サプライチェーン攻撃とは？～攻撃の起点別に手法と事例を解説～

サプライチェーン攻撃とは昨今、世界中でサプライチェーン攻撃による被害が発生しています。サプライチェーン攻撃とは、組織間の業務上の繋がりを悪用して次なる攻撃の踏み台とするサイバー攻撃手法全般を指します。
サプライチェーン攻撃の特徴は、本来侵入が難しいセキュリティレベルの高いターゲット組織でも、比較的セキュリティレベルの低い取引先や子会社などを経由することで、ターゲット組織への侵入を可能にすることです。最終的な標的となる組織は、普段の業務上のやりとりを介して侵入されているため、侵入段階で気づくことは非常に困難であり、気づかない間に攻撃を受けていたという状況になりかねません。

サプライチェーン攻撃は、攻撃の起点の違いから3種類に分類できます。ソフトウェアサプライチェーン攻撃、サービスサプライチェーン攻撃、ビジネスサプライチェーン攻撃の3種類です。
それぞれの手法や事例を解説します。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃とは、ソフトウェアの製造や提供の工程を侵害し、ソフトウェアそのものやアップデートプログラムなどに不正コードを混入し、標的組織に侵入する攻撃です。主な攻撃経路として、オープンソースコード、システム管理ツール、利用するアプリケーションなどが挙げられます。まず、これらのソフトウェアを開発する企業のシステムやソフトウェアのダウンロード元に侵入した後、アップデートサーバなどを経由して不正なプログラムを含めた「正規のソフトウェア」をターゲット組織に配布（アップデートなど）する手法です。これらのソフトウェアが広く使われているものであれば、攻撃者は大規模な攻撃を引き起こすことが可能になります。

例えば、2020年発生した事例では、SolarWinds社が提供しているネットワーク監視製品「Orion」が攻撃に利用されました。この製品は世界的に広く利用されており、最大で18,000の組織が被害に遭ったとして、SolarWinds社が報告しており、大きな注目を浴びることになりました。

ソフトウェアサプライチェーン攻撃の事例詳細は以下の記事をご覧下さい。
・SolarWinds社製品を悪用した攻撃

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃とは、MSP（マネージドサービスプロバイダ）などのサービス事業者を侵害し、サービスを通じて顧客に被害を及ぼす攻撃です。2021年のKaseya社のリモートIT管理サービス「Kaseya VSA」を利用しているMSPサービス事業者や、そのMSPの顧客である多数の企業などに対するランサムウェア攻撃がサービスサプライチェーン攻撃に当てはまります。MSP事業者は企業から委託を受けてネットワークの管理や運用を行っているため、攻撃者はMSP経由で、ランサムウェアを拡散させることが可能となります。この事例では、このMSPの特性が悪用され、「Kaseya VSA」を利用していたMSP事業者に加え、そのMSPサービスを利用している顧客にもランサムウェア攻撃の被害が発生することとなりました。この広範な攻撃によって、最大で1,500社程度の企業がランサムウェアの影響を受けたと報道されています。

サービスサプライチェーン攻撃の事例詳細は以下の記事をご覧下さい。
・Kaseya社製品を悪用した事例

ビジネスサプライチェーン攻撃

ビジネスサプライチェーン攻撃は、標的組織の関連組織や子会社、取引先などを侵害し、業務上の繋がりを利用して標的組織へ攻撃します。この攻撃は、組織への侵入を行うためにすでに常套手段化されていると言ってもよい段階に入っています。
標的型攻撃を行うEarth Hundun（アースフンドゥン）【別名：BlackTech】、Earth Tengshe（アーステンシェ）【関連グループ：APT10】といったサイバー攻撃者グループは、企業の海外拠点を先に侵害し、本来の標的である国内拠点へ侵入することを、トレンドマイクロでも継続して観測しています。

Earth Hundunが送付した標的型メールの事例
日本企業を騙り、日本組織の海外関連企業（中国）へマルウェアが添付されたメールが送られている

ビジネスサプライチェーン攻撃の事例詳細は以下の記事をご覧下さい。
・標的型攻撃グループ「Earth Tengshe」による攻撃キャンペーン

サプライチェーン全体でセキュリティレベルを高めるには従来、セキュリティ対策といえば自社の取り組みばかり目が行きがちになっていましたが、委託先や関係会社を経由するサプライチェーン攻撃は、自社だけの対策では完結しません。サプライチェーン全体で、セキュリティレベルを向上させる取り組みが必要になってきています。
では、どのようにしてサプライチェーン全体でセキュリティレベルを高めることができるのでしょうか。

ドベネクの要素樽
（Wikipedia リービッヒの最少律より引用）

サプライチェーンセキュリティの概念は、水が入った樽で例えて説明することができます。イラストの通り、樽にためられる水の量は一番低い木の板の高さで決められます。サプライチェーンのセキュリティレベルも同じで、結局はそこに関わっている組織の最も低いセキュリティレベルと同じです。つまり、サプライチェーン全体のセキュリティレベルを高めるには、自組織の安全性担保に加えて、他組織の安全性確認が必要になっています。

自組織の安全性担保は、セキュリティソフトの利用、アクセス制限、二要素認証の導入など技術的な対策に加えて、セキュリティポリシーの策定、従業員への教育など非技術的な対策の両面で行う必要があります。どのようなセキュリティレベルを求められるかの指針は、自社のビジネス方針次第（自社で最も守るべき資産は何かを明確にする）ではありますが、一般的な指標でいうと、サイバーセキュリティのフレームワークを参照してみるとよいでしょう。例えば、NIST CSF（Cyber Security Framework）は、汎用的な項目が網羅されており、業種や業界を問わず、組織の弱点を把握するのに役立ちます。こちらのフレームワークは、すでに米国の官公庁や企業で活用されているほか、経済産業省の「サイバーセキュリティ経営ガイドライン」や内閣官房の「重要インフラ行動計画」などでも参照されています。さらに、企業のセキュリティリスク管理の成熟度を示すTierや、企業・業界ごとのビジネス特性に応じて、現状・あるべき姿・ギャップを把握し、サイバーセキュリティ対策の優先順位付けをするProfileも含まれているため、サイバーセキュリティをどのようなステップで強化していくべきかの指針を立てるのに役立ちます。　

他組織の安全性確認は、自社の機微な情報（個人情報や未発表の情報など）を委託する場合、自社がサプライヤーによってサービスや物品を提供される場合、どちらも必要です。やり取りする情報の機微性やそのサービス/物品が提供されなくなることによるビジネスリスクを鑑みて、優先度をつけて監査などを行う必要があります。例えば、自社が扱っている個人情報を委託先に集計してもらう場合などは入念な監査が必要ですが、事務用の文房具を納入しているようなサプライヤーであればそれ程のチェックは必要ない、という判断になります（但し、それも自社が行っているビジネスによって影響度は大きく変わることにご留意ください）。また、法規制やガイドラインが提示（例えば、防衛省では2023年4月以降にサイバーセキュリティ調達基準を変更することが発表されています）されているのであれば、それに沿った基準で運用されているかを確認していくべきでしょう。また、システム管理等の委託については、自組織で対応する部分と外部に委託する部分で適切な切り分けを行った上で、組織ごとに行うべきサイバーセキュリティ対策を明確にした上で契約を交わすといった対応も検討すべきです。経済産業省のサイバーセキュリティ経営ガイドラインでも、サプライチェーンセキュリティ対策の推進方法について解説されておりますので、必要に応じてご参照ください。

まとめサプライチェーン攻撃の脅威が増大している環境においては、あらゆる組織が透明性を持ってセキュリティに対する取り組みを発信していくことを求められます。そうしなければ、サプライチェーンが求めるセキュリティ対策を行っていない組織として認識され、ビジネスチャンスが失われていくためです。すでに大企業を中心に、透明性を持ったセキュリティ対策状況の開示が行われ始めています。その一例がサイバーセキュリティ報告書です。これは、自組織がどのようなセキュリティ戦略を実行しているのか、それを実現するためにどのような体制を構築しているのか、具体的なサイバーセキュリティ施策はどのように展開しているのか、といった情報を取りまとめた報告書で外部に自社のセキュリティ状況を開示します。今後、大企業だけではなく、中小企業においてもこのような開示が求められるようになるでしょう。
まだサイバーセキュリティ報告書を開示ししていない企業の経営層やCISOなどは、他社の報告書を参考にしながら、自社でどのような内容を開示すべきかを検討してみるとよいでしょう。

目次

関連情報

執筆者

リソース

サポート

会社概要

リソース

サポート

会社概要

The Americas

Asia Pacific

Europe, Middle East & Africa