サプライチェーン攻撃とは、企業や組織のサプライチェーン（供給網）を踏み台に、強固なセキュリティ体制をもつ、本来の標的に攻撃を仕掛けるサイバー攻撃です。

大企業のセキュリティレベルの高まりを受け、セキュリティに脆弱性のある、関連企業やパートナーを悪用する、サプライチェーン攻撃が近年増加しています。被害リスクを軽減するには、自社だけでなく、関連企業を含めた強固なセキュリティ体制の構築を検討する必要があります。

この記事では、サプライチェーン攻撃の概要や対策について、例を用いてわかりやすく解説いたします。

サプライチェーン攻撃とは

サプライチェーン攻撃とは、セキュリティレベルの高い組織などに侵入するため、セキュリティレベルの低い関連会社や取引先などを悪用するサイバー攻撃の1種です。

大手企業などセキュリティ体制が整っている組織を狙うため、まずはセキュリティの脆弱な子会社や取引先に攻撃を仕掛け、最終的な標的に辿り着くという流れです。

▼サプライチェーン攻撃のイメージ図

掲載元：サイバーリスク健康診断│LANSCOPE プロフェッショナルサービス

業界を問わず、ビジネスを展開するためには多くの起業や組織とやりとりをする必要があります。企画や製造、出荷や販売といった、ビジネスのプロセス「サプライチェーン」と呼び、この組織間の繋がりを悪用するのがサプライチェーン攻撃です。

攻撃の成功率が高まる上、他の企業を介することで侵入に気づかれづらいという特徴もあり、近年サプライチェーン攻撃の被害が増加しています。

サプライチェーン攻撃は何を目的に行われるのか

攻撃者が「サプライチェーン攻撃」を仕掛ける目的は、主に以下の2点です。

大企業のもつ個人情報や機密データを不正入手し、情報を欲する第三者に売却することで利益を獲得します。

あるいは、搾取したデータのばらまき回避や、ランサムウェア攻撃のように暗号化したデータの復旧を引き換えに、高額な身代金を要求するケースも多く見られます。

2023年もサプライチェーン攻撃の被害は増加傾向に

世間のサイバーセキュリティに対する意識が高まると同時に、世界のサプライチェーン攻撃の発生数は増加傾向にあります。

実際、NTTビジネスソリューションが2022年5月に発表した「サプライチェーン攻撃に関する市場調査レポート」では、調査対象1,000名のうち176名が「サプライチェーン攻撃の被害経験がある」と回答。

組織に所属する5～6名に1人が、サプライチェーン攻撃を経験していることとなります。

また上記のうち「自社が攻撃の標的となり、取引先に影響を与えた」ケースが52.8%、「取引先が攻撃の標的となり、自社が影響を受けてしまった」ケースが55.0%（重複あり）と報告されています。

参考：NTTビジネスソリューション│サプライチェーン攻撃に関する市場調査レポート

情報セキュリティ10大脅威2023では「サプライチェーン攻撃」が2位に

サプライチェーン攻撃の脅威性は、経済産業省のIT機関「独立行政法人情報処理推進機構（IPA）」でも注目されています。

IPAが発表した「情報セキュリティ10大脅威2023」では、組織編の2位に「サプライチェーンの弱点を悪用した攻撃」がランクインしました。昨年度から順位を1つあげていることからも、その重大度の高さが伺えます。

※情報セキュリティ10大脅威とは…IPAが毎年発表する、この1年で「特に警戒すべき情報セキュリティ上の脅威」。情報セキュリティ分野の研究者や企業の実務担当者など、約200人が審議・投票を行い決定される。

