PR

 サイバー攻撃対策に抜かりない大手企業をどう攻略するか――。サイバー攻撃者が目を付けているのが、大手企業が原材料や部品、情報システムを調達する取引先だ。取引先の多くは中小企業であり、大手企業と比べてサイバー攻撃対策が十分でない。そこにサイバー攻撃を仕掛け、大手企業に侵入する足がかりとする「サプライチェーン攻撃」の脅威が無視できないほどに高まっている。

サプライチェーン攻撃の例
サプライチェーン攻撃の例
[画像のクリックで拡大表示]

 大企業のサイバー攻撃対策が万全でも、取引先の対策に不備があれば、管理を委託した顧客情報が流出したり、取引先を経由して自社のシステムに侵入されたりといった事態を招きかねない――。政府はこうした危機にいち早く気づき、注意喚起に動いている。経済産業省と独立行政法人情報処理推進機構(IPA)は2015年に公表した「サイバーセキュリティ経営ガイドライン」で、経営者が認識すべき3原則の2番めに「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」と記載した。

66%の企業がソフトウエアサプライチェーン攻撃に

 しかしながら、日本企業の動きは鈍い。セキュリティ企業の米クラウドストライク(CrowdStrike)が2018年7月に発表した調査によれば、日本を含む世界8カ国で約7割の企業がサプライチェーン攻撃の被害を受け、日本では平均1億円の被害が発生している。約8割が深刻さを認識しながらも、対策は後手に回っている。特に日本企業の対応は最も遅れている。

 今回、クラウドストライクが「サプライチェーン攻撃」としているのは、正規サイトが配信するソフトウエアを改ざんし、マルウエアをダウンロードさせる「ソフトウエアサプライチェーン攻撃」を含んでいる。ソフトウエアサプライチェーン攻撃では2017年に人気のPC最適化ツール「CCleaner」にマルウエアが埋め込まれ、200万本以上がダウンロードされた。また、何者かが税務会計ソフトの更新機能を悪用し、ランサムウエア「Nyetya」を欧州を中心に拡散させた。

 こうした状況を踏まえ、クラウドストライクでテクノロジーストラテジーバイスプレジデントを務めるマイケル・セントナス氏は「2017年以降、サプライチェーン攻撃が世界中で深刻化している」と警鐘を鳴らす。同社の調査では、66%の企業が過去にソフトウエアサプライチェーン攻撃を受けたと回答。攻撃による経済損失の平均額は、全体で1億2000万円超(112万4914ドル)で、日本企業の平均は1億円超(91万2037ドル)だった。

 同調査は米や英、ドイツ、カナダ、メキシコ、オーストラリア、日本、シンガポールの幅広い業種を対象としたもの。上級IT意思決定者とITセキュリティ専門家の合計1300人に、2018年4月と5月にインタビューを実施した。