• 会員限定
  • 2022/04/19 掲載

サプライチェーン攻撃と対策の3つのポイントとは? 事例を交えてわかりやすく解説する

連載:サイバーセキュリティ最前線

記事をお気に入りリストに登録することができます。
サイバー攻撃が社会的にも深刻化する中、攻撃したい企業を直接攻撃するだけでなく、その取引先企業などを攻撃し、それを経路や踏み台にして侵入する「サプライチェーン攻撃」が増えてきました。今回は企業生命も脅かす「サプライチェーン攻撃」の基本と対策について焦点を当ててみます。

S&J コンサルティング事業部 粟田 磨弥

S&J コンサルティング事業部 粟田 磨弥

短大卒業後、日系金融機関にて金融実務業務を学んだ後、米国留学を経て、コントラクターとして日系・外資系の金融機関を中心にシステム統合プロジェクト、J-SOX導入支援プロジェクト、日系企業の海外拠点における情報セキュリティ体制構築支援プロジェクトなどに参画する。さまざまなプロジェクトを通じて情報セキュリティの重要性を知り、以降は、国内外における情報セキュリティ体制の構築運用支援、BCP策定支援、危機管理対策支援、ISMS、ITSMS、Pマークの導入運用支援、従業員向け情報セキュリティ対策教育などを手がける。企業価値の向上を目標に、日々、情報セキュリティの普及活動に力を注いでいる。

S&J
サイバー攻撃対策システムの開発及び運用、サイバー攻撃監視やセキュリティ診断、コンサルティング、インシデント対応など、お客さまのニーズに応えることができる"最適なセキュリティサービス"を提供している。
https://www.sandj.co.jp/

photo
サプライチェーン攻撃は、企業規模に関わらず企業生命を脅かす重大な脅威だ。その仕組みと対策を確認しておこう
(Photo/Getty Images)

「サプライチェーン攻撃」とは何か

 日本国内の企業の99.7%は中小企業が占めています。日本の中小企業の素晴らしい点は、規模は小さくても大手企業にはなかなかまねのできない非常に高度な製品やサービス、技術を提供できることです。大手企業は、中小企業の持つ優れた技術力を自社のビジネスに活かすため、中小企業をサプライヤ企業として取引することが少なくありません。

 一方で、中小企業ならではの弱点も存在します。その1つがセキュリティ対策です。中小企業にとって、大手企業と同じような機材や人員を調達し、各種セキュリティツールの運用管理を行って大手企業と同じレベルのセキュリティ対策を実施することは容易ではありません。

 攻撃者はこの点に着目し、大手企業の事業の重要な部分に携わっているにもかかわらず、セキュリティ対策が手薄な取引先やグループ企業の子会社、関連会社、海外拠点、各地域の営業所などを狙って攻撃を仕掛けてくるのです。このような攻撃を「サプライチェーン攻撃」と呼びます。

 情報処理推進機構(IPA)は、毎年、個人と組織の「情報セキュリティ10大脅威」を発表していますが、その組織編において同攻撃は2020年が4位、2021年は3位に入っています。企業にとっては、それだけ注意を要する脅威だといえます。

画像
情報セキュリティ10大脅威2022。サプライチェーン攻撃は、2020年は4位、2021年は3位に入っている
(出典:情報処理推進機構)

事例から理解するサプライチェーン攻撃の手口

 サプライチェーン攻撃の攻撃手法としては、不正に盗み出された取引先情報やアカウント情報を悪用し、取引先メールを装って狙いを定めた企業に対して送付する「標的型メール攻撃」や、不正に盗み出した正規の権限を攻撃者が用いる「不正アクセス」、標的とした企業が利用しているソフトウェア製品情報などを盗み出し、その製品の更新プログラムを配信する手口を偽装して不正プログラムを仕掛ける手法などがあります。

