2021.09.30 04:17:47
NEWS
サプライチェーン攻撃の事例から学ぶセキュリティ見直しポイント
サプライチェーン攻撃の事例から学ぶセキュリティ見直しポイント
目次
近年のセキュリティインシデントの発生傾向
2019年以降、「サプライチェーン攻撃」の増加に伴い、サプライチェーンのセキュリティが注目されています。IPA発表の「情報セキュリティ10大脅威2021」では、サプライチェーン攻撃が第4位にランクインしています。サプライチェーン攻撃は、IT運用における各種システム利用において、委託先となるベンダーの製品を介して攻撃されるものとなるため、利用者側としては注意が必要となります。
従来のリスク対策としては、災害・事故などが起こっても事業を止めないこと(=BCP)に重点を置かれていましたが、近年はBCPという観点だけではなく、情報保護という観点からもリスク対策が必要となってきます。
| 順位 | 組織 | 昨年 順位 |
| 1位 | ランサムウェアによる被害 | 5位 |
| 2位 | 標的型攻撃による機密情報の窃取 | 1位 |
| 3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | New |
| 4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
| 5位 | ビジネスメール詐欺による金銭被害 | 3位 |
| 6位 | 内部不正による情報漏えい | 2位 |
| 7位 | 予期せぬIT基盤の障害に伴う業務停止 | 6位 |
| 8位 | インターネット上のサービスへの不正ログイン | 16位 |
| 9位 | 不注意による情報漏えいの等の被害 | 7位 |
| 10位 | 脆弱性対策情報の公開に伴う悪用増加 | 14位 |
引用:IPA「情報セキュリティ10大脅威2021」
サプライチェーン攻撃の概要と手法
サプライチェーン攻撃とは
ターゲット企業のグループ会社、業務委託先、仕入れ先等を攻撃し、それを足がかりにターゲット企業に侵入する攻撃のことを指します。中でも、サイバー脅威アクターがソフトウェアベンダーのネットワークに侵入し、ベンダーによって顧客にソフトウェアが送信される前に、悪意のあるコードを使用してソフトウェアを侵害するソフトウェアサプライチェーン攻撃が特に活発化しています。
サプライチェーン攻撃は、
・感染〜発覚までのタイムラグがあり、事象が確認できるまでの間に感染が拡大してしまう
・企業間の取引経路や流通経路を使って感染が拡大するため、影響範囲が想定よりも拡大する可能性がある
・委託先(サービス提供者)に対して攻撃がなされるが、情報漏えいなどのインシデントが発覚するのは委託元となる
という点から、企業全体に重大な影響を及ぼす脅威です。
サプライチェーン攻撃の手法
サプライチェーンの攻撃手法は、下記のようなものが一般的です。
・アップデートのハイジャック
・コードサイニングの弱体化
・オープンソースコードの侵害
攻撃方法
- 取引先や関連会社を経由した攻撃
セキュリティ対策の薄い取引先や関連会社を経由して、ターゲットである企業へ攻撃を実行(例:取引先のメール偽装など) - ソフトウェアやソフトウェアの更新プログラムを介した攻撃
ターゲットである企業で利用されているソフトウェア製品や、製品の更新プログラムなどに不正なプログラムを仕掛け攻撃を実行
- 取引先や関連会社を経由した攻撃
関連記事:
ソフトウェアサプライチェーン攻撃とは何か | 米CISA/NISTの資料から(1/3)
ソフトウェアサプライチェーン攻撃とは何か【ユーザーの対策編】 | 米CISA/NISTの資料から(2/3)
ソフトウェアサプライチェーン攻撃とは何か【ベンダーの対策編】 | 米CISA/NISTの資料から(3/3)