サプライチェーン攻撃とは？中小企業を入り口に大手企業を狙うサイバー攻撃を詳しく解説

近年、大手の企業では情報セキュリティ対策を徹底しており、サイバー犯罪者の攻撃から身を守ることが必須になっています。サイバー犯罪者側もターゲットとしては価値の高い情報を持つ大手企業を狙いたいのですが、守りが堅く手が出しづらくなっています。そこで目を付けたのが、大手企業とサプライチェーンを組む中小企業をターゲットとした「サプライチェーン攻撃」という手法です。

中小企業にとって、サプライチェーン攻撃の恐ろしいところは被害者となり得ると同時に加害者にもなり得てしまうところでしょう。サイバー攻撃が発端となり、ビジネス上の重要なパートナーである企業との関係にダメージを与えることにもなりかねません。

本ページではサプライチェーン攻撃について、概要、事例、対策をご紹介します。

また、サプライチェーン攻撃を始めとした代表的なサイバー攻撃を、まとめて解説した資料もご用意しています。こちらもぜひご覧ください。

サプライチェーン攻撃とは
サプライチェーン攻撃の事例
サプライチェーン攻撃に対する公的機関の動向
- 政府機関（官公庁）
- IPA（独立行政法人情報処理推進機構）
サプライチェーン攻撃への対策方法とは
- 一般に行われる情報セキュリティ対策の徹底が根本対策
- WAF

サプライチェーン攻撃とは

サプライチェーンとは

まず、「サプライチェーン」という言葉の意味を確認します。サプライチェーンとは、商品・製品が作られて消費者に届くまでの、原材料の調達、製造、在庫管理、出荷、配送という一連の流れのことです。日本では製造業や物流業の分野でよく聞くキーワードです。また、サプライチェーンを管理することで、スムーズなビジネスの流れを作り効率化するシステムをSCM（サプライチェーンマネジメント）システムと呼びます。

例えば、自動車を作って顧客に販売することを考えると、サプライチェーンの中には自動車の部品を作る企業、自動車を組み立てる企業、自動車の販売を行う販売店、自動車の出荷を行う企業などが存在します。

サプライチェーン攻撃の概要

サプライチェーン攻撃とは、商品・製品のサプライチェーンに含まれる中小企業をターゲットにしてサイバー攻撃の入り口を作り、最終的には大手企業への攻撃を行う攻撃方法です。サプライチェーンを利用した攻撃方法は、様々な手口が存在しており、それらの総称がサプライチェーン攻撃と呼ばれています。

特定の手口があるわけではなく、サプライチェーンという関係を利用していることがその共通項です。以下のような事例がサプライチェーン攻撃にあたります。

業務委託先に預けたデータを狙った攻撃
Webシステムを業務委託で作成した際の脆弱性を突いた攻撃
グループ企業の社員によるデータの情報漏えい
システムの管理業務委託先によるシステムの悪用
フィッシングによりメールアドレス窃取し、サプライチェーン相手に対する騙り行為

なお、信頼できる製造元のソフトウェアに悪意のあるプログラムを紛れ込ませて、多数の相手を攻撃する方法もサプライチェーン攻撃と呼ばれますが、本項での対象ではないため説明は割愛します。

サプライチェーン攻撃の恐ろしいところ

サプライチェーン攻撃の恐ろしいところは、中小企業の立場からすれば、サイバー攻撃の被害者にもなり得ますが、同時に大手企業から見た場合に加害者の一部にもなり得えてしまうことです。しかも、相手が自社にとって大きな取引先の場合、信頼関係に大きなダメージを与える事にもなりかねません。

また、セキュリティ対策の進んでいない中小企業を狙うサイバー攻撃であることも見逃せないポイントです。日本の企業の9割は中小企業といわれており、これまではサイバー攻撃の効率的観点から除外されていましたが、サプライチェーン攻撃ではその隙を狙っています。

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）の「インシデント損害額調査レポート　2021年版」によると、自社で管理している個人情報漏えいの場合の損害賠償額は1名あたり28,308円です。サプライチェーン攻撃で想定される、他社から委託されている個人情報の漏えい時には、この基準よりも高くなる場合もあり、流出件数が数千人単位ならば数千万円～数億円という損害賠償額となると想定できます。

さらに他企業の機密情報の漏えいの場合は、より大きな損害賠償額となり、数百億円規模の訴訟が提起された事例も存在しています。

参考：特定非営利活動法人日本ネットワークセキュリティ協会「インシデント損害額調査レポート　2021年版」https://www.jnsa.org/result/incidentdamage/data/incidentdamage_20210910.pdf

