているか、すべての社員が危機感を持っているかなど、セキュリティ対策に対する取り組み方を定期的にチェックすることが重要です。

 

委託先リスク管理サービス「VendorTrustLink」

サプライチェーン攻撃による被害を防止するためには、自社のセキュリティ対策を強化するだけでなく、取引先や委託先のリスク管理をチェックすることも重要です。

取引先や委託先で十分なセキュリティ対策が取られていなかったり、継続して実施されていなかったりすれば、取引先や委託先を経由して自社が不正アクセスを受けてしまうかもしれません。

 

取引先や委託先に対してアンケートや聞き取り調査を定期的に実施して、リスク管理状況をチェックすることが重要です。

 

弊社では、委託先管理に課題を抱える事業者に向けて、委託先リスク管理サービス「VendorTrustLink」を提供しています。

 

委託先や取引先に関連する情報を一元管理し、チェックシートを自動化、リスクを可視化できるサービスです。

委託先のリスク管理作業を効率化でき、監査にかかる工数を削減できます。

 

委託先リスク管理業務において以下のような課題を抱える事業者におすすめのサービスとなっています。

 

  • 監査に必要な書類がまとまっていない
  • 台帳やExcelベースの管理で手間がかかる
  • 優先的に対応すべきリスクがわからない