中小企業こそ意識したい!サプライチェーン攻撃のリスクと対策



サプライチェーン攻撃をご存知でしょうか?IPA(独立行政法人情報処理推進機構)発表の「情報セキュリティ10大脅威 2019」で、初ランクインで4位となった注目のサイバー攻撃手法です。


系列企業や仕入れ先、販売網といったビジネスパートナーを経由して仕掛けられる攻撃であり、これらサプライチェーン企業全体での対策が求められます。特に攻撃者は、サプライチェーンの中でもセキュリティ対策が遅れがちな中小企業を狙うといわれています。

ここでは、サプライチェーン攻撃の概要、リスク、事例等を解説した上で、狙われやすいといわれる中小企業での対策について述べます。



サプライチェーン攻撃とは


そもそも「サプライチェーン」とはどういったものでしょうか?

「サプライチェーン」は、原料や部品の調達から、生産、物流、販売等、商品が消費者に渡るまでの全プロセスの連鎖のことをいいます。一般的に製造業を中心としたモノの供給の流れをイメージする方が多いと思いますが、この記事で述べるサプライチェーンは、一つのビジネスの中で取引を持つ複数企業の連鎖と広く捉えてください。


そして、「サプライチェーン攻撃」とは、 セキュリティ対策が厳しいターゲット企業への侵入や攻撃を最終目的とし、その会社と取引を持つセキュリティが脆弱な企業を足がかりにして、情報窃取等の攻撃を行う手法のことを指します。


攻撃者は、まずセキュリティ対策が手薄なターゲット企業の取引先に侵入し、マルウェアなど悪意あるプログラムを仕込みます。その後、メールや業務システム、納品物等を経由して、ターゲット企業へマルウェアを侵入させて攻撃する等のプロセスを経て実行されます。


様々なサプライチェーンリスク




実際にサプライチェーン攻撃におけるリスクには、どのようなものがあるのでしょうか?

IPAでは、サプライチェーンリスクとして以下のものを掲げています。

  • ① 内部不正・不正アクセスによる委託先からの情報流出

  • ② 委託先からの納品物にマルウェアが混入

  • ③ 委託元・委託先からのサイバー攻撃メール

  • ④ 調達したソフトウェア・オープンソースソフトウェアの脆弱性による事故

  • ⑤ システム運用委託先(クラウド、IoTシステム等)における停止事故・情報流出・情報消滅・乗っ取り

出典:IPA(2019年5月)「サプライチェーンのセキュリティ脅威に備える」


いずれのリスクもサプライチェーン企業における業務プロセス連鎖を通じて発生するものです。


委託元と委託先が受ける攻撃パターンから見た場合、以下のようなケースに分類できます。

① 委託先踏み台型

委託先企業の脆弱性が狙われて踏み台とされ、委託先企業の持つリソースが使われて委託元企業が攻撃を受けるケース。

踏み台とされた結果、 委託元企業に対してマルウェアを含んだメールでの攻撃が行われる、委託先から窃取された秘密情報によって委託元企業が攻撃される等がこれにあたります。

② ソフト埋め込み型(ソフトウェアサプライチェーン攻撃)

委託先(販売元)の納品物(ソフト)に脆弱性が埋め込まれ、これを受け取った委託元(購入先)が攻撃を受けるケース。

信頼されている製品に脆弱性が埋め込まれるようなケースでは、発見が困難な上に被害が大きくなりやすい傾向があります。

③ 委託先情報攻撃型

委託元から委託先へ個人情報等の重要情報を提示していた場合に、委託先企業の脆弱性が攻撃され、情報が窃取・漏えいするケース。

委託先のまた先の再委託先などまで情報が渡っていた場合は、委託元からのリスク把握がより困難になります。


サプライチェーン攻撃の事例



では、実際にサプライチェーン攻撃を受けた事例を紹介します。

ロッキード・マーティンの事例

サプライチェーン攻撃の事例として、2011年に発生したロッキード・マーティン社の事例は非常に有名です。ロッキード・マーティン社は、アメリカの航空機や宇宙船の開発製造を行う会社であり、世界最大の軍需企業です。当然、ロッキード・マーティン社自体には、厳重なセキュリティ対策が施されていたと思われます。

そこで攻撃者は、ロッキード・マーティン社を狙うため、セキュリティ企業であるRSA Security社の従業員宛てに標的型攻撃メールを送付。従業員が添付のExcel をクリックすることでバックドアが作成され、そこから侵入した攻撃者は、より権限の高いアカウント情報を収集。最終的にターゲットサーバから窃取した「Secure ID」を使ってロッキード・マーティン社への不正アクセスを可能にしました。

前述の分類では、「① 委託先踏み台型」にあたります。

MeDoc税務会計ソフトの事例(ランサムウェア NotPetya)

2017年6月、ウクライナのソフトウェア企業MeDocが提供する税務会計ソフトの更新プログラムが攻撃者に改ざんされたものです。攻撃者はベンダーのアップデートサーバに侵入し、更新プログラムの中にランサムウェアであるNotPetyaが埋め込まれ拡散しました。

アップデート自体は正規品の更新プログラム であるため 疑う余地がなく、被害はこの税務会計ソフトを使っているウクライナの企業 や取引先を通して全ヨーロッパに広がりました。

ソフトウェアサプライチェーン攻撃の代表的な手法であり、前述の分類では、「② ソフト埋め込み型」にあたります。

男子プロスポーツ法人の事例

国内のある男子プロスポーツ法人で2017年4月に公表された事例です。クレジットカード情報等を含む約15万件の個人情報が流出した可能性があり、カードの不正利用による被害も報告されています。

委託元法人から、委託先企業を経て、Webサーバ およびデータの管理運用を任されていた再委託先企業において、WEBサーバの脆弱性を狙われて個人情報が窃取されたために起こりました。

