サプライチェーン攻撃が増加し、自社と取引先を含めた事業継続や情報漏えいに関わる脅威となっている。IPA「情報セキュリティ10大脅威 2023」でサプライチェーン攻撃は2位へランクアップしている。攻撃の種類や対策、米国政府の取り組みなどから、サプライチェーンセキュリティーの重要性を解説する。
ITセキュリティーに関連したホットトピックを取り上げ、動向や対策をひも解きます。今回はサプライチェーン攻撃へのセキュリティー対策を解説します。
サプライチェーン攻撃の種類
サプライチェーン攻撃とは、大企業から中小企業までを含む組織のサプライチェーンにおける弱点を突いて侵入を図るサイバー攻撃を指します。さまざまな形態が存在しますが、今回は攻撃の起点を軸に、「ソフトウエア・ハードウエア」「ビジネス」「サービス」の3つに区分し、それぞれの攻撃について解説します。
攻撃区分(1):ソフトウエア・ハードウエアサプライチェーン攻撃
ソフトウエアサプライチェーン攻撃は、ソフトウエアの開発や配布プロセスを侵害することでソフトウエアやアップデートプログラムに悪意あるコードを埋め込み、当該コードを悪用して標的組織を侵害する攻撃手法です。
ハードウエアサプライチェーン攻撃も同様に製造開発プロセスに悪意のあるコンポーネントを物理的に組み込むことで、ハードウエア製品にバックドアやマルウエアを仕込む攻撃手法です。攻撃者は事前に仕込んでおいたコンポーネントを悪用し、最終的な攻撃目標へのアクセスを試みます。
特にソフトウエアサプライチェーン攻撃は近年爆発的に増加しており、2020年に発生したSolarWinds製品の正規アップデートプログラムにバックドアを含むコンポーネントが仕込まれていたことが明らかになり影響の大きさから話題になりました。
また最近ではPythonやPHPなどの著名パッケージライブラリーにクレデンシャルを窃取するコードが埋め込まれていたことが明らかになっています。
攻撃区分(2):ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃は、セキュリティー対策が不完全な関連会社や取引先への侵入を足掛かりに、最終目標であるターゲット企業への攻撃を成功させる手法です。日本では2022年の国内大手企業の被害により注目を集めました。
この攻撃は以前から脅威であったものの、委託先のセキュリティー対策状況を把握している日本企業は半数以下にとどまっており、北米・豪州企業と比較し大きく後れを取っている状況と言えます。
攻撃区分(3):サービスサプライチェーン攻撃
サービスサプライチェーン攻撃は、マネージドサービスプロバイダーなどのサービス事業者が攻撃され、顧客システムの運用・保守における正当なアクセス権限が悪用される攻撃手法です。
最近では、DXの進展に伴い複数のサービスを組み合わせたシステム開発が増えています。連携するサービスの仕様を踏まえ、意図しない使われ方が可能となっていないか分析が必要です。そのリスク分析不足により、脆弱なサービス連携ポイントを突いた攻撃が行われ、不正な電子決済や個人情報漏えいなどの問題が発生しています。
このようにサプライチェーン攻撃は、多様な攻撃ベクトルを持ち影響が広範囲に及びます。サプライチェーンに組み込まれている企業は、組織規模に関わらず攻撃に対する備えが必要です。
