サプライチェーン攻撃とは?特徴と対策、事例をわかりやすく解説

自社だけでなく関連企業や取引先企業にも甚大な被害をおよぼす危険性のある「サプライチェーン攻撃」。今回は年々脅威が増すサプライチェーン攻撃の手口や被害を受けないための有効な対策について具体的に解説します。また、日本国内の被害事例も紹介します。
- 目次
関連企業や取引先企業を踏み台にするサイバー攻撃、「サプライチェーン攻撃」
「サプライチェーン攻撃」とは、関連企業や取引先企業などを経由して攻撃をしかけるタイプのサイバー攻撃のことを指します。
「サプライチェーン」は製品やサービスの開発から最終消費者に届くまでの一連のつながりを鎖に例えた表現です。サプライチェーンには製造業者や流通業者などに加え、サーバーの維持管理など特定の業務の委託先など多数の企業などが含まれますが、そのうち比較的セキュリティが手薄な中小企業へまず侵入し、企業間のつながりを利用してターゲットとなる大企業などに侵入する手口の攻撃がサプライチェーン攻撃です。セキュリティの世界には「鎖の強度は一番弱い輪の強度で決まる」という「ウィーケストリンク(Weakest Link)」という言葉がありますが、まさにセキュリティの一番弱い企業を狙って鎖を破壊するタイプの攻撃といえるでしょう。
見知らぬ外部からの攻撃ではなく、普段からやり取りのある企業を通じて自社ネットワークに侵入されるため、ターゲットとなった企業が侵入に気付きにくいという特徴もあります。
近年、実際に日本国内の大手企業グループがサプライチェーン攻撃を受け製造ラインが数日停止するなどの被害が発生しており、すべての企業にとって対策が必須かつ急務となっています。
サプライチェーン攻撃の目的は主に3つ
サプライチェーン攻撃は主に次の3点を目的として行われます。
1つめは攻撃者が金銭を得る目的で機密情報の窃取を行うケースです。ターゲットとされた企業は情報漏えいなどの被害を受けることとなります。
2つめは攻撃者が金銭を得る目的で情報を人質として身代金を要求するケースです。事業継続に必要なデータをランサムウェア(身代金ウイルス)などを用いて利用不能にされたり、消去されたりするため、ターゲットとされた企業は事業の停止を余儀なくされます。
3つめはターゲット企業の事業停止や社会的信用の失墜の目的で情報の破棄・改ざんや漏えいを行うケースです。ターゲットとされた企業は、企業イメージの低下やセキュリティ対策の不備による信用の失墜などの被害を受けることとなります。
要対策!年々高まるサプライチェーン攻撃の脅威
IPA(独立行政法人 情報処理推進機構)が毎年公開している「情報セキュリティ10大脅威」によると、組織をターゲットとした攻撃として2019年にサプライチェーン攻撃が第4位に登場して以降、2020年~2021年は第4位、2022年は第3位、2023年~2024年は第2位と徐々に順位を上げ、現在では2019年~2020年には第1位であった「標的型攻撃による機密情報の窃取」を抜き、4年連続で第1位となっている「ランサムウェアによる被害」に次ぐ脅威となっています。
また、近年では特にOSS(Open Source Software、オープンソースソフトウェア)を使用した攻撃が増加しているという傾向があります。OSSはソースコードが公開されているため、自社のニーズに合わせて容易にカスタマイズできるなど利便性が高い反面、誰にでも修正できるため攻撃者が悪意あるコードを混入させてサプライチェーン攻撃に悪用するケースも相次いでいます。
(参考)IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威」
なぜ?サプライチェーン攻撃が増加する背景
サプライチェーン攻撃が増加する背景には、攻撃のターゲットとなるような大企業のサイバーセキュリティへの意識が高まり、それなりのコストをかけて対策していることがあります。一方、サプライチェーンを構成する中堅・中小企業の中にはセキュリティ対策にあまりコストをかけられない、そもそもセキュリティ対策部門がないなどの理由から、防御が手薄で狙いやすいところも存在します。
また、近年のテレワークの普及により外部から社内ネットワークにアクセスする機会が増えたこと、M&Aの活発化によりネットワークやデータの統廃合や再編の機会が増えたことなどの影響で、悪用される可能性のあるエンドポイント(侵入口)が増加したことも一因です。
サプライチェーン攻撃には、関連企業全体での対策が必須!