前述の分類では、「③ 委託先情報攻撃型」にあたります。


サプライチェーン攻撃の留意すべきポイント


前述のサプライチェーン攻撃のリスクや事例からもわかるように、サプライチェーン攻撃では、以下のような留意すべきポイントがあります。

① 弱点が狙われる

サプライチェーンの企業群の中でも、厳重に対策されているターゲット企業は直接狙わず、セキュリティ対策の手薄な企業が狙われます。

② 思い込みを突かれる

攻撃者は、「付き合いのある企業や、使い慣れた製品なので大丈夫」という思い込みのスキを突いてきます。

③ 自社だけではサプライチェーンの把握が困難

ビジネスの多様化やグローバリズムの拡大に伴って、サプライチェーンはより大きく複雑になりつつあります。再委託先等を含めて一つの企業がサプライチェーンの全てを管理することは難しくなってきており、自社が中心的な委託元であった場合でも、自社のセキュリティ対策だけではサプライチェーン攻撃を防ぎきれないことがわかります。サプライチェーン攻撃に対しては、各社の足並みを揃えたセキュリティ対策が求められます。

④ 被害者が加害者へ

情報漏えいやシステム事故等でサプライチェーン攻撃の踏み台にされた場合に最も恐ろしいのが、攻撃された企業は被害者でありながらも、加害者となってしまう点でしょう。セキュリティインシデントが発生してから対応していたのでは遅く、情報漏えいによる信用低下や金銭面で多大な損害を被ってしまいます。適切なセキュリティ対策を行うことが大切です。


中小企業におけるサプライチェーン攻撃への対策


ここまで述べてきたようにサプライチェーンの攻撃者は、セキュリティ対策の手薄な企業を狙ってきます。中小企業はセキュリティ対策が十分ではない企業も多く、ターゲットになりやすいといえます。

実際に大阪商工会議所が中堅・大企業を対象に行った調査では、4社に1社の企業が「取引先の中小企業が受けたサイバー攻撃の影響があった」と回答しており、サイバー攻撃が身近まで迫っていることを明白にする結果になりました。


出典:大阪商工会議所(2019/7/3)「平成30年度中小企業に対するサイバー攻撃実情調査(報告)」


繰り返しになりますが、サプライチェーン攻撃は非常に身近な攻撃です。「自分の会社は大丈夫だろう」、「うちが攻撃されることはないだろう」という意識が、結果として重大なリスクを招く危険性があるという認識が重要です。


では、中小企業は、サプライチェーン攻撃対策として 、何から取り組めばよいのでしょうか?

サプライチェーン攻撃といっても、最初に攻撃される企業にとっては、社内の脆弱性を突いてくるサイバー攻撃と基本的に同じ対策が求められます。

確かにサイバー攻撃には非常に高度なものもありますが、基本的なセキュリティ対策をしっかり進めることで、かなりのケースを防御することができます。


まず、中小企業の全般的なセキュリティ対策については、以下のガイドラインが詳しいのでここにあげておきます。
IPA(2019/3/19)「中小企業の情報セキュリティ対策ガイドライン第3版」


そしてここでは、サプライチェーン攻撃対策の中でも、最初に必ず取り組みたい点を以下にまとめました。

① 委託契約時の重要情報の明確化と取り扱いを規定

まず契約時に重要な情報を明確にして、どのように取り扱うかを決めることが大切です。攻撃を受けた場合の発覚後の報告など、事後の対策を事前に準備しておくことも重要です。

② 該当情報を管理するドメインを明確にして運用する

先ほどの重要情報は、定められたドメイン内に留め、 ここでは特に、扱う場所・人・IT情報機器等を明確にして運用管理し、情報漏えいリスクを回避しなければなりません。個人利用の持ち込み端末やUSB等、脆弱性のあるIT機器は、この重要情報のドメインに持ち込まないようにするべきです。

③ 上記ドメイン内での情報セキュリティの徹底

前項②で定義したドメイン内での情報セキュリティ運用については、先に述べた「中小企業の情報セキュリティ対策ガイドライン」にある「情報セキュリティ5か条」の徹底を図りましょう。

  • OSやソフトウェアは常に最新の状態にしよう!

  • ウィルス対策ソフトを導入しよう!

  • パスワードを強化しよう!

  • 共有設定を見直そう!

  • 脅威や攻撃の手口を知ろう!

出典:IPA(2019/3/19)「情報セキュリティ5か条」


まとめ


サプライチェーン攻撃は、セキュリティ対策が手薄な中小企業を攻撃し、その中小企業を経由してセキュリティ対策が強固な大企業などへ侵入・攻撃するサイバー攻撃の手法です。
意図せず自社が侵入経路となってしまうと、ビジネスにも大きな影響を与えてしまいます。セキュリティの脆弱性を放置して攻撃されてしまった場合、甚大な被害に加え、社会的な信頼も失いかねません。
手薄であると感じたならば、まず基本的なセキュリティ対策を確実に進めましょう。



iNetSec SFは、セキュリティ対策の第一歩をサポート

PFUが提供するiNetSec SFは、以下のような基本的なセキュリティ基盤を提供し、対策の第一歩をサポートします。

① 社内ネットワークの見える化

iNetSec SFを社内ネットワークに接続するだけで、接続されているIT機器をリアルタイムに見える化、把握することが可能。

② リスクのある端末をネットワークから遮断

持ち込み端末やセキュリティパッチのあたっていない脆弱な端末をネットワークから自動遮断して、クリーンなIT環境を維持します。


サプライチェーン攻撃に対しても 、まず基本のセキュリティ対策が重要です。


「iNetSec SF」の詳細はこちら
前の記事へ
次の記事へ