サプライチェーン攻撃とは?~攻撃の起点別に手法と事例を解説~
昨今、企業のビジネスにおけるサプライチェーンの繋がりを利用したサイバー攻撃の被害が業界を問わず発生しています。本記事では、サプライチェーン攻撃の手法や事例をご紹介した上で、企業に求められるべき対策を解説します。
公開日:2022年10月24日
更新日:2024年12月3日
サプライチェーン攻撃とは昨今、世界中でサプライチェーン攻撃による被害が発生しています。サプライチェーン攻撃とは、組織間の業務上の繋がりを悪用して次なる攻撃の踏み台とするサイバー攻撃手法全般を指します。
サプライチェーン攻撃の特徴は、本来侵入が難しいセキュリティレベルの高いターゲット組織でも、比較的セキュリティレベルの低い取引先や子会社などを経由することで、ターゲット組織への侵入を可能にすることです。最終的な標的となる組織は、普段の業務上のやりとりを介して侵入されているため、侵入段階で気づくことは非常に困難であり、気づかない間に攻撃を受けていたという状況になりかねません。
サプライチェーン攻撃は、攻撃の起点の違いから3種類に分類できます。ソフトウェアサプライチェーン攻撃、サービスサプライチェーン攻撃、ビジネスサプライチェーン攻撃の3種類です。
それぞれの手法や事例を解説します。
ソフトウェアサプライチェーン攻撃とは、ソフトウェアの製造や提供の工程を侵害し、ソフトウェアそのものやアップデートプログラムなどに不正コードを混入し、標的組織に侵入する攻撃です。主な攻撃経路として、オープンソースコード、システム管理ツール、利用するアプリケーションなどが挙げられます。まず、これらのソフトウェアを開発する企業のシステムやソフトウェアのダウンロード元に侵入した後、アップデートサーバなどを経由して不正なプログラムを含めた「正規のソフトウェア」をターゲット組織に配布(アップデートなど)する手法です。これらのソフトウェアが広く使われているものであれば、攻撃者は大規模な攻撃を引き起こすことが可能になります。
例えば、2020年発生した事例では、SolarWinds社が提供しているネットワーク監視製品「Orion」が攻撃に利用されました。この製品は世界的に広く利用されており、最大で18,000の組織が被害に遭ったとして、SolarWinds社が報告しており、大きな注目を浴びることになりました。
---------
2024年12月3日追記
他にも、より日本国内に関連する事例では、2014年に当時株式会社グレテックジャパンが提供していた動画再生ソフト「GOM Player」のアップデートサービスのサーバが不正アクセスを受け、不正なマルウェアがダウンロードされる状態となっていたことが報じられています。国立研究開発法人日本原子力研究開発機構では2014年2月に、この「GOM Player」のアップデートによる感染被害について公表しています。
---------
ソフトウェアサプライチェーン攻撃の事例詳細は以下の記事をご覧下さい。
・SolarWinds社製品を悪用した攻撃
サービスサプライチェーン攻撃とは、MSP(マネージドサービスプロバイダ)などのサービス事業者を侵害し、サービスを通じて顧客に被害を及ぼす攻撃です。2021年のKaseya社のリモートIT管理サービス「Kaseya VSA」を利用しているMSPサービス事業者や、そのMSPの顧客である多数の企業などに対するランサムウェア攻撃がサービスサプライチェーン攻撃に当てはまります。MSP事業者は企業から委託を受けてネットワークの管理や運用を行っているため、攻撃者はMSP経由で、ランサムウェアを拡散させることが可能となります。この事例では、このMSPの特性が悪用され、「Kaseya VSA」を利用していたMSP事業者に加え、そのMSPサービスを利用している顧客にもランサムウェア攻撃の被害が発生することとなりました。この広範な攻撃によって、最大で1,500社程度の企業がランサムウェアの影響を受けたと報道されています。
---------
2024年12月3日追記
他にも、より日本に関連する事例では、2017年に「Operation Cloud Hopper」という諜報活動を目的とした攻撃キャンペーンが「APT10」という標的型グループによって実行されました。この攻撃ではMSPサービス事業者を標的とすることで、当該事業者と関係をもつ企業の資産や機密情報を盗み出す意図がありました。そのため、真の標的はエンジニアリング、工業生産、小売、電力、薬剤、通信、政府等、多岐にわたるものであったと推測しています。
---------
サービスサプライチェーン攻撃の事例詳細は以下の記事をご覧下さい。
・Kaseya社製品を悪用した事例
ビジネスサプライチェーン攻撃は、標的組織の関連組織や子会社、取引先などを侵害し、業務上の繋がりを利用して標的組織へ攻撃します。この攻撃は、組織への侵入を行うためにすでに常套手段化されていると言ってもよい段階に入っています。
標的型攻撃を行うEarth Hundun(アースフンドゥン)【別名:BlackTech】、Earth Tengshe(アーステンシェ)【関連グループ:APT10】といったサイバー攻撃者グループは、企業の海外拠点を先に侵害し、本来の標的である国内拠点へ侵入することを、トレンドマイクロでも継続して観測しています。
Earth Hundunが送付した標的型メールの事例
日本企業を騙り、日本組織の海外関連企業(中国)へマルウェアが添付されたメールが送られている
ビジネスサプライチェーン攻撃の事例詳細は以下の記事をご覧下さい。
・標的型攻撃グループ「Earth Tengshe」による攻撃キャンペーン
---------
2024年12月3日追記
2023年3月には大阪府立病院機構 大阪急性期・総合医療センターが2022年10月に発生したランサムウェア被害について報告書を発表しています。報告書では、サイバー攻撃者が給食事業者のデータセンターへ不正に侵入した後、VPNによる閉域網で接続されている大阪府立病院機構 大阪急性期・総合医療センターへ侵入を広げたことが言及されています。これは直接侵入する障壁が高い場合に、一旦関連する周辺企業を踏み台に標的組織に侵入するビジネスサプライチェーンの象徴的な事例です。
---------
ドベネクの要素樽
(Wikipedia リービッヒの最少律より引用)
サプライチェーンセキュリティの概念は、水が入った樽で例えて説明することができます。イラストの通り、樽にためられる水の量は一番低い木の板の高さで決められます。サプライチェーンのセキュリティレベルも同じで、結局はそこに関わっている組織の最も低いセキュリティレベルと同じです。つまり、サプライチェーン全体のセキュリティレベルを高めるには、自組織の安全性担保に加えて、他組織の安全性確認が必要になっています。
自組織の安全性担保は、セキュリティソフトの利用、アクセス制限、二要素認証の導入など技術的な対策に加えて、セキュリティポリシーの策定、従業員への教育など非技術的な対策の両面で行う必要があります。どのようなセキュリティレベルを求められるかの指針は、自社のビジネス方針次第(自社で最も守るべき資産は何かを明確にする)ではありますが、一般的な指標でいうと、サイバーセキュリティのフレームワークを参照してみるとよいでしょう。例えば、NIST CSF(Cyber Security Framework)は、汎用的な項目が網羅されており、業種や業界を問わず、組織の弱点を把握するのに役立ちます。こちらのフレームワークは、すでに米国の官公庁や企業で活用されているほか、経済産業省の「サイバーセキュリティ経営ガイドライン」や内閣官房の「重要インフラ行動計画」などでも参照されています。さらに、企業のセキュリティリスク管理の成熟度を示すTierや、企業・業界ごとのビジネス特性に応じて、現状・あるべき姿・ギャップを把握し、サイバーセキュリティ対策の優先順位付けをするProfileも含まれているため、サイバーセキュリティをどのようなステップで強化していくべきかの指針を立てるのに役立ちます。
他組織の安全性確認は、自社の機微な情報(個人情報や未発表の情報など)を委託する場合、自社がサプライヤーによってサービスや物品を提供される場合、どちらも必要です。やり取りする情報の機微性やそのサービス/物品が提供されなくなることによるビジネスリスクを鑑みて、優先度をつけて監査などを行う必要があります。例えば、自社が扱っている個人情報を委託先に集計してもらう場合などは入念な監査が必要ですが、事務用の文房具を納入しているようなサプライヤーであればそれ程のチェックは必要ない、という判断になります(但し、それも自社が行っているビジネスによって影響度は大きく変わることにご留意ください)。また、法規制やガイドラインが提示(例えば、防衛省では2023年4月以降にサイバーセキュリティ調達基準を変更することが発表されています)されているのであれば、それに沿った基準で運用されているかを確認していくべきでしょう。また、システム管理等の委託については、自組織で対応する部分と外部に委託する部分で適切な切り分けを行った上で、組織ごとに行うべきサイバーセキュリティ対策を明確にした上で契約を交わすといった対応も検討すべきです。経済産業省のサイバーセキュリティ経営ガイドラインでも、サプライチェーンセキュリティ対策の推進方法について解説されておりますので、必要に応じてご参照ください。
まとめサプライチェーン攻撃の脅威が増大している環境においては、あらゆる組織が透明性を持ってセキュリティに対する取り組みを発信していくことを求められます。そうしなければ、サプライチェーンが求めるセキュリティ対策を行っていない組織として認識され、ビジネスチャンスが失われていくためです。すでに大企業を中心に、透明性を持ったセキュリティ対策状況の開示が行われ始めています。その一例がサイバーセキュリティ報告書です。これは、自組織がどのようなセキュリティ戦略を実行しているのか、それを実現するためにどのような体制を構築しているのか、具体的なサイバーセキュリティ施策はどのように展開しているのか、といった情報を取りまとめた報告書で外部に自社のセキュリティ状況を開示します。今後、大企業だけではなく、中小企業においてもこのような開示が求められるようになるでしょう。
まだサイバーセキュリティ報告書を開示ししていない企業の経営層やCISOなどは、他社の報告書を参考にしながら、自社でどのような内容を開示すべきかを検討してみるとよいでしょう。
関連情報
アタックサーフェスリスクマネジメント(ASRM)を活用して企業のサイバーセキュリティを強化する方法
サイバー空間における脅威が増加し、法人組織のアタックサーフェスが拡大しています。本稿では、リスクアペタイト(リスクの許容)という考え方の必要性や、リスクを把握、管理する「アタックサーフェスリスクマネジメント(ASRM)」について解説します。
サプライチェーンを介したセキュリティリスクの2023年最新動向~被害事例にみる企業が直面するリスクとは?
2023年の動向から直面するセキュリティリスクや対策強化のポイントを探ります。
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)