サプライチェーン攻撃
読み方:サプライチェーンコウゲキ
サプライチェーン攻撃とは
多くのサイバー攻撃が大企業や有名企業ばかりを狙うのに対し、サプライチェーン攻撃とは、それら企業の取引先や関連企業である中小企業を踏み台にして、目的の企業に攻撃していくサイバー攻撃です。一般的に、大企業や有名企業はセキュリティ対策が万全であり直接は狙いにくいため、セキュリティ対策が比較的甘い取引先や関連企業の中小企業に攻撃して、そこから本命の大企業や有名企業に侵入していくやり口をしています。
サプライチェーン攻撃の対策
まずは、OSやファイルを常に最新の状態にしておくことに、ウィルス対策ソフトの導入、およびパスワードは長く複雑にして、各種SNSサイトなどで使い回さないことが基本として挙げられます。
その他にはファイルなどの共有設定を見直し、管理をきちんとすることに加え、社員がネットセキュリティに関心を持つように教育することなども重要となっていきます。
サプライチェーン攻撃の種類
- ソフトウェアサプライチェーン攻撃
本命の大企業で使用されているソフトウェア製品や更新プログラムなどにマルウェアを仕組む攻撃手法です。
- 取引先や関連企業経由のサプライチェーン攻撃
セキュリティ対策が大企業ほど万全でなく、比較的手薄な取引先や関連企業を経由して、本命の大企業にサイバー攻撃を行います。
サプライチェーン攻撃の事例
- ランサムウェアWannaCryの被害
2017年に世界150ヵ国で未曽有の世界的なサイバー攻撃が起こり、多くの国が甚大な被害を受けました。例えばイギリスでは国民保健サービスがサイバー攻撃を受け、手術の中止や診察のキャンセルが相次ぎました。そのせいで、緊急搬送された患者を受け入れられないほどの被害を受けてしまいました。主な感染経路はメールでファイルを開くとそのままパソコンで自動複製や自動送信がされ感染は広がりました。そのままランサムウェアの特徴通り、作業不能状態に陥ることやデータの暗号化、改ざんされ、お金を請求する警告文が出てしまうものでした。このサイバー攻撃は海外中心だったものの、国内でもサプライチェーン攻撃により、被害が連鎖してしまう事態になりました。
- 米国の某軍需産業企業の被害
軍需産業企業A社に、軍需情報窃取を目的とした不正アクセスが起こりました。攻撃者はプロバイダー会社から盗み出したアカウント情報により、A社へ攻撃を仕掛けました。当初はクラウドプロバイダーが管理しているユーザアカウントの窃取が目的だと思われていました。しかし、攻撃者の本当の狙いはA社の持つ情報でした。攻撃者はその後、窃取したA社アカウントで不正アクセスを仕掛けました。このようにセキュリティ強度が非常に高い大企業に直接攻撃するのではなく、攻撃の通りやすい関連企業を踏み台にしていくやり方をサプライチェーン攻撃といいます。
- 税務会計ソフトの事例
2017年にヨーロッパの某国のソフトウェアベンダ社が提供している同ソフトの更新プログラムを、第三者に改ざんされてしまいました。企業が行うアップデートであるため、疑われることなくマルウェアはそのまま容易に侵入し、同国だけではなく取引先を通じて全ヨーロッパに被害は拡散しました。