サプライチェーン攻撃とは、組織間の業務上の繋がりを悪用して、セキュリティ対策が手薄と想定される関連企業や中小企業を経由し、最終的に標的企業への侵入を狙ったサイバー攻撃です。近年は攻撃の手口が多様になっています。
セキュリティレベルを高めるためには、サプライチェーン攻撃の主な手口と注意点を確認して、対策を実施する必要があります。
サプライチェーン攻撃の対策を実施する際には、自社だけでなく国内外のビジネスパートナーや委託先等、サプライチェーン全体でセキュリティリスクを低減する対策が必要です。
本記事では、サプライチェーン攻撃の主な手口と対策をご紹介します。
サプライチェーン攻撃対策に活用できるガイドラインを3つご紹介しますので、ぜひ最後までご覧ください。
ページコンテンツ
サプライチェーン攻撃とは
サプライチェーン攻撃とは、セキュリティ対策が不十分な取引先や関連企業から、攻撃対象となる大企業などへのシステムへ侵入するサイバー攻撃を指します。
一般的に、製品の原材料や部品の調達から商品を製造し出荷・販売するまでにかかる一連の流れをサプライチェーンと呼びます。サプライチェーンの構成にはさまざまな企業が関係し、その企業によって、セキュリティへの取組み・対策方法は異なります。
攻撃のターゲットである企業が強固なセキュリティ対策を講じていても、対策が不十分な企業が攻撃され、それによりターゲット企業をはじめサプライチェーン全体が被害を受ける可能性が高まるため、自社だけでなく、取引先など関連企業を含めセキュリティ対策情報の共有や対策強化を検討することが重要です。
サプライチェーン攻撃の対策を実施するために、攻撃を仕掛ける目的と近年の動向を確認しておきましょう。
サプライチェーン攻撃の目的
攻撃者がサプライチェーン攻撃を仕掛ける目的の一つは、ランサムウェアによるデータの暗号化や不正アクセスによって窃取した機密情報を公開すると脅し、身代金を要求することです。
標的とする企業の端末やサーバーにランサムウェアを感染させ、データを暗号化して利用できなくし、復号するための鍵を渡すことと引き換えに、身代金(ランサム)を要求してきます。身代金を払ったとしてもデータが復旧する保証はなく、また奪われたデータが必ず戻ってくるとは限りません。身代金は新たな攻撃の資金源になることから、相手の要求に応じないように推奨されています。
企業が身代金の要求に応じなかった場合は、窃取した情報を暴露すると脅すケースがあります。またダークウェブ上の他の攻撃グループへ情報を売却し金銭を得る動きも見られます。
サプライチェーン攻撃の動向
情報処理推進機構が公開した「情報セキュリティ10大脅威 2024」によると、組織向けのセキュリティ脅威として次の10種類が挙げられています。
順位 |
「組織」向け脅威 |
初選出年 |
10大脅威での取り扱い (2016年以降) |
1 |
ランサムウェアによる被害 |
2016年 |
9年連続9回目 |
2 |
サプライチェーンの弱点を悪用した攻撃 |
2019年 |
6年連続6回目 |
3 |
内部不正による情報漏えい等の被害 |
2016年 |
9年連続9回目 |
4 |
標的型攻撃による機密情報の窃取 |
2016年 |
9年連続9回目 |
5 |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
2022年 |
3年連続3回目 |
6 |
不注意による情報漏えい等の被害 |
2016年 |
6年連続7回目 |
7 |
脆弱性対策情報の公開に伴う悪用増加 |
2016年 |
4年連続7回目 |
8 |
ビジネスメール詐欺による金銭被害 |
2018年 |
7年連続7回目 |
9 |
テレワーク等のニューノーマルな働き方を狙った攻撃 |
2021年 |
4年連続4回目 |
10 |
犯罪のビジネス化(アンダーグラウンドサービス) |
2017年 |
2年連続4回目 |
引用元:情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
サプライチェーンの弱点を悪用した攻撃は、6年連続でセキュリティ10大脅威にランクインしています。
さらにサプライチェーン攻撃の目的の一つである、身代金を要求するランサムウェアによる被害が、4年連続1位となっています。
サプライチェーン攻撃の主な手口3選
サプライチェーン攻撃の主な手口は、次の3種類です。
- 関連会社やパートナー企業を踏み台にして攻撃する
- ソフトウェアの提供前に脅威を仕込む
- サービス提供元を攻撃する
主な手口を理解すれば、サプライチェーン攻撃の対策を実施する糸口が見つかります。サプライチェーン攻撃の主な手口を確認して、セキュリティ対策の強化を行いましょう。
関連会社やパートナー企業を踏み台にして攻撃する
