fbpx

サプライチェーン攻撃とは?被害の原因から攻撃手法まで解説します

blank

サプライチェーン攻撃とは

サプライチェーン攻撃とは、企業活動における「サプライチェーン(供給網)」に入り込むサイバー攻撃のことを指します。 ターゲットとする企業を直接狙うのではなく、取引先企業を踏み台にして攻撃することです。 ターゲットを企業単体から、原料調達、製造、流通、消費者という一連のつながりにまで対象範囲を広げ、供給の盲点となる部分を突く攻撃手法と言えます。

なぜこのような手法が選ばれるかと言うと、多くの場合サイバー攻撃はターゲットとなる企業や組織に直接攻撃を仕掛けます。しかし、最近では、大手企業や政府機関などの大きな組織は、正面からの突破が難しい高度なセキュリティ対策が行われているためです。

しかし、サプライチェーン攻撃は、比較的セキュリティ対策が手薄な取引先を経由することで、利用しているソフトウェア製品等に不正プログラムを紛れ込ませるなどの攻撃を行います。これがサプライチェーン攻撃の手口の一例です。

サプライチェーン攻撃の方法

多くの場合はターゲットとする企業や組織に直接攻撃を仕掛けていきます。しかし、近年の様々な教訓から大手企業や政府機関など大きな組織の場合は、正面突破が難しい高精度なセキュリティ対策が行われているケースが多いのが現状でしょう。すなわち、簡単には突破できないということです。

そこで、サプライチェーン攻撃は、金銭的な事情等により比較的セキュリティ対策が手薄な取引先を標的とし、そこを経由して攻撃を仕掛けるなどが採用されています。これがサプライチェーン攻撃の正体ということです。

当然、セキュリティチェック機能も弱い場合が多く、侵入されてから気づけるまでに一定時間が経過していることも珍しくありません。考え方としては、侵入されてから対策を練るのではなく、そもそも侵入されないためにはどうすべきか?に焦点を当て対策を講じることが適切です。

取引先・関連会社・グループ会社を介した攻撃

一例として取引先企業や関連企業に侵入し、そこを経由して攻撃を仕掛けるということです。大企業との専用ネットワークへの侵入や委託された機密情報の窃取などが行われます。

サプライチェーン攻撃による被害の一例

A企業ではチケット某販売大手のB社にサイト運営を委託しており、B社では複数のシステム会社に再委託をしていました。そこで、委託先のシステム開発会社は仕様書に沿ったWebサイトを構築していなかったということです。本来は保存されるべきではないサーバーに顧客情報が残っており、その機密情報を奪取されたということです。そこで発注元であるA社はB社における、B社は再委託先のシステム開発会社の情報セキュリティ対策の実態を十分に把握できていなかったと言わざるを得ません。

ファーウェイ問題

携帯通信機器大手企業である通称ファーウェイはスマートフォンをはじめ情報機器を作っており、日本ではコストパフォーマンスなどが高く評価されていました。2019年5月、ファーウェイのスマートフォンに使用されてきたAndroidシステムが、米国の禁輸措置によって使用できなくなる可能性が言及されました。これによりファーウェイの新型スマートフォンが日本国内での販売が中止、延期され大きく変化することになりました。

ファーウェイ問題の最も大きいとされる影響としてAndroid OSを中心としたGoogleエコシステムからの隔離挙げられます。携帯電話会社もファーウェイ機器を数多く扱っており、最新のOSが提供される可能性が低くなったことで販売自体を休止せざるを得なくなりました。

MeDocの税務会計ソフトの更新プログラムの改ざん

2017年6月にウクライナのソフトウェアベンダーMeDocが提供している税務会計ソフトの更新プログラムに対して悪意を持つ第三者から改ざんされた事例です。正規のアップデートであったので疑う余地がなく、被害はウクライナ企業や取引先を通して全ヨーロッパに広がるという大きな被害となりました。

WannaCry

2017年に世界150カ国以上でランサムウェア「WannaCry」が猛威を振るい、欧州企業を中心として大きな被害が発生しました。この時に、サプライチェーンを経由して国内の企業にも被害が連鎖的に発生するという事態が巻き起こりました。

CCleanerのマルウェア入りの実行ファイル配布問題

PC内の不要な項目や一時ファイルなどのデータを削除できるシステムクリーナーソフトの「CCleaner」がマルウェア入りの実行ファイルを正規のダウンロードサーバーで配布していたことが明らかになりました。

サプライチェーン攻撃の被害に遭う要因・原因

以下の3点が挙げられます。

  1. サプライチェーンへのセキュリティ対策不足
  2. サプライチェーンを適切に選定および管理していないこと
  3. 再委託先や再々委託先の管理が困難であること

1は単純に認識が甘かったことなどが挙げられます。2は従前からのお付き合いの関係などもあり、せもそも選択の余地が少ない場合もあるでしょう。その場合、周知をすることは忘れてはなりません。3は被害例などを説明しリスク管理を徹底していくべきです。

セキュリティ対策が不十分

サプライチェーン攻撃の被害に遭うことに関わらず、セキュリティ対策の甘さは様々な面に波及してしまいます。また、近年では一度ネット上で被害が発覚すると100%その被害を食い止めることは不可能と言われています。よって、被害が起こらない(起こりようのない)環境整備が大切ということです。セキュリティ対策は目に見える成果が分かりづらいものですが、リスクが顕在化した場合は時すでに遅しということもあり、対策することのメリットを感じていない企業が多いのも現状です。

セキュリティに十分なコストがかけられない

企業の体力を勘案して検討すべきです。セキュリティ管理のみにコストをかけるのはさすがに本質的ではありません。しかし、筋炎では被害がが発生した場合の損害額(レピュテーションリスクを含む)は計り知れません。よって、かけるべきコストの優先順位は比較的高めに位置することが多いと言えるでしょう。

