サプライチェーン攻撃

掲載:2023年12月04日

用語集

サプライチェーン攻撃とは、標的を直には狙わず、標的よりもセキュリティ対策が弱い標的の取引先や関連企業、標的が利用するサービスなどを経由して標的の機密情報などを窃取しようとするサイバー攻撃です。大企業など標的のセキュリティが強固である場合にこの手口が使われます。標的が属する供給網や組織間のつながりを悪用してネットワークにひそかに侵入、徐々に標的へ近づく攻撃のため、島伝い戦法になぞらえた「アイランドホッピング攻撃」もサプライチェーン攻撃の一種とみなすことができます。

サプライチェーンは商品の企画・開発から販売までの一連のプロセスを指し、サプライチェーン攻撃ではハードウェア、ソフトウェアのどちらも攻撃対象となり得ます。サプライチェーンの工程のどこかに侵入し、標的組織につながる情報を窃取したり、アカウントを乗っ取ったりして標的への侵入を試みます。サプライチェーンがソフトウェアやサービスの場合、例えばバックドアが仕込まれた更新ファイルを正規のアップデートとして実行してしまうよう仕向けます。また、侵入を防いだ場合でも、取引先の工場ラインが停止し部品供給が得られないなどの被害につながることもあります。被害を受けた組織が企業のシステム運用や保守を手掛けるMSP(マネジメントサービスプロバイダー)となった場合は、MSPの複数の顧客企業も感染してしまうため、被害が一気に拡大します。

サプライチェーン攻撃では、技術的な攻撃のほかに、乗っ取ったアカウントを利用してビジネスメール詐欺など人間の心の隙をつく「ソーシャルエンジニアリング」を仕掛けることもできます。メールの送信者は実在する取引先の氏名となるため、受け取る側は引っ掛かりやすくなります。このようにサプライチェーン攻撃は自組織のみのセキュリティをどれだけ堅牢にしても侵入を許してしまう可能性が高い攻撃といえます。

サプライチェーン攻撃は自社を直接狙ってくる攻撃ではないため、サプライチェーン全体のセキュリティ強化が求められます。取引先などに対しては必要なセキュリティ対策が確保されているか定期的に確認したり、情報セキュリティ要件を明記した契約を締結したりすることが未然防止につながります。

おすすめ記事