with azbil
豆知識
- NEW
サプライチェーン攻撃
サプライチェーンとは、原材料や部品の調達から商品の製造・出荷・販売・配送まで、製品やサービスが消費者の手元に届くまでの一連の流れを指します。サプライチェーンにかかわる企業の関連会社や取引先などを経由して、標的となる企業(ターゲット企業)に不正に侵入してサイバー攻撃を仕掛けることをサプライチェーン攻撃と呼んでいます。
ターゲット企業に直接サイバー攻撃を仕掛けるのではなく、サプライチェーンに組み込まれた別の企業にサイバー攻撃を実行し、これらの企業を踏み台としてターゲット企業のネットワーク環境へ不正侵入を狙います。ターゲット企業が高度なセキュリティ対策を講じていても、セキュリティレベルの低い他社を経由することで侵入の難易度が下がります。また、普段の業務上のやり取りに紛れて侵入するため、攻撃に気付きにくいという特徴があります。
サプライチェーン攻撃は、「ビジネスサプライチェーン攻撃」「サービスサプライチェーン攻撃」「ソフトウェアサプライチェーン攻撃」の三つに大別できます。
「ビジネスサプライチェーン攻撃」は、ターゲット企業と業務上のかかわりのある子会社や取引先企業に存在するセキュリティの脆弱(ぜいじゃく)性を突き、そこからターゲット企業に侵入する手口です。
「サービスサプライチェーン攻撃」は、ターゲット企業からネットワークの管理・運用を委託されているMSP(マネージドサービスプロバイダ)などのサービス事業者を経由してターゲット企業に侵入するものです。MSPを利用する多数の企業がランサムウェア攻撃を受けるなど、被害が広範囲に及ぶ可能性があります。
「ソフトウェアサプライチェーン攻撃」は、ソフトウェアの製造や流通の工程においてプログラムに不正なコードを混入させ、ターゲット企業に侵入する手口です。オープンソースコード、システム管理ツール、業務に必要なアプリケーションなどが主な対象となります。対象のソフトウェアが広く利用されている場合、攻撃による被害が大規模なものになる可能性もあります。
サプライチェーン攻撃から組織を守るためには、自社のセキュリティ対策だけでなく、関連企業や取引先・委託先企業のセキュリティレベルを評価し、サプライチェーン全体を通してセキュリティ対策を講じることが不可欠です。対策を進める上では、経済産業省の「サイバーセキュリティ経営ガイドライン」が参考になります。
関連情報