責任範囲が曖昧

企業という組織であっても、日本の人事制度は多くがニューマンシップ型雇用(人に対して仕事がつく)であり、欧米のようにジョブ型雇用(仕事に対して最適な人をあてる)ではありません。よって、責任の範囲が曖昧と言うことです。責任範囲が曖昧なままとなってしまうと、インシデント発生時の対応も遅れることがあります。

このようなネット世界での攻撃は、特に早めの対応が不可避です。よって、対応の遅れは場合によっては命取りになることがあります。日本の雇用形態にメスを入れるのは難しいことから現在の人事制度であっても、責任範囲を明確化することで、当事者意識を持たせた管理が重要です。

サプライチェーンと連携を取る必要もあることから、自社内だけで完結する問題でなく、他社を巻き込んだ対応が求められます。よって、一定の経験を知識を持ち合わせている者を選抜することが求められます。この部分が弱い企業はまずは、できること(責任範囲の明確化)から着手すべきです。

ゼロトラストによるサプライチェーン攻撃対策が重要

現在はサイバー攻撃がビジネス化しており、ハッカーなどの攻撃を仕掛ける者はコストが低いところを狙っていると言えます。当然、無限に時間をかけられるわけではなく、簡単に突破できるところを選ぶのが合理的とも言えます。

旧来までは、外側からの脅威を防御し、内側は信頼するという考え方であったと言えます。しかし、今後は内部不正の可能性も否定出来ず、性善説の一択ではなく、性悪説も踏まえた検討が必要です。ゼロトラストであってもその考え方は無視できないでしょう。

ゼロトラストとは

ゼロトラストとは、端的にはネットワークセキュリティモデルのことです。 認証や許可を受けたユーザーのみがアプリケーションやデータにアクセスできるということです。 更にアプリケーションやユーザーをインターネット上の脅威から保護します。

ゼロトラストのメリット

旧来までのセキュリティ対策はネットワークの境界だけを防御するものでした。しかし、これでは不十分であることからゼロトラストネットワークの普及が進んでいます。特にセキュリティ対策を施すための境界が曖昧な環境において、ゼロトラストネットワークは有効な機能と言えます。

ゼロトラストネットワークは、クラウド環境と社内環境の双方に対して境界を設けずにセキュリティを確保できるような形で設計されています。よって、セキュリティ対策ソフトのみでは防御しきれない場合に、ゼロトラスト導入により」防御体制が強化されるということです。

ゼロトラストを導入するには何が必要か

ゼロトラストを導入するにあたっては、既存のネットワークの置き換えは必要ありません。ゼロトラストは、特定の保護対象領域のために設計された既存のネットワークを強化するものです。ゼロトラストは、すでに有しているテクノロジーを利用するために既存のネットワークと相互接続されます。

その後、時間をかけて、追加のデータセット、アプリケーションなどを継続的にかつ費用対効果もよく、中断なしで導入が可能です。一部の業務を止めることにより、一定程度の損害が発生するということであれば、躊躇してしまうところですが、他の業務と同時並行的に整備していかざるを得ない場合でもハードルが高くないと言えるでしょう。

ゼロトラストを導入する際の注意点

1回限りとして導入するのは非現実的と言えます。ゼロトラストによって生じる業務上の混乱や導入にかかる実際のコストを考えれば、とても現実的とは言えません。

ゼロトラストについてセキュリティ企業に一度相談するのがおすすめ

ゼロトラストのニーズは年々高まっています。これは、次の3点の理由によります。 

企業のクラウドサービス利用が急増

AIの導入が決定的な日本においても、今後、人の手を介さない(介すのが勿体ない)業務が増えてきます。それはその業務自体がなくなるという意味ではなく、AIが代替するということです。そこで、いきなりAIでは対応できないことが予想されることと、世論としても簡素化・合理化の動きがあること、ペーパーレスや脱ハンコ化など、徐々にクラウドサービスが一般化してきています。そうなるとクラウドワークスに潜むリスクについて対策を打たないということは現実的ではありません。ゼロトラストはその一助となり得るということです。

働き方改革及びコロナ対応によりテレワークの急増

働き方改革では客観的な形で労働時間を把握することが求められています。また、コロナウイルスにより有無を言わさず始まったテレワークにより、ITツールを駆使した労務管理が不可避となりました。 

前者から検証してきましょう。

旧来は自己申告での労働時間管理も行われていましたが、会社側と労働者側では力関係において平等とは言い難いと言えるでしょう。そこで、労働者側から労働時間の自己申告があったとしても使用者側の圧力が介入していた場合、客観性に疑問符がついてしまいます。そこで、自己申告での労働時間管理は例外的なポジションとなり、客観的な(ITツールなど)手段を用いることが時代の流れともなりました。

後者は新型コロナウイルスにより、医療業等を除き、テレワークを整備できていない企業はBCP上も危険という見方をされています。よって、まずは導入したもののセキュリティ関連がおざなりになっていた企業も多いと考えます。

内部不正による情報漏洩対策

内部不正が影響する情報漏洩の問題は外部からの攻撃と比べて多いとは言い難いですが、ゼロにすることは難しいでしょう。しかし、対策を打つことは可能です。教育や、内部統制、その一手段としてゼロトラストを導入し、会社としてリスク対策に本腰を入れたことを示すことで未然に防げることもあります。

まとめ

サプライチェーン攻撃は、コロナウイルスへの罹患と同じでリスクゼロにすることはできません。しかし、リスクを低下させることはできます。万が一、被害を被ってしまった場合でも、然るべき対策を打ったうでの被害であれば内部や利害関係者の納得感も得られるものです。