サプライチェーン攻撃の事例

実際のサプライチェーン攻撃の事例を、IPA（独立行政法人情報処理推進機構）の資料より紹介します

プロスポーツ法人の関連Webサイトからの個人情報漏えい

2017年、プロスポーツ法人の業務委託先が、再委託したWebシステム開発・運用において、Webサイトの脆弱性(Apache Struts2)を突いた攻撃を受けました。この攻撃により、クレジットカード情報を含む最大15万人以上の個人情報が流出した可能性があります。また、関連したクレジットカードの不正利用の被害額が、報告されただけでも378件、約880万円に上ります。

業務委託で構築したWebシステムが脆弱性を突いたサイバー攻撃を受け、委託元から損害賠償を請求

2014年、通信販売用サイトを業務委託にて開発依頼したものの、脆弱性を突いた攻撃（SQL インジェクション攻撃）が行われ、クレジットカード情報を含む消費者の個人情報が略取された問題が発生しました。その後、業務委託元の企業から個人情報漏えい対応費用や原因究明のための調査費用、売り上げの減少に対する損害賠償として、約1億円の損害賠償請求を受けました。最終的には、裁判所に約3230万円分が認められ、相殺分を除いた約2260万円の支払い命令を受ける事態にまでなってしまっています。

このように、サプライチェーン攻撃は、委託元、委託先の間でのトラブルの種にもなり、最悪のケースでは裁判沙汰にも繋がりえます。中小企業がサプライチェーン攻撃を受けた場合のリスクを示す事例といえます。

金融機関ATM管理業務の委託先社員による不正出金

業務委託先や関連企業による内部不正もサプライチェーンによるセキュリティ攻撃の一つに数えられます。

2014年に金融機関のATM管理業務の委託先企業（再委託）の社員が逮捕されました。この社員はATM管理業務で管理権限を持つ立場であり、それを悪用して個人情報の略取、キャッシュカードの偽装、不正出金を行ったという問題です。サプライチェーン上の管理の重要性および権限の集中などの問題を浮き上がらせた事例です。

参考：IPA（独立行政法人情報処理推進機構）「サプライチェーンのセキュリティ脅威に備える- 今何がおこっているのか、あなたは何をすればいいのか -」https://www.ipa.go.jp/files/000073868.pdf

サプライチェーン攻撃に対する公的機関の動向

政府機関（官公庁）

総務省は令和2年版情報通信白書にて、5G時代の新たなセキュリティリスクとしてサプライチェーンリスクをあげています。IT、デジタル技術の活用による業務の変革により生まれた新たなリスクとしており、企業や国民に向けて注意喚起を行うものです。

さらには、「IoTサプライチェーンのセキュリティ対策セミナー」などの、企業に向けての対策を示す活動も行っています。

参考URL：総務省「令和2年版情報通信白書」
総務省「「IoTサプライチェーンのセキュリティ対策セミナー」を開催」

2020年11月、主要経済団体が中心となり産業界が一体となってサプライチェーン全体でのサイバーセキュリティ対策の推進を行うことを目的に、サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）が設立されました。経済産業省はこのコンソーシアムにオブザーバーとして参加し、産業界のサイバーセキュリティ強化の取り組みを支援しています。

また、サイバー攻撃に関する注意喚起を経営者に向けて発しています。

参考URL：経済産業省「サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）が設立されます」
経済産業省「最近のサイバー攻撃の状況を踏まえ、経営者の皆様へサイバーセキュリティの取組の強化に関する注意喚起を行います」

IPA（独立行政法人情報処理推進機構）

国内のIT施策の一端を担う政策実施機関として、IPA（独立行政法人情報処理推進機構）は活動しています。その活動の一環として、毎年発表しているセキュリティ10大脅威において、2019年から2021年まで3年連続で「サプライチェーンの弱点を悪用した攻撃」がランクインしています。IPAはサプライチェーン攻撃への注意喚起を強く訴えかけています。

参考：IPA（独立行政法人情報処理推進機構）「情報セキュリティ10大脅威 2021」
IPA（独立行政法人情報処理推進機構）「情報セキュリティ10大脅威 2020」
IPA（独立行政法人情報処理推進機構）「情報セキュリティ10大脅威 2019」

また、サプライチェーンに向けた対策として、下記の資料などで対策を広める活動もしています。サプライチェーンを抱える大手企業や委託先となる中小企業のとるべき対策を示してくれるものです。具体的な対策としては、以下を挙げています。