▼ 情報セキュリティ10大脅威2023の結果

前年	個人	順位	組織	前年
1位	フィッシングによる個人情報などの詐欺	1位	ランサムウェアによる被害	1位
2位	ネット上の誹謗・中小・デマ	2位	サプライチェーンの弱点を悪用した攻撃	3位
3位	メールやSNS等を使った脅迫・詐欺の手口による金銭被害	3位	標的型攻撃による機密情報の窃取	2位
4位	クレジットカード情報の不正利用	4位	内部不正による情報漏えい	5位
5位	スマホ決済の不正利用	5位	テレワーク等のニューノーマルな働き方を狙った攻撃	4位
7位	不正アプリによるスマートフォン利用者への被害	6位	修正プログラムの公開前を狙う攻撃（ゼロディ攻撃）	7位
6位	偽警告によるインターネット詐欺	7位	ビジネスメール詐欺による金銭被害	8位
8位	インターネット上のサービスからの個人情報の窃取	8位	脆弱性対策の公開に伴う悪用増加	6位
10位	インターネット上のサービスへの不正ログイン	9位	不注意による情報漏えい等の被害	10位
圏外	ワンクリック請求等の不正請求による金銭被害	10位	犯罪のビジネス化（アンダーグラウンドサービス）	圏外

また、サプライチェーン攻撃の順位は2019年～2021年で4位、それ以前は圏外だった点からも、近年の急速な被害拡大・凶悪性に注目が集まっていることがわかります。

参考：独立行政法人情報処理推進機構（IPA）│情報セキュリティ10大脅威2023

サプライチェーン攻撃の主な3つの手口

サプライチェーン攻撃は、攻撃の起点別に下記の3種類に分けられます。

1.サービス提供元を攻撃する「サービスサプライチェーン攻撃」
2.関連会社やパートナー企業の脆弱性を狙う「アイランドホッピング攻撃」
3.ソフトウェア提供前に仕込まれる「ソフトウェアサプライチェーン攻撃」

ここではそれぞれの手口についてより詳しくご紹介します。

1.サービス提供元を攻撃する「サービスサプライチェーン攻撃」

サービスサプライチェーン攻撃とは、サービス事業者を標的とし、事業者が提供するサービスを経由してターゲットを攻撃するという手口です。デジタルサプライチェーン攻撃、とも呼ばれます。

例えば、顧客のITシステムの運用や保守を行う「MSP（マネージドサービスプロバイダ）」事業者に対し、MSPが管理するネットワークの脆弱性を狙って侵入や攻撃を仕掛け、標的とする企業に侵入するというケースが該当します。

サービスを通じて侵入されれば、サーバーなどが乗っ取られ、各種データにアクセスされることによる情報漏洩、ネットワークの停止といった大きな影響が出る可能性があります。

2.関連会社やパートナー企業の脆弱性を狙う「アイランドホッピング攻撃」

「アイランドホッピング攻撃」とは、ターゲットの関連組織や取引先を起点とするサプライチェーン攻撃の1種です。ビジネスサプライチェーン攻撃、あるいはグループサプライチェーン攻撃とも呼ばれます。

例えば、多額の身代金請求が見込める「国内の大手企業」を攻撃するため、セキュリティ体制が甘い海外拠点に不正アクセスしてから、標的の大手企業のシステムへ侵入する……という手口はアイランドホッピングの典型的なケースです。

また、常習的にやりとりをしている組織を経由した攻撃のため、攻撃に気づくまでに時間がかかり、被害が拡大しやすいといった特徴もあります。

3.ソフトウェア提供前に仕込まれる「ソフトウェアサプライチェーン攻撃」

「ソフトウェアサプライチェーン」とは、ソフトウェアが提供される前に、そのソフトウェアの開発・製造・提供のいずれかの工程に侵入して、不正コードやマルウェアを混入する手口を指します。ソフトウェアそのもの以外に、アップデートプログラムに細工するケースもあります。