万一サプライチェーン攻撃を受けて自社に侵入された場合、その被害は自社にとどまらず、サプライチェーン内の関連企業全体に広がることとなります。特に被害がサプライチェーンの中核をなす大企業におよんだ場合には、自社の規模以上の大きな損失が生じる危険性があります。
また、適切なセキュリティ対策を行っていなかった場合には、経営責任・法的責任を問われ、取引停止や損害賠償に発展するなど、自社の事業継続にも大きな影響をおよぼすリスクがあります。
これまで「自社は規模が小さいからサイバー攻撃の対象になることはないし、従って大掛かりなセキュリティ対策は不要」と考えていた中堅・中小企業こそ、サプライチェーン攻撃のターゲットとなる可能性が高いといえます。今こそ「ウィーケストリンク」の考え方に則ったセキュリティ対策が求められているのです。
侵入経路は?サプライチェーン攻撃対策で注視すべき3つの手口
サプライチェーン攻撃に使用される侵入経路には、主に次の3点があります。
1. 関連会社を経由して、ターゲット企業へ侵入する
まずサプライチェーン内のセキュリティ対策の甘い関連企業に侵入し、そこからサプライチェーンのつながりを利用してターゲットとなる企業へ侵入する手口です。
「アイランドホッピング攻撃」「ビジネスサプライチェーン攻撃」、「グループサプライチェーン攻撃」などとも呼ばれ、一般的に「サプライチェーン攻撃」としてイメージされる手口です。
2. 関連会社へ侵入し、その企業が保有する機密情報を奪取する
セキュリティ対策の甘い関連企業へ侵入し、その企業が保有するターゲット企業の情報を盗み出す手口です。
セキュリティ対策が強固なターゲット企業に直接侵入しなくても、ターゲット企業がサプライチェーン内で共有している重要な機密情報が流出してしまうわけです。
3. ソフトウェア会社やサービスプロバイダーなどを経由し侵入する
まずはソフトウェア会社に侵入し、その会社が配布・販売しているソフトウェアにマルウェアを仕込みます。そしてそのソフトウェアを利用している企業に侵入する手口です。また、まずサービスプロバイダーに侵入し、そのソフトウェア・サービスを利用している企業に侵入するという手口もあります。
ターゲット企業への侵入を狙うサプライチェーン攻撃と区別するため、「ソフトウェアサプライチェーン攻撃」「サービスサプライチェーン攻撃」などと呼ばれることもあります。
近年では特に前述のOSSを利用した手口が増加しており、その場合にはターゲットとなる企業側での対策が難しいため、特に米国をはじめとする海外において懸念が高まっています。
また、ソフトウェア会社やサービスプロバイダーが保有している取引先の情報を直接盗み出すケースもあります。
日本国内におけるサプライチェーン攻撃の被害事例
サプライチェーン攻撃による被害は日本国内でも多数発生しています。そのうちの一部を紹介します。
事例1. 海外の子会社を経由したサイバー攻撃
2020年、ある大手電機メーカーが海外の子会社を経由したサプライチェーン攻撃を受けました。結果、取引先について8,000件以上の口座情報、900件以上の連絡先や個人名などの個人情報が流出しました。
侵入経路の特定や全容解明、そしてアクセス情報の更新やアクセス制御の強化などの対策には4ヶ月以上の期間を要しました。
事例2. 取引先企業への攻撃が、グループ全体の稼働停止へ発展
ある大手自動車メーカーでは、仕入れ先企業がマルウェア攻撃を受けて受発注システムが停止した影響により国内の全工場を停止する事態となりました。
自動車は1つの部品が足りなくても完成しないため、被害はサプライチェーン全体に及び、結果1万台以上の車両生産に影響が出ました。幸いにも代替措置を講じて翌日には生産を再開できましたが、一説には稼働停止のコストが500億円以上におよんだともいわれています。
事例3. 情報共有ツール経由で、顧客情報が相次ぎ流出
2021年、ある大手総合エレクトロニクスメーカーが開発した情報共有ツールがソフトウェアサプライチェーン攻撃を受け、同ツールを利用していた顧客の機密情報が相次いで流出しました。また、流出したアクセスデータを利用した不正アクセスも確認されました。
攻撃を受け、メーカーではサービスの提供を停止しましたが、信頼は低下。また攻撃に使用されたぜい弱性の特定や事後対応には約1年の期間を要しました。
サプライチェーン攻撃を防ぐためにできる「6つの対策」

このように自社の属するサプライチェーンに大きな被害をもたらすサプライチェーン攻撃ですが、自社から関連企業・取引先への被害、関連企業・取引先経由での自社への被害を防ぐための対策を6つ紹介します。なお、これらの対策はいずれかを実施すればよいのではなく、すべてを実施する必要があることに留意してください。
1. セキュアなネットワーク環境の構築
まずは自社のネットワークの安全性を高める必要があります。テレワークの実施によるエンドポイントの増加なども考慮し、セキュリティ性能の高いネットワーク環境を構築しましょう。セキュリティの強化を図る際には、ネットワーク機能とセキュリティ機能とを一元的に提供する「SASE」などのサービス導入も検討するとよいでしょう。
2. 最新のOS・ソフトウェアの使用
