2つのタイプがあるサプライチェーン攻撃

サプライチェーン攻撃とは、あらゆる産業を構成するサプライチェーン・バリューチェーンの一部に侵入することで目的を達成するサイバー攻撃のことをいう。細分化や役割分担が進む産業構造においては、非常にやっかいな攻撃でもある。2024年にIPAが発表した「情報セキュリティ10大脅威(組織)」では2位に入っている。ここ数年、ランサムウェア攻撃の拡大により、さらに被害が深刻になっている。

サプライチェーンの弱点を利用した攻撃が2位に入っている(IPA 情報セキュリティ10大脅威2024 より

サプライチェーン攻撃の分類方法はいくつかあるが、ここでは次の2つのタイプで考える。

・業務システムやチェーン企業を狙った攻撃
・ソフトウェア開発のチェーンを狙った攻撃

前者は取引先や子会社など、比較的防御の緩い企業になんらかのサイバー攻撃で侵入し、そこを踏み台に取引先の大企業、親会社の(公共事業や公募案件ならば政府・自治体の)システムに侵入する攻撃が典型例だ。目的は、取引先情報、個人情報、あるいは経営情報や企業秘密などにアクセスすることだ。乗っ取った取引先のシステムやアカウントを利用して、高度なスピアフィッシング(標的型のフィッシング)やなりすましによる攻撃に利用することもある。

近年では、サプライチェーンの末端企業(中小企業が多い)へのランサムウェア攻撃が、上流の大企業、親会社の事業を止めることがある。この場合、最初の標的が中小企業でもランサム(脅迫)の効果・影響を高めることが可能で、高額な身代金につながることもある。

後者は、ソフトウェア製品やサービスを構成する、ソフトウェア部品(ライブラリ、サービスAPI、クラウドサービスなど)にマルウェアやバックドアを仕込むことで、製品およびサービス利用者全体にサイバー攻撃を行うような場合だ。

攻撃者は、OSSの開発プロジェクトに忍び込んでマルウェア入りのモジュールをリリースに組み込ませたり、商業開発の下請け企業を偽装したりすることもある。単純に開発子会社のシステムに侵入し攻撃コードを混入させたり、正規のソフトウェアアップデートシステムに侵入してマルウェア入りのアップデートを配布させたりすることもある。

標的や目的で変わるサプライチェーン攻撃

通常の報道では、どちらの「サプライチェーン攻撃」なのか明確に書き分けることはあまりない。両者を組み合わせた攻撃も想定可能で、広い意味では、どちらの場合もサプライチェーンに対する攻撃だからだ。

しかし、企業システムを狙ったサプライチェーン攻撃は、最終的な目的は、特定企業の情報資産を狙うことが多い。そのため、スピアフィッシング(によるアカウントの奪取)や特定の企業や個人が頻繁にアクセスするサイトを改ざんしマルウェア感染を図る水飲み場攻撃、サーバーへの不正アクセスが行われる。

対してソフトウェア開発のチェーンを狙った攻撃は、流通するソフトウェアの利用者が最終的な標的である。最初の侵入は開発者のアカウントや開発システムなので、標的を絞った攻撃になるが、最終的な狙いは不特定多数へのサイバー攻撃だ。

標的が企業システムでも開発システムでも、それぞれに例外は存在する。厳密に違いを分類することにこだわりすぎる必要はないが、標的や目的が異なる場合、使われるマルウェアの種類や攻撃手法も変わる。対策の立て方、防御手法も連動して変わるので注意が必要だ。

弱い部分が全体のセキュリティレベルを下げる

サプライチェーン攻撃の最大の問題は、全体の防御が簡単ではなく、攻撃被害のインパクトが大きいことだ。企業システムを狙った攻撃では、チェーンの末端、あるいは途中であっても、チェーン全体の取引や業務に影響を与える。

サプライチェーンへの攻撃に伴う業務停止例(TOYOTAプレスリリース より

下請け企業の在庫管理システムがサイバー攻撃で止まったとする。部品の製造ラインや制御システムは無傷だとしても、伝票が印刷できないといった理由で業務が停止することがある。たとえ小さい部品、代替可能な部品だとしてもだ。在庫を極力持たない高度なサプライチェーンシステム(ジャストインタイム)の場合、停止が一時的なものだとしても、そこから先も連鎖的に停止し、復旧に時間がかかってしまう。

そして、下請け企業のような中小規模の会社ほど、セキュリティ対策が甘い傾向がある。攻撃者にとって守りの堅い大企業を直接狙うより効率がいい。

ばらまき型のランサムウェアに感染した下請け企業の影響で国内最大手の自動車メーカーの工場ラインが止まったことさえある。これは、攻撃側がただのランサムウェア攻撃のつもりで、サプライチェーン攻撃を意図していなくても起こりうる。

業界ぐるみの対策が急務

「うちは中小企業で大企業のような価値のある情報は持っていない」と攻撃価値は少ないと思っているかもしれない。しかし、サプライチェーン攻撃は、まさにその盲点をついてくる。

企業規模別 情報セキュリティ対策投資を行わなかった理由(IPA中小企業における情報セキュリティ対策に関する実態調査 より

また、セキュリティ事情や文化、ビジネス慣習、さらには法律が異なる海外の協力企業や子会社が狙われることもある。親会社やティア1がいくら多額の投資で守りを固めても、攻撃者からすれば、弱点が1か所あれば十分なのである。

対策は、個社まかせでは意味がないということだ。グループや業界ぐるみで、チェーン全体でのセキュリティ基準の作成とそれを可能にする投資が求められている。

なお、サプライチェーン攻撃の対策や考え方については、「サイバーセキュリティ経営ガイドラインVer3.0」(経済産業省・IPA)を参考にするとよい。文書は、経営に直結するセキュリティ対策や考え方を包括的に解説したものだが、増えるサプライチェーン攻撃を踏まえた内容になっている。

同文書では経営者のサイバーセキュリティについて「経営者が認識すべき3原則」を設定している。このうち2番目の原則で「サプライチェーン全体にわたるサイバーセキュリティの対策への目配りが必要」と明記されている。

経営者が認識すべき3原則(サイバーセキュリティ経営ガイドラインVer3.0 より

対策アプローチの基本は2つ

サプライチェーン攻撃が、標的や狙いによって2つに分類されるなら、対策も2つのアプローチがある。ひとつは、サプライチェーン攻撃で利用される個々の攻撃に対する防御をしっかりすること。もうひとつは、チェーン全体で対策に取り組むことだ。

サプライチェーン攻撃で利用されるのは、ランサムウェアやフィッシングメール攻撃が考えられる。チェーンの各企業が個別に使っている業務システムの脆弱性が狙われることもある。

例えば、下請け企業がWordPressで自社ホームページを作っていたとする。WordPressは、脆弱性対策をしっかりしていないと侵入ポイントとなりやすい。脆弱性の数ならば業務システムで多用されるTomcatのようなフレームワークも同様だ。AWSはアカウント情報やセッションキーが狙われやすいし、設定ミスによるハッキングも少なくない。

ランサムウェア、フィッシングメール、脆弱性対策のいずれについても、特別な対策は必要ない。基本的なセキュリティ対策と体制を整えておくことに尽きる。ただし、ここで留意しなければならないのは、自社だけ防御を高めてもチェーンの中にセキュリティレベルが低い企業があれば、全体のセキュリティ強度は弱い部分が基準になってしまう。したがって、重要なのは、個社を越えたチェーン全体で対策に取り組むことだ。