サプライチェーン攻撃とは?中小企業を入り口に大手企業を狙うサイバー攻撃を詳しく解説

サプライチェーン攻撃とは?中小企業を入り口に大手企業を狙うサイバー攻撃を詳しく解説

近年、大手の企業では情報セキュリティ対策を徹底しており、サイバー犯罪者の攻撃から身を守ることが必須になっています。サイバー犯罪者側もターゲットとしては価値の高い情報を持つ大手企業を狙いたいのですが、守りが堅く手が出しづらくなっています。そこで目を付けたのが、大手企業とサプライチェーンを組む中小企業をターゲットとした「サプライチェーン攻撃」という手法です。

中小企業にとって、サプライチェーン攻撃の恐ろしいところは被害者となり得ると同時に加害者にもなり得てしまうところでしょう。サイバー攻撃が発端となり、ビジネス上の重要なパートナーである企業との関係にダメージを与えることにもなりかねません。

本ページではサプライチェーン攻撃について、概要、事例、対策をご紹介します。

サプライチェーン攻撃とは

サプライチェーンとは

まず、「サプライチェーン」という言葉の意味を確認します。サプライチェーンとは、商品・製品が作られて消費者に届くまでの、原材料の調達、製造、在庫管理、出荷、配送という一連の流れのことです。日本では製造業や物流業の分野でよく聞くキーワードです。また、サプライチェーンを管理することで、スムーズなビジネスの流れを作り効率化するシステムをSCM(サプライチェーンマネジメント)システムと呼びます。

例えば、自動車を作って顧客に販売することを考えると、サプライチェーンの中には自動車の部品を作る企業、自動車を組み立てる企業、自動車の販売を行う販売店、自動車の出荷を行う企業などが存在します。

サプライチェーン攻撃の概要

サプライチェーン攻撃とは、商品・製品のサプライチェーンに含まれる中小企業をターゲットにしてサイバー攻撃の入り口を作り、最終的には大手企業への攻撃を行う攻撃方法です。サプライチェーンを利用した攻撃方法は、様々な手口が存在しており、それらの総称がサプライチェーン攻撃と呼ばれています。

特定の手口があるわけではなく、サプライチェーンという関係を利用していることがその共通項です。以下のような事例がサプライチェーン攻撃にあたります。

  • 業務委託先に預けたデータを狙った攻撃
  • Webシステムを業務委託で作成した際の脆弱性を突いた攻撃
  • グループ企業の社員によるデータの情報漏えい
  • システムの管理業務委託先によるシステムの悪用
  • フィッシングによりメールアドレス窃取し、サプライチェーン相手に対する騙り行為

なお、信頼できる製造元のソフトウェアに悪意のあるプログラムを紛れ込ませて、多数の相手を攻撃する方法もサプライチェーン攻撃と呼ばれますが、本項での対象ではないため説明は割愛します。

サプライチェーン攻撃の恐ろしいところ

サプライチェーン攻撃の恐ろしいところは、中小企業の立場からすれば、サイバー攻撃の被害者にもなり得ますが、同時に大手企業から見た場合に加害者の一部にもなり得えてしまうことです。しかも、相手が自社にとって大きな取引先の場合、信頼関係に大きなダメージを与える事にもなりかねません。

また、セキュリティ対策の進んでいない中小企業を狙うサイバー攻撃であることも見逃せないポイントです。日本の企業の9割は中小企業といわれており、これまではサイバー攻撃の効率的観点から除外されていましたが、サプライチェーン攻撃ではその隙を狙っています。

特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)の「インシデント損害額調査レポート 2021年版」によると、自社で管理している個人情報漏えいの場合の損害賠償額は1名あたり28,308円です。サプライチェーン攻撃で想定される、他社から委託されている個人情報の漏えい時には、この基準よりも高くなる場合もあり、流出件数が数千人単位ならば数千万円~数億円という損害賠償額となると想定できます。

さらに他企業の機密情報の漏えいの場合は、より大きな損害賠償額となり、数百億円規模の訴訟が提起された事例も存在しています。

参考:特定非営利活動法人 日本ネットワークセキュリティ協会「インシデント損害額調査レポート 2021年版」https://www.jnsa.org/result/incidentdamage/data/incidentdamage_20210910.pdf

サプライチェーン攻撃の事例

実際のサプライチェーン攻撃の事例を、IPA(独立行政法人情報処理推進機構)の資料より紹介します

プロスポーツ法人の関連Webサイトからの個人情報漏えい

2017年、プロスポーツ法人の業務委託先が、再委託したWebシステム開発・運用において、Webサイトの脆弱性(Apache Struts2)を突いた攻撃を受けました。この攻撃により、クレジットカード情報を含む最大15万人以上の個人情報が流出した可能性があります。また、関連したクレジットカードの不正利用の被害額が、報告されただけでも378件、約880万円に上ります。

業務委託で構築したWebシステムが脆弱性を突いたサイバー攻撃を受け、委託元から損害賠償を請求

2014年、通信販売用サイトを業務委託にて開発依頼したものの、脆弱性を突いた攻撃(SQL インジェクション攻撃)が行われ、クレジットカード情報を含む消費者の個人情報が略取された問題が発生しました。その後、業務委託元の企業から個人情報漏えい対応費用や原因究明のための調査費用、売り上げの減少に対する損害賠償として、約1億円の損害賠償請求を受けました。最終的には、裁判所に約3230万円分が認められ、相殺分を除いた約2260万円の支払い命令を受ける事態にまでなってしまっています。