攻撃者は常にOSやソフトウェアの新たなぜい弱性を探っています。ぜい弱性が発見された場合にはセキュリティパッチなどの更新プログラムが公開されますから、使用するOS・ソフトウェアは常に最新の状態を保てるよう随時アップデートしましょう。古いバージョンのまま使用していると、マルウェアに感染するリスクが高くなります。
3. ウイルス対策ソフトやEPP/EDRの導入
マルウェアによるサイバー攻撃への対策の基本は、EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)です。
アンチウイルスソフトとも呼ばれるEPPはマルウェアへの感染を防ぐ働きを持ち、またEDRはEPPをすり抜けてマルウェアに感染した場合に検知や隔離などを行う働きを持ちます。すべての端末にEPPを導入し、常に稼働させるとともに定期的に定義ファイルを更新しましょう。その上でEPP/EDRを導入すればよりセキュリティを強化できます。
4. パスワードの複雑化
パスワードの漏えいにより不正アクセスを受けるケースも多く発生しています。
入力が簡単なパスワード、推測されやすいワードや数字のみのパスワードなどの使用は避けましょう。また、短いパスワードはブルートフォース攻撃(総当たり攻撃)により解析されるリスクがあります。全く関係のないフレーズを組み合わせたパスワードや、できるだけ長いパスワードなどを設定しましょう。
5. 社内教育の実施
いくらセキュアなネットワーク環境を構築しても、それを利用する従業員のセキュリティ意識が低いままでは、不用意に添付ファイルを開く、安全が確認されていないWebサイトにアクセスするなどのうかつな行動からマルウェアへの感染やパスワードの流出などが発生する危険性があります。
情報セキュリティ担当者が常に最新の情報を収集し、社内研修などを通じて従業員に周知できる体制を整えましょう。また、そうした情報を関連会社間で共有したり、サプライチェーン内の各社での教育に役立てたりすることも有益です。
6. サプライチェーン全体の状況把握と対策の徹底
サプライチェーン内の1社においてセキュリティ対策が不十分な場合、そこから自社から提供した重要な情報が流出してしまう危険性が生じます。
そのため、自社に留まらず、ビジネスパートナーやシステム管理などの委託先を含めたサプライチェーン全体のセキュリティ対策を徹底することが必要となります。
具体的には、取引先・委託先に対し「契約時にセキュリティ対策について確認する」「EDRの導入を求める」「定期的にセキュリティ対策状況の報告を受ける」などの対策が考えられます。また、システム管理などを委託する場合は、自社で対応する部分と外部に委託する部分とを切り分け、責任の所在を明確にしておきましょう。
自動車業界では、サプライチェーン攻撃を受けた教訓をもとに既にEDRの導入を含めたセキュリティガイドラインを制定しており、ガイドラインに即した対策を求められるケースが増加しています。
安全かつ快適なネットワーク環境を実現する「Secure Access Gateway」
サプライチェーン攻撃をはじめとするサイバー攻撃への有力な対策として、ゼロトラストの考え方にもとづいてネットワーク機能とセキュリティ機能を一元的に提供するSASEの導入があります。
NTTPCが提供するSASE、「Secure Access Gateway」は、テレワーク時など社外からのアクセスに対しても安全かつ快適なネットワーク環境を提供するとともに、高度なセキュリティシステムによりサイバー攻撃への対策を行います。ネットワークの一元管理による運用の効率化と、安全かつ快適なネットワーク環境の構築を両立できます。
例えばセキュリティ強化のためにサプライチェーン全体でのEDRの導入が決定し、自社で費用を負担することになった場合、できるかぎりコストを抑えたいところでしょう。「Secure Access Gateway」なら初期料金0円、月額税込500円/IDから導入可能です。コストを抑えながら早期にサプライチェーンの要求するレベルまでセキュリティを強化できます。
まとめ
今回はサプライチェーン内の関連企業や取引先企業などを経由して攻撃をしかける「サプライチェーン攻撃」について解説しました。
情報の窃取、身代金の要求、大手企業の信用失墜などを目的としたサプライチェーン攻撃の脅威は年々増しています。
サプライチェーン攻撃には関連会社を経由するケース、関連会社がターゲットとなるケース、ソフトウェア会社やサービスプロバイダーを経由するケースなどがありますが、いずれの場合にもセキュリティ対策が十分でない中堅・中小企業がターゲットとなる可能性があります。
「自社は規模が小さいからサイバー攻撃の対象になることはない」と軽く考えず、「セキュアなネットワーク環境の構築」「最新のOS・ソフトウェアの使用」「ウイルス対策ソフトやEDRの導入」「パスワードの複雑化」「社内教育の実施」「サプライチェーン全体の状況把握と対策の徹底」などのセキュリティ対策を実施しましょう。
万一自社に侵入された場合には、その被害は自社にとどまらずサプライチェーン全体におよぶこととなります。今回紹介した事例を教訓として、自社のセキュリティ対策について今一度見直してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。