サプライチェーン攻撃の一種として、関連会社やパートナー企業を踏み台にする攻撃の手口があります。
ビジネスサプライチェーン攻撃と呼ばれる手法であり、攻撃対象の企業が仕事上で付き合いのある企業から侵入して攻撃を仕掛けます。
関連会社やパートナー企業から侵入することで、セキュリティ対策が強固な企業の情報を盗んだりファイルを暗号化したりと、サプライチェーン攻撃を仕掛ける手法です。
ソフトウェアの提供前に脅威を仕込む
ソフトウェアの提供前に脅威を仕込むことで、企業の機密情報や個人情報に影響を与えるサプライチェーン攻撃があります。
ソフトウェアサプライチェーン攻撃と呼ばれる手法で、ソフトウェアの製造工程や流通工程においてプログラムに攻撃を仕掛ける手口です。
具体的には、ソフトウェア自体やアップデートプログラムに不正コードを混入して、ターゲット企業に攻撃を仕掛けます。
例えば、システム管理ツールやMAアプリなどの開発段階に脅威を仕込むことで、サービスを利用する企業に対してサイバー攻撃を仕掛けます。
サービス提供元を攻撃する
サービスサプライチェーン攻撃と呼ばれる手口で、サービス提供元だけでなく対象サービスを利用している企業に攻撃を仕掛ける手法です。
例えば、クラウドサービスや外部のITサービスを提供している企業を踏み台に侵入して、ターゲット企業のシステムへ侵入することで機密情報や個人情報を盗んだりサーバーにウイルス感染を起こしたりと攻撃を仕掛けます。
多くの企業にサービスを提供している企業に攻撃を仕掛け、サービス自体を乗っ取ることで、そのサービスを利用している多くの企業へランサムウェア感染など、被害を拡大させることが可能になります。
サプライチェーン攻撃の注意点
サプライチェーン攻撃の注意点は、次の通りです。
- 中小企業がターゲットにされやすい
- 取引先まで被害が拡大する
中小企業がターゲットにされやすい
サプライチェーン攻撃では、中小企業がターゲットにされやすい傾向があります。
大企業はセキュリティ対策が強固で、サプライチェーン攻撃を容易には仕掛けられません。
対して中小企業の中には、セキュリティ対策が手薄でサイバー攻撃を仕掛けやすい企業もあります。
セキュリティ対策を行うにも、システムやサービスを導入するためにコストがかかるため、十分な対策ができていないケースも多いです。
そのため、サプライチェーン攻撃を仕掛ける攻撃者は、大手企業ではなく中小企業をターゲットにします。
関連企業や取引先である中小企業に侵入してから、最終的なターゲットである大企業への侵入を試みます。
実際に、2022年には医療センターに給食を提供する企業を経由して、大手の総合病院がサプライチェーン攻撃を受ける被害が発生しました。この病院は基幹システムサーバーの大部分が暗号化される被害を受け、院内のパソコンなどの端末にも不正アクセスされた痕跡がありました。
電子カルテシステムが暗号化された影響で緊急手術を除く手術や外来診療が停止する事態に陥り、同院の患者にも影響を与えました。
このように、たとえ1社でも取引先企業がサプライチェーンの被害に遭うと、被害が広範囲に及ぶこともあるのです。
取引先まで被害が拡大する
サプライチェーン攻撃は、対象企業だけでなく取引先まで被害が拡大します。
大企業のシステムに侵入するための踏み台として攻撃されるケースもあるため、中小企業や小規模事業者であっても、サイバー攻撃への対策が必要です。
警視庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェアによる被害の内訳を企業・団体等の規模別に見ると、中小企業が全体の52%を占め、規模を問わず被害が発生しています。
参照元:令和5年におけるサイバー空間をめぐる脅威の情勢等について|警察庁
「自社は中小企業だからサイバー攻撃の対象にはならない」と考え、セキュリティ対策を疎かにしていると、サプライチェーン攻撃を仕掛けるターゲットであるクライアントへ経由するための侵入経路として、攻撃を受ける可能性があります。
実際にIPAが実施した「中小企業における情報セキュリティ対策に関する実態調査」では、約3割の中小企業がセキュリティ対策を行っていませんでした。
直近過去3期の情報セキュリティ対策投資額 |
割合 |
投資していない |
33.1% |
100万円未満 |
49.2% |
100万~50万円未満 |
8.2% |
500万~1,000万円未満 |
1.5% |
1,000万~2,000万円未満 |
0.6% |
2,000万~5,000万円未満 |
0.5% |
5,000万~1億円未満 |
0.2% |
1億~4億円未満 |
0.1% |
4億円以上 |
0.0% |
わからない |
0.6% |
無回答 |
0.7% |
参照元:2021年度 中小企業における情報セキュリティ対策に関する実態調査|独立行政法人情報処理推進機構
