【知っておくべき】サプライチェーン攻撃とは?手口や対策法解説!
取引先がどれぐらいセキュリティ対策をしているかご存知ですか?
セキュリティ対策が甘い取引先だと不正アクセスされ、あなたの会社の情報が漏えいするかもしれません。
サプライチェーン攻撃はセキュリティが甘い取引先や関連企業に不正アクセスし、ターゲットの機密情報や個人情報を盗む攻撃。
- 「サプライチェーン攻撃の仕組みは?」
- 「セキュリティが甘い取引先かどうか判断する方法は?」
- 「サプライチェーン攻撃の対策はある?」
この記事ではサプライチェーン攻撃の手口や被害事例、企業が行なうべき対策をご紹介します。
被害にあわないためにどうすればいいか知りたい方は必見です。
1.サプライチェーン攻撃とは?
原材料の調達・製造・組み立て・管理・配送・販売までの一連の流れを、サプライチェーンと言います。
サプライチェーン攻撃とはセキュリティが手薄な末端の企業にサイバー攻撃し、そこからサプライチェーンの流れに沿って攻撃を拡大させる攻撃です。
- 取引先や関連会社が多い中小企業は、特に注意が必要ですね。
- はい!もし攻撃を受けて情報漏洩が発覚した場合、金銭的被害・業務の停止・信頼損失・刑事上の罰則を受ける可能性があります。
1-1.サプライチェーン攻撃の手口
サプライチェーン攻撃の手口は主に2通りあります。
- 1.取引先や関連企業を介した攻撃
- 2.ソフトウェアやサービスを介した攻撃
取引先や関連企業をたどりながら攻撃を拡大させる方法と、製品やサービスの製造過程で多くの社員が使用するソフトウェアを介して攻撃を広める方法があります。
1-2.なぜ被害に遭うのか?
サプライチェーン攻撃はなぜ成功するのでしょうか?
まず考えられる理由が3つあります。
- 1.社員のセキュリティ意識が欠けていたこと
- 2.セキュリティ対策への予算不足
- 3.セキュリティで問題が発覚した際の責任範囲が不明確
多くの事件は一人の社員がフィッシングメールを開いたことによるウイルス感染。
社員のセキュリティ意識が欠けていると起きてしまうことが多いです。
また、セキュリティの導入や人員に割ける予算が少ないと、セキュリティが薄くなってしまいます。
できる範囲でセキュリティルールとフローを確立させておきましょう。
- セキュリティフローはどのように作ればいいのでしょうか?
- 情報処理推進機構(IPA)が公開する「情報漏洩発生時のポイント集」 を見ながら作成するといいですよ!
2.サプライチェーン攻撃に遭った事例
サプライチェーン攻撃を受けて大規模な被害に遭った事例をご紹介します。
2-1.三菱電機株式会社の機密情報と個人情報が漏洩
2020年1月に三菱電機株式会社が「個人情報と機密情報が流出した」と発表。
中国の拠点にあるサーバにサイバー攻撃が仕掛けられ、不正アクセスされました。
中国拠点内のサーバから日本国内の端末に侵入され、不正アクセス探知機の知らせにより攻撃が判明。
流出した情報は機密扱いで本来なら紙のまま保管しておくべき情報でしたが、三菱電機が電子データ化し端末内に保存した結果、流出したのです。
2-2.AmazonやSlackなどのソフトウェアを狙った攻撃が急増
AmazonやSlackなどの企業とソフトウェアの依存関係を利用した攻撃が、2021年以降急増。
企業は業務を効率よく進めるために複数のソフトウェアを使用し、企業内のネットワークに結びつけます。
サイバー犯罪者はこの結びつきの部分に悪意のあるプログラムを仕掛け、企業のネットワークをハッキングしたのです。
2-3.更新プログラムにウイルスを仕込んで攻撃
ソフトウェアの更新プログラムや公式ソフトウェアにウイルスを仕掛けて、感染させる攻撃が増加。
会社のメールや掲示板サイトなどで「更新プログラムが配布されたので更新してください」と、お知らせが届きます。
サイバー犯罪者が更新プログラムにウイルスを埋め込めば社内中に広まり、社内に広まったウイルスはそのまま関連企業への攻撃を可能にするのです。
2-4.ネットワーク監視ソフトに過去10年で最悪な攻撃が!
国や企業が利用する大規模なネットワーク監視ソフト「Orion Platform」が、過去10年で最も大きいと言われるサプライチェーン攻撃を受けました。
ウイルスに感染した企業のサービスやシステムが、サイバー犯罪者の手によって強制的に停止させられたのです。
「Orion Platform」はアメリカの政府機関や大手企業など多くの組織が使用していたため、それらの組織と繋がりがあった企業にも被害が及びました。
恐ろしいことにこの攻撃は約9ヶ月間行われた可能性があり、被害総額は想像もつきません。
3.対策するなら経済産業省から補助金が出る?