主な攻撃経路としては、アプリケーションやソフトウェア、オープンソースコードなどが挙げられます。

製造過程や提供元に不正コードが仕掛けられるため、アプリケーションやソフトウェアが幅広い層に使われるほど、被害が大規模になりやすいという特徴があります

国内外のサプライチェーン攻撃の被害事例3選

これまで国内外では多くのサプライチェーン攻撃が発生し、中には大規模な損害を伴ったケースも見られます。

サプライチェーン攻撃に関する、3つの被害事例をピックアップしてご紹介します。

1.大手電機メーカーが約8,000台のPCに不正アクセスを受けた事例

企業	大手総合電機メーカー
被害時期	2019年6月
攻撃の手口	アイランドホッピング攻撃
被害内容	個人情報・企業機密情報の外部流出

国内の大手総合電機メーカーでは、2019年大規模なサプライチェーン攻撃が発生しています。

攻撃者は、中国に拠点を置く関連会社へ侵入し、国内本社のPC約120台、サーバー約40台に不正アクセスを実施。結果として、防衛省や内閣府・原子力規制委員会など10を超える政府機関や、電力会社・JRなど主要民間企業のデータ漏洩が疑われる被害へと発展しました。

本国の本社と比較して、セキュリティが脆弱な海外関連会社を起点とする、典型的なアイランドホッピング攻撃の事例です。

2.監視アプリへのサプライチェーン攻撃で、18,000企業に被害が及んだ事例

企業	海外ソフトウェアメーカー
被害時期	2020年12月
攻撃の手口	ソフトウェアサプライチェーン攻撃
被害内容	約18,000企業のネットワークやサーバーへの不正アクセス被害

2020年、海外ソフトウェアメーカーが提供する「遠隔管理ソフトウェア」に、不正コードを混入させた「ソフトウェアサプライチェーン攻撃」の事例です。

攻撃者は、2019年9月時点であらかじめ提供前にソフトウェアへ不正コードを混入し、導入企業・組織が30,000社を越えた2022年3月のタイミングで攻撃を実行。利用者が増えた段階で攻撃を行ったことにより、結果的に約18,000の企業や組織で、不正アクセス等の影響が確認されました。

また、同ソフトウェアは米連邦政府機関やアメリカの大手企業でも幅広く利用されており、すべての組織にて１年以上も見抜けなかったことから「史上最大級の複雑かつ高度なサイバー攻撃」であると述べられました。

総合病院がサプライチェーン攻撃により2ヶ月業務停止となった事例

企業	国内総合病院
被害時期	2022年10月
攻撃の手口	アイランドホッピング攻撃
被害内容	・院内の電子カルテシステム関連のサーバー、PC等1,300台のファイルが暗号化、 ・緊急時以外の診療が停止

2022年、国内の大手総合病院を対象に仕掛けられた、サプライチェーン攻撃の事例です。

今回の事例では、医療センターに給食を提供していた事業者を踏み台に、同病院へと侵入しランサムウェア攻撃を実施。医療センターの約2,300台の機器のうち、バックアップを含む基幹サーバー、電子カルテシステム関連のサーバー、パソコン等約1,300台において、ファイルが暗号化される被害が発生しました。

また、その影響で緊急時以外の手術・外来診療を停止する事態となり、最終的に1日で1,000名の患者へ影響を及ぼす被害へ発展しました。

事件の要因は、給食提供事業者がVPN機器のアップデートを行っておらず、ネットワーク上の脆弱性が放置されていたことがあげられます。また病院のサーバーには身代金を要求するメッセージも残されており、ランサムウェアを意図した悪質なサプライチェーン攻撃であることが伺えます。

サプライチェーン攻撃に有効な5つの事前対策

これまで述べたように、サプライチェーン攻撃の標的となれば、機密データの流出や多額の賠償金・身代金の支払いなど、組織にとって大きな損失を受けることとなります。

そういった攻撃に備えるため、サプライチェーン攻撃に有効な事前対策を5つのポイントに分けてご紹介します。

1.自社のセキュリティ状況の把握と対策
2.サプライチェーン企業の事前評価とモニタリング
3.サプライヤーと事前にセキュリティ契約を結ぶ
4.社内のセキュリティポリシー策定と教育
5.適切なセキュリティソリューションの導入

