サプライチェーン攻撃

サプライチェーン攻撃とは？

サプライチェーン攻撃の「サプライチェーン」とは、原材料を仕入れて商品の製造を行い、物流網に乗せて消費者へと届けるまでの一連のつながりを表す言葉です。

そしてこのサプライチェーンを悪用したサイバー攻撃を、「サプライチェーン攻撃」と呼びます。

サプライチェーン攻撃は近年その脅威が認識されるようになったサイバー攻撃ですが、現在、世界中で多くの事案が確認されています。

サプライチェーン攻撃には2パターンある

サプライチェーン攻撃と呼ばれる攻撃には、主に2種類のパターンがあります。

1つめのパターンは、ソフトウェアやデバイスを製造する過程において、マルウェアに感染させたりバックドアを仕込んだりする手口を用いた攻撃です。

また、アップデートプログラムやパッチに埋め込んで感染させるという手法もあります。

実際に起こった案件として、システムクリーニングツールの「CCleaner」が改ざんを受けてマルウェアを混入させられたというものがあり、注目を浴びました。

この1つめのパターンは、その手口から「ソフトウェアサプライチェーン攻撃」という呼ばれ方をされています。

そしてもう1つのパターンは、真のターゲットである企業の関連会社や業務委託先、仕入れ先、取引先などをまず攻撃し、それを足掛かりにしてターゲットの企業に攻撃を仕掛けるものです。

とくに多いケースとして、セキュリティ対策が徹底された大企業を攻撃するために、セキュリティの甘い小中規模の関連企業をまず狙う、といったものが挙げられます。

サプライチェーンに対するセキュリティも重要！

セキュリティ対策を検討する際、多くの企業では、自社の取り組みについてのみ検討するでしょう。

しかし、関連会社や委託先などを経由して攻撃を仕掛けてくるサプライチェーン攻撃に備えるためには、自社の対策のみでは足りません。

サプライチェーン全体でセキュリティ対策を講じることが求められます。

独立行政法人情報処理推進機構（IPA）による「サイバーセキュリティ経営ガイドライン」でも、経営者が認識すべき三原則のひとつとして、“自社だけでなく委託先やビジネスパートナーも含めたサプライチェーンに対するセキュリティ対策が必要”という内容の記載があります。

ぜひ、自社のセキュリティ対策にとどまらずサプライチェーンにまで目を向けたセキュリティ対策が重要であることを頭に入れておきましょう。