企業や関連会社全体をサプライチェーン攻撃に強い組織にするため、経済産業省が「サプライチェーン・サイバーセキュリティ・コンソーシアム」を立ち上げました。
この組織はセキュリティ対策を推進し、企業に対しセキュリティ対策のアドバイスをしたり、人材育成をサポートしています。
さらには令和3年に経済産業省から、サプライチェーン攻撃の対策を考える企業に対し「国内投資促進事業費補助金」 が出されました。
セキュリティ対策に予算を割くべきか迷っている企業には朗報でしたが、すでに募集期間は終了しています。
今後も定期的に公募を開始する可能性があるので、経済産業省の公式サイトを確認しましょう。
4.サプライチェーン攻撃を受けないための7つの対策
サプライチェーン攻撃から情報を守るために効果的な対策をご紹介します。
4-1.認証制度の活用
企業内のセキュリティ対策が万全かどうか、第三者から客観的に見てもらうこともおすすめです。
PマークやISMSなどセキュリティ状況を確認し、安全を保障する機関があります。
安全の保証だけでなく認証マークを公表することで、社会的信用にもつながります。
【おすすめの認証マーク】
認証マーク名 | 内容 |
---|---|
プライバシーマーク(Pマーク) | 適切に個人情報を扱える仕組みのある法人や組織に付与。 マークの有効期限は2年間で、都度更新が必要。 |
ISMS(情報セキュリティマネジメントシステム) | 適切に個人情報を扱える仕組みのある法人や組織に付与。 マークの有効期限は2年間で、都度更新が必要。 |
4-2.ネットワークを独立させる
サプライチェーン攻撃は企業同士の繋がりをたどって、攻撃範囲を拡大させます。
できるだけネットワークの繋がりを断ち、それぞれ独立したネットワークに設計してリスクを下げましょう。
4-3.緊急事態発生時のフロー確立
サイバー攻撃を受け緊急事態が発生した際、問題に対応するためのフローを確立させることで攻撃の拡大を食い止められます。
フローの作成時、最初に決めるのは以下の3点です。
- 手順はどうするべきか?
- 誰が被害状況を確認するのか?
- 関係者と顧客へ報告するタイミング
- 3点を決めた後に情報処理推進機構(IPA)の「情報漏洩発生時のポイント集」 を参考にすればOKです。
4-4.予算の準備とサイバー保険への加入
サイバー攻撃のリスクは年々高まっています。
なので、サイバー攻撃による金銭的被害を補償してくれる「サイバー保険」へ加入し、万が一に備えておくといいでしょう。
主に損害賠償請求や訴訟を起こされた際の損害を補償します。
実際にサイバー保険に加入する企業は年々増加しています。
4-5.ログの管理と監視
不正アクセスを早期発見するには、アクセスログの管理と監視が必要。
いつ誰がどこにログインしたかを記録するのが「アクセスログ」です。
サイバー犯罪者たちは足跡を残すのを恐れ、アクセスログを自ら消します。
ログは消去されてもいいように、別の場所にも保管した方がいいでしょう。
ログの監視とは具体的に、正常時のログと比較して異常な箇所が無いか観察します。
「許可していない人がログインしていないか」「不自然な時間帯にログインしていないか」など、正常時と異なる箇所を探します。
4-6.使わないサービスは削除する
サプライチェーン攻撃は会社同士やソフトウェアのつながりで引き起こされる攻撃です。
使用しないサービスは即解約し、削除しましょう。
取り扱うソフトウェアやサービスが少ないほど、サプライチェーン攻撃のリスクは低いです。
サイバー犯罪者の侵入経路を1つでも多く断ちましょう
4-7.ファイアウォールとIPS / IDSの導入
「ファイアウォール」と「IDS(侵入検知システム)」を導入し、二重で不正アクセスを監視。
どちらも社内ネットワークへの通信を監視し不正アクセスを探すシステムですが、どちらも導入することで探知漏れを防ぎます。
5.サプライチェーン攻撃を防ぐおすすめのセキュリティ対策
サイバー攻撃による被害を防ぐには、人の手だけでは限界があります。
情報漏洩のリスクを考慮し、セキュリティを導入するのがおすすめです。
5-1.最強・安心のウイルス対策ソフト「ESET」
サプライチェーン攻撃はウイルスを仕込むことが多いため、強力なウイルス対策ソフトは必須。
導入するウイルス対策ソフトに迷っているならば、「ESET」がおすすめです。
多くの企業で採用され、ウイルスや不正アクセスをブロックする技術が非常に優れています。
「ESET」の心強いセキュリティ機能
- 動作が軽くほとんどのパソコンで軽快に動く
- 設定画面がシンプルなのでセキュリティ初心者にもおすすめ
- 3種類のパッケージがあり、どこまで守って欲しいか選べる
- パソコンの踏み台や不正アクセスをしっかり防止
- 新発見のウイルスでも即座にブロック
- アカウントのログイン情報を一元管理し漏洩させない
5-2.企業のセキュリティ対策はこれ一台「Cyber Box Pro」
- ぜひ「ESET」を導入したいのですが他にもセキュリティ対策をしなきゃいけないし、社員数も多いのでお金がかかりそうです。
- それなら「Cyber Box Pro」がおすすめですよ。これ1台で不正アクセス含むあらゆるサイバー攻撃をブロックしてくれるんです!
「Cyber Box Pro」のここがスゴイ!
- UTM「ESET」搭載済み
- 「ESET」と「Cyber Box Pro」2つの機能がウイルスを検知
- IDS(不正侵入検知システム)機能付き
- 外部からの遠隔操作を受け付けない
- 社内ネットワークや社員専用サイトへの不正アクセスを監視
- 当製品1台だけで社員全員のセキュリティ管理が可能
- 複数の拠点の操作ログを一度に監視及び管理
社員や端末の数だけ導入するよりも「Cyber Box Pro」1台の方が、断然お得です。
6.まとめ
サプライチェーン攻撃は自社だけでなく、関連会社全てをサイバー攻撃の脅威に晒し大変危険です。
実際にセキュリティ意識の高い大企業や高度なセキュリティサービスまで、被害に遭いました。
セキュリティ意識が低く対策しない企業は攻撃の踏み台にされ、更に大きな被害に遭う可能性が高いでしょう。
企業としてなすべき対策をし、ウイルス対策ソフトなどで不正アクセスを徹底的に防ぐことが大切です。