中小企業はサプライチェーン攻撃の標的にされやすく、セキュリティ対策を実施している取引先まで被害が拡大する可能性が十分にあります。
自社だけでなく取引先まで被害が拡大する可能性を考慮して、セキュリティ対策を実施することが大切です。
サプライチェーン攻撃対策に活用できる3つのガイドライン
ここで、サプライチェーン攻撃への対策を検討するために、参考となるガイドラインを紹介します。
- サイバーセキュリティ経営ガイドラインVer3.0
- NIST CSF(Cyber Security Framework)
- 中小企業の情報セキュリティ対策ガイドライン
サイバーセキュリティ経営ガイドラインVer3.0
「サイバーセキュリティ経営ガイドラインVer3.0」は、経済産業省と独立行政法人情報処理推進機構(IPA)が2023年3月に策定したサイバー攻撃への対策をまとめたガイドラインです。
「サイバーセキュリティ経営ガイドライン」は、2017年にVer2.0が公開され、約6年ぶりに3.0に改定されました。
「経営者が認識すべき3原則」や「サイバーセキュリティ経営の重要10項目」などがまとめられており、セキュリティ対策の重要性や具体的な対策ポイントがまとめられています。
また、サプライチェーンを介したサイバー攻撃の拡大を踏まえたサプライチェーン全体にわたる対策の推進や、制御系を含むデジタル基盤を守ることを意識した対策の普及等を考慮して改訂が行われています。
他にもサイバーセキュリティ経営チェックシートがあり、企業の状況に応じた追加対策を検討する際に活用できます。
参照元:サイバーセキュリティ経営ガイドラインVer3.0|経済産業省 独立行政法人情報処理推進機構
NIST CSF(Cyber Security Framework)2.0
NIST サイバーセキュリティフレームワーク(CSF)とは、米国国立標準技術研究所(National Institute of Standards and Technology, 以下 NIST)が2014年に発行したガイドラインです。
2024年2月、NISTは、「サイバーセキュリティフレームワーク Ver.2.0」を公開しました。約10年ぶりの大幅な改訂です。
NIST CSF 2.0の改訂ポイントの一つとして、サプライチェーンリスクマネジメントの強化が挙げられます。
サプライチェーン全体に関連するセキュリティリスクを理解し、企業間で適切なセキュリティ基準を維持するための管理対策について10項目を挙げています。下記一部抜粋です。
- サプライヤーやその他の第三者との正式な関係を結ぶ前に、リスクを低減するための計画や適正評価を行っているか
- パートナーシップやサービス契約終了後に発生する活動に関する規定がされているか
- サプライヤー、顧客、パートナーに対するサイバーセキュリティの役割と責任を確立、伝達し、社内外で調整しているか
参照元:NISTサイバーセキュリティフレームワークバージョン2移行のポイントと日本語訳
米国だけでなく世界各国が準拠を進めており、汎用的かつ体系的なフレームワークでセキュリティ対策に関する情報を公表しています。
NIST CSF 2.0では、重要インフラの運営者をターゲットとしたフレームワークを策定し、対策の効果を数値化して評価できます。
なおNIST CSF2.0を構成する要素は、下記の3種類です。
- コア(Core):一定の分類で定められたセキュリティ管理策の一覧
- ティア(Tier):対策状況を数値化するための4段階の成熟度評価基準
- プロファイル(Profile):組織のセキュリティ対策の「現状(As-Is)」と「目標(To-Be)」
NIST CSF2.0では、サイバー攻撃を受けないようにする対策だけでなく、攻撃を受けた後の復旧までの対応をまとめています。
中小企業の情報セキュリティ対策ガイドライン 第3.1版
中小企業の情報セキュリティ対策ガイドラインは、情報処理推進機構が公開した中小企業における情報管理の重要性を示したガイドラインです。中小企業の情報セキュリティ対策ガイドラインは2019年に第3版が公開されて以降、コロナ禍に伴うテレワークの普及をふまえて、情報セキュリティ対策などの具体的な対応策を盛り込みました。
2023年には「中小企業の情報セキュリティ対策ガイドライン」第3.1版が公開され、情報セキュリティを確保するために認識するべき3原則が定められています。
- 原則1. 情報セキュリティ対策は経営者のリーダーシップで進める
- 原則2. 委託先の情報セキュリティ対策まで考慮する
- 原則3. 関係者とは常に情報セキュリティに関するコミュニケーションをとる
参照元:中小企業の情報セキュリティ対策ガイドライン 第3.1版|独立行政法人 情報処理推進機構セキュリティセンター