1.自社のセキュリティ状況の把握と対策

1つ目にあげるのが「まずは、自社のセキュリティ状況を把握すること」です。

現在導入しているシステムやアプリケーションに脆弱性はないか、設定は正しく行えているか、セキュリティ対策は十分であるか等を確認し、課題を洗い出します。また、いざという時に対策できるよう、インシデント対応計画や社内のセキュリティポリシーを策定することも大切です。

自社の抱えている課題や脆弱性を洗い出す手段として「セキュリティ診断（脆弱性診断）」を依頼する、という手法も有効です。専門家の知見を取り入れることで、自社だけでは難しいセキュリティ課題の洗い出しと対策案の策定を、短時間で把握することが可能です。

2.サプライチェーン企業の事前評価とモニタリング

2つ目にあげるのが「関連会社や取引先に対する事前評価とモニタリング」です。

サプライチェーン攻撃を防ぐためには、自社のみのセキュリティ対策では不十分です。そのため、パートナーや取引先などもリスク評価を行い、新規で契約する際には、信頼できる企業や組織を選定しましょう。

子会社や関連企業に対しても、自社のセキュリティ状況と対策に関して定期的に報告を受ける、脆弱性対策に関する自社の知見やシステムを共有する、などのサポートを行うことで、サプライチェーン攻撃のリスクを軽減することが可能です。

3.サプライヤーと事前にセキュリティ契約を結ぶ

万一に備え、サプライヤーとあらかじめ、セキュリティに関する契約を結んでおくことも重要です。

を契約書として取り交わすことで、万一サプライチェーン攻撃に巻き込まれた際、責任の所在を明らかにし、自社を守るための保険として有効なためです。

4.社内のセキュリティポリシー策定と教育

4つ目の対策は「社内のセキュリティポリシーの策定と、社員教育の徹底」です。

社内のセキュリティポリシーを策定することで、従業員は決められた社内ルールに基づいたアクションが可能に。また社内教育では、社内における情報の取り扱いや、インシデントが発生した際の対応などを、従業員に周知する働きかけが必要です。

具体的な例としては、アクセス権の管理や機密データの取り扱い、多要素認証やパスワードの設定、定期的なアップデートやパッチ適用などがあげられます。またセキュリティ教育は被害の発生を抑えるだけでなく、万一問題が発生した場合、被害を最小に押さえるためにも有効です。

5.適切なセキュリティソリューションの導入

システムを適切に保護するためには、人による対策のみでなく、適切なセキュリティソリューションの導入も重要です。

かつてセキュリティ製品というと、ファイアウォールに代表される、ネットワークの入口対策が中心でした。しかし現在では、ネットワークやエンドポイントに侵入後の脅威対策も並行して実施するなど「多層防御」のセキュリティ対策が重要視されています。

また近年の高度化したマルウェアやウイルスでは、従来製品の検知をすり抜けてしまうケースが少なくありません。自社にとって最適な、かつ最新の脅威にも対策できる、優れたセキュリティソリューションの導入が必要です。

「LANSCOPE プロフェッショナルサービス」では、万一、サプライチェーン攻撃によって悪質なマルウェアが社内ネットワークに侵入した場合も、即座に検知・対策できる、最新のNDRソリューション「Darktrace（ダークトレース）」を提供しています。

サプライチェーン攻撃にあってしまったら？

ここまでサプライチェーン攻撃の対策についてお話ししましたが、万一、被害に遭った場合は、どういった対処が有効でしょうか。

サプライチェーン攻撃に遭ってしまった場合の対処は、以下のとおりです。

1．影響範囲と攻撃内容の特定
2．攻撃が疑われるシステムや端末の隔離
3．関係者やサプライチェーン企業への連絡
4．システム復旧
5．攻撃原因の調査と再発防止策

まずは被害を最小にするために、影響範囲と攻撃内容を素早く特定します。原因と影響範囲を特定することで、感染の疑いがあるシステム・端末を隔離し、被害の拡大を防ぐためです。

攻撃要因を隔離できたら、次に関係者や関連企業に連絡をし、被害に関する内容を素早く伝達します。必要に応じて、警察庁や他社のインシデント対応サービスにも問い合わせしましょう。

連絡後は速やかにシステムの復旧に取り組み、原因調査・再発防止策へ取り組みます。LANSCOPEでは、サプライチェーン攻撃被害にあった場合、専門家が素早く原因調査・復旧をサポートする「インシデント対応サービス」を提供しています。

サプライチェーン攻撃対策ならLANSCOPEEプロフェッショナルサービスにおまかせください

「LANSCOPE プロフェッショナルサービス」では、サプライチェーン攻撃をはじめとするサイバー攻撃に有効な、手厚いセキュリティソリューションを提供しています。

1.セキュリティ診断（脆弱性診断）
2.クラウドセキュリティ診断
3.サプライチェーンリスク評価サービス「Panorays（パノレーズ）」

３種類のソリューションについてご紹介します。

1.サプライチェーン攻撃で狙われる脆弱性に有効な「セキュリティ診断（脆弱性診断）」

1つ目にご紹介するのが、自社のネットワークやアプリケーションのセキュリティ課題を明らかにする「セキュリティ診断（脆弱性診断）サービス」です。

先述のとおり、サプライチェーン攻撃はセキュリティの脆弱性を狙って行われます。脆弱性診断を行うことで、組織のセキュリティ上の課題や欠陥を洗い出し、適切な対策を打つことが可能となります。

LANSCOPE プロフェッショナルサービスでは、まずは手軽に「セキュリティ診断」を受けていただけるサービスとして「サイバーリスク健康診断」を提供しています。

また、万一サプライチェーン攻撃を受けた際に「どの程度の被害が起きるか」「感染後、適切な対策が可能か」を明らかにできる「ペネトレーションテスト」も提供しています。

▼ペネトレーションテストによる疑似攻撃の例

ペネトレーションテストでは、実際のサイバー攻撃を想定した疑似攻撃を仕掛け、現状のセキュリティレベルや課題を洗い出すことが可能です。

クラウドサービスの設定による不正アクセス防止

2つ目にご紹介するのが「クラウドセキュリティ診断」です。

働き方の多様化に伴い、企業のクラウドサービス利用は急速に普及しています。利便性の高い一方、クラウドサービスを悪用した、不正アクセスや情報漏洩事故が後を絶ちません。これらクラウドを発端としたサイバー被害の原因の多くが「アクセス権限の設定不備」や「ログイン設定の脆弱性」に起因します。

クラウドセキュリティ診断であれば、Microsoft365 やAWS・salesforce といった、ご利用中のクラウドにおける設定不備を専門スタッフが改善。正しく設定しなおすことで、万一サプライチェーン攻撃でクラウドが狙われた際も、大切なデータを保護することが可能です。

サプライチェーンリスク評価サービス「Panorays（パノレーズ）」

3つ目にご紹介するのが、 SaaS型のセキュリティリスク評価システム「 Panorays（パノレーズ）」です。

自社に関連するサプライヤーの資産情報を自動収集し、サプライチェーン全体のセキュリティ対策状況を可視化することで、攻撃の潜在的リスクを把握できます。

例えば、取引先やグループ企業へ「セキュリティ対策状況のヒアリングアンケート」を送付したり、登録ドメインからサプライヤーが外部公開しているIT資産を検出・脆弱性を洗い出すなどを行うことが可能です。

関連企業や子会社も含めたサプライチェーン攻撃対策を効率的に行いたい、企業様におすすめのソリューションです。

まとめ

本記事では「サプライチェーン攻撃」をテーマに、その概要や事例・対策案について解説しました。

本記事のまとめ

組織を悪質なサイバー攻撃から守るため、サプライチェーン攻撃を意識した対策は必要不可欠です。自組織だけでなく、関連事業者を踏まえ広い視野を持って、セキュリティ対策へ取り組んでいただければ幸いです。