サプライチェーン…原材料の調達、製品の生産、配送、販売、消費と言った一連の流れは企業の活動において根幹となるものです。

このプロセスの中に忍び込み、マルウェアを設置したり情報を窃取したりする攻撃手法をサプライチェーン攻撃と言います。
今回はこのサプライチェーン攻撃について、概要と対応策をご紹介いたします。

目次

1. サプライチェーン攻撃の概要
2. サプライチェーン攻撃の大別
3. サプライチェーン攻撃への対応手段
4. まとめ

1. サプライチェーン攻撃の概要

サプライチェーン攻撃はIPAが毎年発表する情報セキュリティ10大脅威の「組織」向け脅威として2019年から2025年現在まで7年連続で取り扱われています。
この攻撃手法は、大企業を狙った攻撃者が取引先や関連企業・利用しているソフトウェアへの不正コード混入・利用しているサービスへの攻撃を通じて標的に対し攻撃を仕掛ける手法となります。

2. サプライチェーン攻撃の大別

サプライチェーン攻撃には大きく3つの手法があります。

・ビジネスサプライチェーン攻撃

標的となる企業の関連企業、子会社、取引先を通じて行われるサプライチェーン攻撃をビジネスサプライチェーン攻撃と言います。
関連企業、子会社、取引先のうち攻撃が容易な組織に侵入、そこを足掛かりに標的企業への侵入経路を確保する手法です。
サプライチェーン攻撃のうち最も代表的な手法となります。

・ソフトウェアサプライチェーン攻撃

ソフトウェアに対し不正なコードを混入させるサプライチェーン攻撃をソフトウェアサプライチェーン攻撃と言います。
ソフトウェアの作成や提供工程に侵入し、不正なプログラムを含めた正規のソフトウェアを配布させることで攻撃を行う手法です。
オープンソースのソフトウェアコードやシステム管理ツールが主な攻撃先となります。攻撃手法の関係上、企業や団体だけでなく個人に対しても被害が広範に広がるという特徴があります。

・サービスサプライチェーン攻撃

標的となる企業などが利用しているサービスを経由して攻撃するサプライチェーン攻撃をサービスサプライチェーン攻撃と言います。
ネットワークの管理、運営企業に侵入し、マルウェアなどを配布させる手法です。
通常こうしたネットワーク管理企業は複数の企業から業務委託を受けているため、こちらも被害が広範に至りやすい攻撃手法となります。

3. サプライチェーン攻撃への対応手段

サプライチェーン攻撃は「企業同士の正規のやり取り」、「正規のソフトウェア」、「正規のサービス」に忍び込んで行われる攻撃です。
そのため直接的な攻撃に対するセキュリティを高めただけでは防御が難しく、組織全体でこうした攻撃のリスクを認識して対応する必要があります。
具体的な防御策として、米国国立標準技術研究所（NIST）が発行したサイバーセキュリティを改善するためのフレームワークNIST CSF（Cybersecurity Framework Version）を参照する、一切の通信を信用しないゼロトラストの姿勢を採用するなど、が挙げられます。
IPAからも「実務者のための サプライチェーンセキュリティ 手引書」という書面が公表されております。サプライチェーン攻撃やその対策の詳細についてはそちらも参考になるでしょう。

4. まとめ

サプライチェーン攻撃には、現時点では「こうすれば必ず防げる」という特効薬はありません。
しかしこのような攻撃が存在すると知ることが被害を防ぐ第一歩となります。

基本的なセキュリティ体制を徹底する、
関連企業や取引先も含めたセキュリティ対策の確認・監査を行う、
攻撃された際も被害を最小に抑え業務を継続できるようBCP（事業継続計画）を確立するなど、様々な対策を検討・実施し続け防御力を高め続けることが肝要となります。

弊社では、セキュリティ事故と対策をまとめたホワイトペーパーやセキュリティ対策ウェビナーの講演資料なども配布しております。ご興味がある方は下記よりご確認ください。