 実際に取引している中小企業やサービス利用企業からの名前をかたったメールが届くと、多くの受信者は、疑うことなくメールを開いて添付ファイルや記載のリンクをクリックしてしまう確率が高いでしょう。その結果、不正アクセスやマルウェア感染などの被害を受けてしまうのです。

 ここでは実際にサプライチェーン攻撃を受けた企業の事例を紹介します。

 ある著名な大手企業に対して、サプライヤ企業が所有する正規のアカウントからアクセスがありました。ところが、導入していたUTM(統合脅威管理)がアクセスをブロックしたため、すぐに調査が開始されました。接続時間が非常に短いこと、不審な管理共有が検出されていることなど、疑わしい点が複数見つかったためです。

 その後、セキュリティ専門事業者による多角的な調査、分析が行われました。その結果、不正アクセス時によく見受けられる「存在しないアカウントからのログイン行為」が検出されていないことから、この正規アカウントからのアクセスは、不正に取得された正規アカウントを用いた不正アクセスであることが判明しました。

 UTMなどを正しく活用したり、専門事業者から専門的な知見を得たりすることがなければ、この攻撃は何ら問題のない正規アカウントからのアクセスとして見過ごされていたかもしれません。

被害者でありながら加害者となってしまう恐怖

 サプライチェーン攻撃の恐ろしいところは、ターゲットとなったサプライヤだけの被害に留まらない点にあります。サプライヤへの攻撃を起点に、重要取引先である大手企業に対して機密情報の窃盗などの極めて大きな被害を与えてしまう可能性があるのです。そうなると、大手企業からは犯罪者のように扱われ、最悪の場合、取引が中止され、企業生命を絶たれてしまう恐れもあります。

 中小企業にとって大手企業並みのセキュリティ対策を行うことは、経済的な面だけ見ても非常に困難です。しかし、「ウチは中小企業だからセキュリティ対策の必要性は感じない。大手企業のようなセキュリティ対策はできない」と言っていられないことも事実です。

 今後、大手企業に対するセキュリティ対策の実施レベル向上に伴い、サプライヤ企業に求められるセキュリティ要求もますます高くなると思われます。

 たとえば、サプライヤ契約を結ぶ際、プライバシーマークやISMS(情報セキュリティマネジメントシステム)の取得必須などを基本的な条件とし、加えてSLA(サービスレベルアグリーメント)の締結や委託先監査を必ず受けることを条件に設けている大手企業は、今でもかなりの数が存在します。

 したがって、企業の大小に関わらず、セキュリティ対策を軽視すると会社の成長や利益獲得に悪影響を及ぼす恐れがあることを、経営陣は十分に認識しておく必要があるのです。

【次ページ】サプライチェーン攻撃に備える3つのポイント

関連タグ

あなたの投稿

関連コンテンツ

深刻化する病院サイバー攻撃に、「ランサムウェア交渉人」はアリかナシか?

