企業のデータを暗号化して身代金を要求する「ランサムウェア」など、サイバー攻撃の被害をニュースで目にする機会も増えてきました。こうしたサイバー攻撃は、昨今では大企業だけの問題ではなくなっています。
特に、近年の被害で目立っているのが「サプライチェーン攻撃」です。サプライチェーン攻撃は企業規模を問わず、どの企業が被害者となってもおかしくありません。
本稿では、サプライチェーン攻撃とは何か、基本をまとめてお伝えします。サプライチェーン攻撃の手口や過去の被害事例、企業が講じるべき対策についても解説するため、ぜひ参考にしてください。
- もくじ
1. サプライチェーン攻撃とは【基本的な攻撃方法】
サプライチェーンとは、商品の原材料調達から製造、在庫管理、配送、販売、消費に至るまでの一連の流れを指します。このサプライチェーンを通して、標的となる企業へ間接的に攻撃するのがサプライチェーン攻撃です。
まずは、サプライチェーン攻撃の基本的な攻撃方法を見ていきましょう。
セキュリティが手薄な中小企業を侵入口に
サイバー攻撃の侵入口として狙われやすいのは、セキュリティが手薄な中小企業です。
サプライチェーン攻撃では多くの場合、大企業や政府機関などを最終的なターゲットとします。しかし、こうした大規模組織は堅牢な防御システムを構築しており、正面からの侵入は容易ではありません。そこで、中小企業を経由して大企業へ近づこうとするのです。
具体的には、大企業へ部品や原材料を納入する取引先、製造や開発の前工程を担う委託先などに目を付けます。攻撃者は正規のメールを装ってファイルを送りつけたり、脆弱なネットワーク機器を狙ったりして中小企業のシステムへ侵入を試みます。正規の従業員や委託先業者になりすまし、内部からアクセス権を奪おうとするケースも少なくありません。
中小企業は予算や人員の制約から、大企業ほどのセキュリティ体制を構築できていないケースが多いです。そのような企業が狙われた場合、攻撃者が標的企業に侵入するための足がかりとなってしまいかねません。
中小企業を介して最終的な標的企業を攻撃
中小企業への侵入に成功すると、攻撃者はそこを足がかりに最終的な標的企業への攻撃に移ります。たとえば、取引先になりすましてウイルス付きメールを送信する、共有ネットワーク経由で内部システムに侵入するなど、具体的な手口はさまざまです。
子会社や関連会社の従業員を装われると、標的企業の担当者が警戒心を緩めてしまうリスクもあります。侵入後の不正活動を食い止められなければ、最終的な標的企業のシステム破壊や機密情報の窃取、業務妨害といった深刻な被害につながってしまいます。
2. サプライチェーン攻撃の被害事例
サプライチェーン攻撃の脅威を理解するうえでは、実際の被害事例を知ることが有効です。ここでは、国内で発生した代表的な2つの事例について、「事業継続(BCP)」と「情報セキュリティ」という異なる観点からご紹介します。
事例①【BCP観点】大手自動車メーカーを標的とした攻撃
2022年、大手自動車メーカーの主要サプライヤーである部品製造会社が、マルウェアによるサイバー攻撃を受けました。脅迫メッセージも確認されており、冒頭で触れたランサムウェアによる攻撃と見られています。
攻撃を受けたサプライヤーは、被害拡大を防ぐために自社のサーバーを全停止しました。この影響で部品供給システムが機能しなくなり、自動車メーカー側は国内14か所の全工場を一時停止する事態に追い込まれました。
この事例では、直接的な標的企業への攻撃は報告されていません。それでも、たった1社の取引先が被害に遭うだけで、サプライチェーン全体が麻痺し、1万台を超える生産見送りという甚大な損失につながることを証明した事例です。
このように、自社が攻撃を受けていなくとも、サプライチェーンの一角が崩れることで自社の操業が停止してしまう「事業継続(BCP)のリスク」があることが分かります。
事例②大手IT企業を狙った攻撃
2023年、国内大手IT企業は業務委託先を経由した不正アクセスを受け、40万件を超える個人情報が流出しました。発端は、委託先従業員のパソコンがマルウェアに感染したことです。
両社はシステム基盤の一部をクラウドで共有しており、攻撃者はそこを抜け道として侵入しました。不正の検知が遅れたことから、正規の利用者アカウントが悪用されたものと見られています。結果として、同IT企業への侵入を許し、多大な情報が漏えいする事態となりました。
自社の守りが堅固でも、ネットワークでつながる関連企業に隙があれば、そこから重要情報を盗み出されてしまうリスクがあるのです。この事例は、委託先や共有基盤の管理不備が自社の致命的な「情報セキュリティ事故」に直結することを示しています。自社だけでなく、委託先も含めたセキュリティ管理が必要です。
3. サプライチェーン攻撃を防ぐための対策
サプライチェーン攻撃を防ぐためには、自社だけでなく従業員や取引先も含めた多角的な対策が必要です。ここでは、具体的な4つの対策方法をご紹介します。
これらは単にウイルスの侵入を防ぐだけでなく、前述した「事業継続のリスク」と「情報セキュリティのリスク」の双方を低減するために不可欠です。
対策①社内ポリシー策定とアクセス管理の徹底
まずは、自社のセキュリティポリシー(情報セキュリティに関する方針)を定めましょう。「誰がどの情報にアクセスできるか」を必要最小限に絞り込むことが基本です。たとえば、自社内だけで扱う機密情報は、関連会社がアクセスできない状態にします。
また、「退職者のアカウントは速やかに削除する」「パスワードの使い回しは禁止」といったルール作りも欠かせません。近年では、パスワードの定期変更よりも「推測されにくい十分な長さ」や「多要素認証(MFA)」の導入が重視されています。最新のセキュリティ動向を踏まえ、効果的な設定をシステム側で強制適用しておくと確実です。
セキュリティの常識は時代とともに変化するため、常に最新のガイドラインや知見を把握し、運用に反映していく姿勢が求められます。また、社内のルールは、時間が経つにつれて形骸化しやすいものです。定期的に監査を行い、正しく運用されているかチェックする体制を整えましょう。
対策②従業員へのセキュリティ教育
従業員へのセキュリティ教育を行い、知識や意識の向上を図りましょう。従業員へのセキュリティ教育は、サプライチェーン攻撃対策の中でも特に重要な取り組みの1つです。
多くのサイバー攻撃事例では、不審なメールの開封や認証情報の入力など、最終的に人の判断が侵入の起点となっています。技術的な対策を講じていても、それを利用する人の判断に隙があれば、攻撃を防ぎきることは困難です。
そのため、日々の業務で違和感に気づき、適切な行動を取れるようにする教育は、極めて実効性の高い対策となります。具体的な攻撃手法や業務上の注意点、問題発生時の初動対応など、実務に必要な知識を伝えましょう。脅威や攻撃手法は常に変化するため、セキュリティ教育は定期的に実施し、知識をアップデートすることが大切です。
特に、近年は生成AIの技術進歩により、「日本語の不自然さで不審なメールを見抜く」といった対処法が通用しにくくなっています。少しでも違和感があれば送信元へ電話で確認するなど、時代の変化に合わせた慎重な対応を呼びかけましょう。
対策③取引先・関連会社への啓蒙
サプライチェーン攻撃を防ぐためには、自社の対策だけでは不十分です。取引先や関連会社に対する啓蒙も行いましょう。セキュリティ対策の重要性をサプライチェーン上の関連企業にも共有し、一定の基準を満たしてもらうよう働きかける必要があります。
特に、複数企業が連携する際のリスクを減らすため、サプライチェーン全体で共通ルールを整備することが重要です。情報共有の方法や管理手順、出向時や外部委託時の対応など、想定されるリスクを事前に洗い出し、抜け漏れなく対策しておくと良いでしょう。
また、万が一取引先が被害に遭った際に、供給網が途絶えないかといったBCPの観点からも、取引先の体制を確認しておくことが望まれます。
対策④脆弱性診断によるセキュリティ強化
自社のシステムに脆弱性(セキュリティ上の弱点)があると、攻撃者の侵入口となる恐れがあります。そのため、脆弱性診断を実施し、システムの脆弱性を洗い出しましょう。
脆弱性診断には、専門家が疑似攻撃を行って検証する方法と、専用ツールで自動的にチェックする方法があります。
脅威は常に変化するため、脆弱性診断は一度きりではなく定期的に行いましょう。継続的に診断することで、攻撃者に狙われやすい箇所を早期に把握し、迅速に修正できます。
4. サプライチェーン攻撃対策に取り組む際のポイント
サプライチェーン攻撃の対策を進めるにあたり、何から手をつければよいか迷う担当者もいるでしょう。ここでは、対策に取り組む際のポイントを2つご紹介します。
ポイント①ガイドラインやマニュアルを有効活用する
公的機関が公開しているガイドラインやマニュアルは、セキュリティ対策の指針や具体的なルールを決めるうえで有用です。
たとえば、「サイバーセキュリティ経営ガイドライン」には、経営者が認識すべき原則がまとめられています。また、「実務者のためのサプライチェーンセキュリティ手引書」を参照すれば、現場レベルでの実践的な手順を把握できます。
こうしたガイドラインやマニュアルを有効活用し、効率的かつ効果的に対策を進めましょう。
ポイント②外部の専門家やサービスを活用する
高度化するサイバー攻撃に対し、自社の人材だけでは対応しきれないケースも少なくありません。自社の状況によっては、外部の専門家やサービスを活用しましょう。
特にシステムの脆弱性診断は、豊富な知識や経験を持つ専門家に依頼することが最も確実な選択肢です。一定のコストは発生しますが、万が一の事故による信用失墜や損害を考えれば、十分に価値ある投資といえます。
弊社では、専門家による調査と専用ツールの効率性を組み合わせた脆弱性診断サービスを提供しています。脆弱性を発見した後の対応についてもサポートが可能です。自社システムのセキュリティを確実に強化したい場合は、ぜひご活用ください。
5. まとめ
サプライチェーン攻撃とは、サプライチェーン上の関連企業を足がかりに、標的企業へ侵入を試みる攻撃手法です。規模の大小に関わらず、サプライチェーンの一部である以上、あらゆる企業が攻撃の当事者になるリスクを抱えています。
特に、セキュリティ対策が手薄な中小企業は、最初の侵入口として狙われやすいのが現実です。被害の連鎖を食い止めるためには、企業規模を問わず、当事者意識を持った対策が不可欠です。
サプライチェーン攻撃の対策に取り組む際には、本稿の内容をぜひ参考にしてください。
