サプライチェーン攻撃とは
サプライチェーン攻撃とは、企業が製品やサービスを提供する過程(サプライチェーン)において、関連する企業や組織、またはその提供するソフトウェアなどを介して、本来の標的である企業を攻撃するサイバー攻撃のことです。
たとえば、ある企業が利用しているソフトウェアのアップデート機能に悪意のあるコードを忍び込ませたり、セキュリティ対策が手薄な取引先企業を踏み台にして、より強固なセキュリティを持つ大企業への侵入を試みたりする手口がこれに該当します。
攻撃者は、直接攻撃が難しい大企業や組織を狙う際、セキュリティが比較的脆弱な中小企業や、広く使われているソフトウェアのベンダーなどを狙います。これにより、信頼された経路を通じて標的のシステムに侵入し、情報窃取やシステム破壊、ランサムウェア [blocked]感染などの被害を引き起こします。
なぜ今、話題なの?
近年、サプライチェーン攻撃が話題となる背景には、以下の要因が挙げられます。
- 企業のデジタル化と複雑化: 多くの企業がクラウドサービスや外部のソフトウェア、複数のベンダーとの連携を深めています。これにより、自社だけでは管理しきれない外部との接点が増え、攻撃経路が多様化しています。
- セキュリティ対策の強化: 大企業や政府機関ではセキュリティ対策が高度化しており、直接的な攻撃が困難になっています。そのため、攻撃者は比較的セキュリティが手薄な関連企業やサプライヤーを狙う傾向が強まっています。
- 被害の広範囲化: 一つのサプライヤーが攻撃されると、そのサービスを利用する多数の企業に被害が連鎖的に広がる可能性があります。例えば、広く使われているソフトウェアのアップデートが改ざんされた場合、そのソフトウェアを利用する数万、数十万の企業が同時に被害を受ける恐れがあります。
2020年には、SolarWinds社のソフトウェアを介した大規模なサプライチェーン攻撃が発覚し、世界中の政府機関や企業に影響を与えたことは記憶に新しい事例です。このような大規模な被害が頻発していることから、サプライチェーン攻撃への関心と対策の必要性が高まっています。
どこで使われている?
サプライチェーン攻撃という言葉は、主にサイバーセキュリティ [blocked]の分野で使われます。企業の情報システム部門やセキュリティ担当者、政府機関のサイバーセキュリティ担当者などが、この脅威について議論し、対策を講じる際に用いられます。
また、ビジネスニュースやIT関連の報道でも、大規模な情報漏洩やシステム障害が発生した際に、その原因がサプライチェーン攻撃であった場合にこの用語が使われます。一般のビジネスパーソンがニュースなどでこの言葉を見聞きする機会も増えています。
覚えておくポイント
サプライチェーン攻撃について覚えておくべきポイントは以下の通りです。
- 信頼関係の悪用: 企業が信頼している取引先やベンダー、ソフトウェアなどを介して攻撃が行われます。
- 間接的な攻撃: 直接標的を攻撃するのではなく、関連する第三者を経由して侵入を試みます。
- 被害の連鎖: 一箇所の脆弱性が、サプライチェーン全体に広範囲な被害をもたらす可能性があります。
- 対策の重要性: 自社だけでなく、取引先や利用しているサービスのセキュリティ状況にも注意を払う必要があります。契約時にセキュリティ要件を盛り込んだり、定期的な監査を行ったりするなどの対策が求められます。
サプライチェーン攻撃は、現代の複雑なビジネス環境において避けられない脅威の一つです。自社だけでなく、サプライチェーン全体でのセキュリティ意識と対策の向上が不可欠です。