サプライチェーン攻撃対策としては、原則2の「委託先の情報セキュリティ対策まで考慮する」ことが重要です。委託先がサイバー攻撃にあった際に、自社や関連企業まで被害を受ける可能性があるため、サプライチェーン内でセキュリティ対策を徹底する必要があります。
自社がクライアントから業務を受託している場合も同様に、サプライチェーンで関連する企業が協力して、セキュリティ対策を実施しなければなりません。
サプライチェーン攻撃への対策
サプライチェーン攻撃への対策として、次の施策が効果的です。
- 企業間で連携して対策を行う
- ソフトウェアを最新バージョンにアップデートする
- 複雑なパスワードに変更する
- 従業員のセキュリティ意識を向上させる
- セキュリティ対策ソフトを導入する
各対策を確認して、サプライチェーン攻撃に対抗できるようセキュリティ対策を強化しましょう。
企業間で連携して対策を行う
関連企業や取引先から被害が拡大するサプライチェーン攻撃への対策は、自社だけでなく企業間で連携して対策を実施することが大切です。
どれだけ自社のセキュリティを強化しても、サービス提供元や関連企業の感染被害によって、自社ネットワークに侵入される可能性が高まります。
また事業を形成するサプライチェーン内で被害があった場合は、自社でなくても対策・対応の実施が必要です。
サプライチェーン内で被害が発生した場合は、お客さま情報や個人情報が盗まれる可能性があるため、十分な対策を実施しなければなりません。
企業間で定期的にセキュリティ対策会議を実施したり共通のセキュリティ対策ガイドラインを適用し、積極的にコミュニケーションを取ってセキュリティを強化する必要があります。
ソフトウェアを最新バージョンにアップデートする
サイバー攻撃を防止するために、ソフトウェアを最新バージョンにアップデートしましょう。
OSやソフトウェアを最新バージョンに更新していない場合は、脆弱性を突かれるリスクが増えます。
自動アップデートや定期的なセキュリティチェックを実施して、常にソフトウェアを最新バージョンにアップデートするよう徹底してください。
複雑なパスワードに変更する
基本的なセキュリティ対策ですが、複雑なパスワードに変更することが大切です。
サプライチェーン攻撃を防ぐには企業間での連携も大切ですが、まず自社のセキュリティレベルを強化する必要があります。
大文字や小文字、数字を組み合わせた複雑なパスワードを採用し、簡単に特定できないよう対策すれば、乗っ取りやサーバーへの侵入などのサイバー攻撃を防げます。
従業員のセキュリティ意識を向上させる
サイバー攻撃全般に言えることですが、従業員のセキュリティ意識を向上させる必要があります。
一部の従業員がセキュリティ対策を徹底しても、組織全体のセキュリティ意識を向上させなければ、サイバー攻撃を受ける可能性が高まります。
サイバー攻撃を受けないように、従業員のセキュリティ意識を向上させる次のような施策を実施してください。
- セキュリティ対策研修を実施する
- セキュリティ対策のマニュアルやガイドラインを共有・周知する
- 過去に発生したセキュリティ被害の事例を共有する
サプライチェーン内でも、同一のセキュリティ研修やガイドラインの交付を実施し、組織単位でセキュリティ意識を向上させることが大切です。
セキュリティ対策ツールの導入・強化を行う
不正アクセスやウイルス感染を防止するセキュリティ対策ソフトを導入すれば、サプライチェーン攻撃を含むサイバー攻撃全般への対策を実現できます。
サプライチェーン攻撃、ランサムウェアをはじめとする様々な攻撃から自社・取引先を守るためにセキュリティ対策ツールの見直し・強化の検討が大切です。
サプライチェーン攻撃対策のためにセキュリティ意識を向上させよう
セキュリティ対策というと自社の対策に目が行きがちですが、関連企業や委託先を経由するサプライチェーン攻撃を防ぐには、手口や特徴の把握が欠かせません。自社のみならず、サプライチェーンの一端を担う企業としてサプライチェーン全体を意識してセキュリティリスクを低減するための対策をする必要があります。
サイバー被害に備えた事業継続計画や復旧体制の整備など事後対策を検討することも大切ですが、今回のサプライチェーン攻撃をはじめとする、サイバー攻撃による被害を未然に防ぐ策として、「AppGuard」をおすすめします。
ゼロトラスト型エンドポイントセキュリティの「AppGuard」は、マルウェアかを判断するのではなく、OSに害のある動きをすべてブロックして無効化します。
これにより、悪意あるプログラムに侵入されても発症を防ぎ、マルウェアの侵入に対してOSの正常な動作を守ります。サイバー攻撃の成立に不可欠な「特定の動作」を制御して阻止します。
自社の被害だけでなく、取引先やグループ企業にサイバー被害をもたらす踏み台とならないためにも、セキュリティ対策を徹底することが大切です。