 どうにも、この記事を書いたライターは映画やドラマ、漫画やアニメ由来のフィクションの知識で述べているようだ。バグバウンティ制度というものはあくまで開発ベンダやセキュリティベンダが任意で実施しているものであって、ベンダによってはバグバウンティ制度を取り入れていないところもある。危険性や重要度に応じて支払う報奨金というものは決まっている。そのため危険性や重要度の低いバグに対しては報奨金の金額は安くなる。支払われる報奨金というのは価格帯が既に定められているので交渉したからといって大きく変わるわけではない。交渉人が出てくる余地がないし、交渉人が仲介手数料なんて取ろうものならば原価割れしてしまうわけだ。そして、バグバウンティ制度を実施していない企業に交渉人が脆弱性情報の買取を持ちかけようものならば、恐喝罪で訴えられる可能性さえある。
「通常は、発見した脆弱性や攻撃手法を自分で利用する(犯罪を犯す)より、相手に高く買ってもらったほうがよいと考える。」と記事では書いてあるが、それも違う。仮に悪意を持ったハッカーが危険な脆弱性を発見した場合、自分でその脆弱性を利用した攻撃をして犯罪を犯すと警察に逮捕されるリスクがある。自分で犯罪さえ行わなければ警察に逮捕されるリスクはゼロだ。だから自分では犯罪は行わない。脆弱性情報を買い取ってくれる企業があればお金で売って利益を得る。ただそれだけなのだ。実際にサイバー犯罪に関わって犯罪収益を得ている反社会組織でも、脆弱性情報の多くは悪意を持ったハッカーではなくセキュリティ会社(=ホワイトハッカー)から買っている。サイバー攻撃自体は自身は行わずに買い取った脆弱性情報をもとに作成した攻撃ツールの販売やクラウド上に攻撃用プラットフォームを構築して時間貸ししてクラウドサービスとして収益を上げている。現代では脆弱性を発見する人、発見者から脆弱性情報を買って収集して販売する人、攻撃ツールを作る人、攻撃ツールを売る人、攻撃ツールを使って攻撃する人といったように各々関係のない人や組織が分業している。
 身代金支払いの是非に関して述べると、現行法では身代金の支払い自体を直接罰する法律はない。それならば身代金を払ってしまえばよい、とはならない。例えば、ランサムウェアならば様々な要素を考慮した上での経営判断が必要となる。以下の理由で正当化が出来るか、ということは最低限考える必要がある。
 1. 復旧コストより身代金の方が安価
 2. 大量の個人情報など機微性の高い情報漏えいのおそれ
 3. 重要インフラサービスの停止のおそれ
 4. 人の生命・身体が害されるおそれ
1.と2.に関しては紛れもなくその場しのぎでしかないのでまともな知性のある経営者であれば経営判断としての身代金払はしない。
3.に関しては微妙な問題なので、細かい分析をした上で社会への影響を考慮した上での経営判断となる。
4.に関しては仕方がない。払うしかない。
 ここで意識していただきたいことは、ランサムウェアの身代金の支払いに対する対応は経営者が判断すべき経営問題そのものである。現場のエンジニアや担当部署の責任者が判断するのではなく、その企業の経営方針として経営者が判断を下すべき経営問題ということだ。
 この記事の2ページ目でしきりに「交渉人」の必要性をしきりにアピールしているが、いい年した大人が妄想と現実を混同するのをいい加減にするべきだ。きっと、この記事を書いたライターの人は交渉人をモデルにした映画かドラマでも見た影響でも受けたのだろう。
 交渉人というのは本質的には犯人の脅迫行為を容認することだけではない。そもそも、犯人側にとって身代金事件の成功の鍵は交渉人が握っている。身代金支払いにより犯人側が犯罪収益を得るための功労者であることから共同正犯(刑法60条)が成立してしまう。つまり、刑法上は身代金を要求してきた犯人グループの一員とみなされてしまうわけだ。
 記事では「ランサムウェア交渉人を運用するためには、警察に犯人を特定、摘発できるくらいのサイバー捜査能力が必須となる。」と書いてあるが、犯人を特定、摘発できるのであれば犯人逮捕とともに暗号鍵も押収できるからから身代金を支払う必要がないではないか。この記事を書いたライターは自身の書いた言葉の意味を理解してこの記事を書いているのだろうか。犯罪を正当なビジネスにしてしまうこと自体が非現実的だし、あまりにも考えが幼稚で虚構と現実を取り違えたような記事を書いている暇があれば、もっと社会の勉強をし直した方が佳いだろう。もし、このライターがジャーナリストの肩書を今後も掲げるつもりならば、この記事のような妄言を書き連ねる前にはよく調査と考察を重ねて自身の考えを遂行する必要がある。今回は半田病院の事件を起点としているので、デジタルフォレンジック研究会の医療分科会が公開している資料の『医療機関向けランサムウェア対応検討ガイダンス』(https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf)を一読して勉強して出直してくることをおすすめする。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます