サプライチェーン攻撃
掲載:2023年12月04日
用語集
サプライチェーン攻撃とは、標的を直には狙わず、標的よりもセキュリティ対策が弱い標的の取引先や関連企業、標的が利用するサービスなどを経由して標的の機密情報などを窃取しようとするサイバー攻撃です。大企業など標的のセキュリティが強固である場合にこの手口が使われます。標的が属する供給網や組織間のつながりを悪用してネットワークにひそかに侵入、徐々に標的へ近づく攻撃のため、島伝い戦法になぞらえた「アイランドホッピング攻撃」もサプライチェーン攻撃の一種とみなすことができます。
サプライチェーンは商品の企画・開発から販売までの一連のプロセスを指し、サプライチェーン攻撃ではハードウェア、ソフトウェアのどちらも攻撃対象となり得ます。サプライチェーンの工程のどこかに侵入し、標的組織につながる情報を窃取したり、アカウントを乗っ取ったりして標的への侵入を試みます。サプライチェーンがソフトウェアやサービスの場合、例えばバックドアが仕込まれた更新ファイルを正規のアップデートとして実行してしまうよう仕向けます。また、侵入を防いだ場合でも、取引先の工場ラインが停止し部品供給が得られないなどの被害につながることもあります。被害を受けた組織が企業のシステム運用や保守を手掛けるMSP(マネジメントサービスプロバイダー)となった場合は、MSPの複数の顧客企業も感染してしまうため、被害が一気に拡大します。
サプライチェーン攻撃では、技術的な攻撃のほかに、乗っ取ったアカウントを利用してビジネスメール詐欺など人間の心の隙をつく「ソーシャルエンジニアリング」を仕掛けることもできます。メールの送信者は実在する取引先の氏名となるため、受け取る側は引っ掛かりやすくなります。このようにサプライチェーン攻撃は自組織のみのセキュリティをどれだけ堅牢にしても侵入を許してしまう可能性が高い攻撃といえます。
サプライチェーン攻撃は自社を直接狙ってくる攻撃ではないため、サプライチェーン全体のセキュリティ強化が求められます。取引先などに対しては必要なセキュリティ対策が確保されているか定期的に確認したり、情報セキュリティ要件を明記した契約を締結したりすることが未然防止につながります。
おすすめ記事
- 「NIST SP800-171」CUIの厳格管理でサプライチェーンリスクに備える
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- ISMAP:政府情報システムのためのセキュリティ評価制度
- 攻撃対象領域管理(ASM、Attack Surface Management)の導入ガイダンスを公表 経産省
- サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (前編) ~CMMC1.0とは~
- サイバーセキュリティの成熟度モデル認定(CMMC)を読み解く (後編) ~CMMC2.0とは~
- SBOM
- 半導体/自動車部品/航空部品/防衛装備のサプライチェーン構成企業を調査、「令和4年度中小企業等に対するサイバー攻撃の実態調査」報告書を公表 IPA
- 「サイバー空間における脅威の概況2023」を公表 公安調査庁
- サプライチェーン攻撃や虚偽情報拡散の脅威などを紹介、2023年版「情報セキュリティ白書」を公表 IPA
- ソフトウェアサプライチェーン攻撃に備える、SBOM導入に関する手引書の意見公募を実施 経産省
- 脆弱性の把握に有効、「ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0」を公開 経産省
- 付録資料の充実で分量は2倍に、ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」案の意見公募を実施 経産省
- 重要経済安保情報保護・活用法と改正経済安全保障推進法を公布 政府
- ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引「Ver2.0」を公表 経産省
- ネットワーク貫通型攻撃
- 「セキュリティ対応組織の教科書」の第3.2版を公開 ISOG-J/JNSA
- 防衛産業サイバーセキュリティ基準(新基準)に準拠する際の勘所