このように、サプライチェーン攻撃は、委託元、委託先の間でのトラブルの種にもなり、最悪のケースでは裁判沙汰にも繋がりえます。中小企業がサプライチェーン攻撃を受けた場合のリスクを示す事例といえます。

金融機関ATM管理業務の委託先社員による不正出金

業務委託先や関連企業による内部不正もサプライチェーンによるセキュリティ攻撃の一つに数えられます。

2014年に金融機関のATM管理業務の委託先企業(再委託)の社員が逮捕されました。この社員はATM管理業務で管理権限を持つ立場であり、それを悪用して個人情報の略取、キャッシュカードの偽装、不正出金を行ったという問題です。サプライチェーン上の管理の重要性および権限の集中などの問題を浮き上がらせた事例です。

参考:IPA(独立行政法人情報処理推進機構)「サプライチェーンのセキュリティ脅威に備える- 今何がおこっているのか、あなたは何をすればいいのか -」https://www.ipa.go.jp/files/000073868.pdf

サプライチェーン攻撃に対する公的機関の動向

政府機関(官公庁)

総務省は令和2年版情報通信白書にて、5G時代の新たなセキュリティリスクとしてサプライチェーンリスクをあげています。IT、デジタル技術の活用による業務の変革により生まれた新たなリスクとしており、企業や国民に向けて注意喚起を行うものです。

さらには、「IoTサプライチェーンのセキュリティ対策セミナー」などの、企業に向けての対策を示す活動も行っています。

参考URL:総務省「令和2年版情報通信白書」
総務省「「IoTサプライチェーンのセキュリティ対策セミナー」を開催」

 

2020年11月、主要経済団体が中心となり産業界が一体となってサプライチェーン全体でのサイバーセキュリティ対策の推進を行うことを目的に、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されました。経済産業省はこのコンソーシアムにオブザーバーとして参加し、産業界のサイバーセキュリティ強化の取り組みを支援しています。

また、サイバー攻撃に関する注意喚起を経営者に向けて発しています。

参考URL:経済産業省「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます」
経済産業省「最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います」

IPA(独立行政法人情報処理推進機構)

国内のIT施策の一端を担う政策実施機関として、IPA(独立行政法人情報処理推進機構)は活動しています。その活動の一環として、毎年発表しているセキュリティ10大脅威において、2019年から2021年まで3年連続で「サプライチェーンの弱点を悪用した攻撃」がランクインしています。IPAはサプライチェーン攻撃への注意喚起を強く訴えかけています。

参考:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2021」
IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2020」
IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2019」

 

また、サプライチェーンに向けた対策として、下記の資料などで対策を広める活動もしています。サプライチェーンを抱える大手企業や委託先となる中小企業のとるべき対策を示してくれるものです。具体的な対策としては、以下を挙げています。

  • セキュリティの基本的な対策の徹底。
  • サプライチェーンを組織する大手の企業から横断的なセキュリティ対策の実施
  • 中小企業は委託元企業の信頼を得られる情報セキュリティ対策を行う

参考:IPA(独立行政法人情報処理推進機構)「サプライチェーンのセキュリティ脅威に備える- 今何がおこっているのか、あなたは何をすればいいのか -」
IPA(独立行政法人情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」

サプライチェーン攻撃への対策方法とは

一般に行われる情報セキュリティ対策の徹底が根本対策

サプライチェーン攻撃は従来から存在するサイバー攻撃に加えて、企業間の繋がりであるサプライチェーンを利用して被害の拡大を図るものです。まずはIPAも対策としてあげている通り、従来からのサイバー攻撃を防ぐべく、一般的に行われる情報セキュリティ対策の徹底が重要です。

  • セキュリティアップデートの適用
  • ウイルス対策ソフトの利用と最新化
  • ITリテラシーを高め、不審なWebサイトへのアクセスを避ける。
  • 不審なeメールを開封しない、添付ファイルを実行しない。

また、組織や制度面でのリテラシーの向上への取り組みも一つの重要なポイントです。グループ内部で行わる犯行を押さえるには、それを防ぐ仕組みこそが重要となってきます。

WAF

サイバー攻撃からWebアプリケーションを守る手段として有効なのがWAF(ワフ / Web Application Firewall)です。WAFは、一般的なファイアウォールでは守れないWebアプリケーション層の脆弱性を悪用したサイバー攻撃から保護するセキュリティ対策のひとつです。

近年ではWebサイトを持つ企業、団体に多く採用されるセキュリティ対策方法です。

本記事内事例ではStrutsというフレームワークの脆弱性やSQLインジェクションへの脆弱性が突かれており、これらを防ぐためにはWAFの利用が有効な手立てとなります。

WAFには、大きく分けて専用機器を設置するアプライアンス型やサーバにインストールするホスト型、SaaSとして利用するクラウド型の3種類がありますが、導入のしやすさと運用を考えるとクラウド型がおすすめです。

弊社サイバーセキュリティクラウドが開発・提供する「攻撃遮断くん」は、クラウド型WAFの中でも、導入社数・サイト数No.1を誇り、大手企業からベンチャーまで12,000サイトを超える導入実績があります。料金体系は、サブスクリプション型で月額1万円(税別)から利用可能です。

サプライチェーン攻撃の被害者にも加害者にもならないためには、各企業がセキュリティ体制の見直しを行い、不足している点は補強する必要があります。各種Webサイトの保護に有効な「攻撃遮断くん」をご利用ください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

「攻撃遮断くん」の
詳しい紹介資料はこちらから