サプライチェーン攻撃とは、商品やサービスの開発・生産から販売・消費に至るまでの全工程(=サプライチェーン)のうちの脆弱な箇所を突いて踏み台とし、間接的に本命の標的組織を狙う攻撃を指します。本記事では、サプライチェーン攻撃の概要や種類について紹介し、実際の攻撃事例を踏まえて手口や対策などをわかりやすく解説します。
サプライチェーン攻撃とは?概要をわかりやすく
サプライチェーン攻撃とは、その名の通り「サプライチェーンを悪用した攻撃」のことを指しますが、そもそも「サプライチェーン」とは何なのでしょうか?
そもそも「サプライチェーン」とは?
サプライチェーンとは、商品やサービスが生まれてから消費されるまでの一連の流れ全体のこと、または、この商流に関わる組織群のことを言います。具体的には、商品/サービスの企画・開発、原材料や部品等の調達、生産、在庫管理、配送、販売、消費までのプロセスすべてがサプライチェーンであり、いずれかの工程に関わっている企業や組織もサプライチェーンの一部とされています。サプライ(supply)は「供給」、チェーン(chain)は「鎖」や「連鎖」を意味することから、「供給の連鎖」と表現されることもあります。
<サプライチェーンのイメージ>
サプライチェーン攻撃とは?
サイバー攻撃者は、真に狙いたい企業を直接攻撃する代わりにその企業の商流に関わる別の組織を侵害し、そこを踏み台にして間接的に本命の標的企業を攻撃することがあります。
例として、「本命の標的がかなり大規模な食品製造会社(仮にA社)でセキュリティも強固であり、直接ネットワークに侵入するのが難しい」という場合を想定してみましょう。食品製造会社であれば、サプライチェーン内に原材料の調達や配送、商品の製造、完成した商品に関する物流、宣伝・販売といったプロセスが関わってくるはずです。その中の、例えば消費者への販売を担う小売業者(仮にB社)が適切なセキュリティ対策を実施していなかった場合、攻撃者はまず簡単に侵害できそうなB社を狙い、そこから間接的にA社を攻撃しようと試みるかもしれません。
このように、直接攻撃するのが困難な標的を、サプライチェーンの脆弱な部分を踏み台として利用することで間接的および段階的に標的にする攻撃を「サプライチェーン攻撃」と言います。
このほか、企業の使用するソフトウェアの開発ライフサイクルを悪用した「ソフトウェアサプライチェーン攻撃」と呼ばれるタイプの攻撃や、企業が利用するサービスの提供元などを狙った「サービスサプライチェーン攻撃」と呼ばれるものもあります。
サプライチェーン攻撃の種類
先ほども少し触れましたが、サプライチェーン攻撃は大きく以下の3種類に分けて考えることが可能です。
①委託先や子会社などを狙うビジネスサプライチェーン攻撃
②ソフトウェアサプライチェーン攻撃
③サービスサプライチェーン攻撃
それぞれ詳しくみていきましょう。
委託先や子会社などを狙うビジネスサプライチェーン攻撃
委託先や子会社、取引先、海外支社・拠点など、本命の標的とビジネス上の繋がりを持つ組織を踏み台にして実施されるサプライチェーン攻撃です。こうした組織は、業務上、本命の標的に関する機密情報を保有していることが多いことから、攻撃者に狙われる可能性があります。
ソフトウェアサプライチェーン攻撃
ソフトウェア開発のライフサイクルに関与するモノ(コード、ライブラリ、プラグイン、各種ツール等)や人(開発者、運用者等)、組織の繋がりは「ソフトウェアサプライチェーン」と呼ばれますが、これを狙った攻撃が「ソフトウェアサプライチェーン攻撃」です。
※ソフトウェアサプライチェーン攻撃について詳しくは、以下の記事もご覧ください。ソフトウェアサプライチェーン攻撃の概要やユーザーおよびベンダーに推奨される対策について、米CISA/NISTの資料を参考に解説する全3回のシリーズ記事です。
サービスサプライチェーン攻撃
本命の標的が利用しているクラウドサービスやその他のITサービスの提供元を攻撃したり、サービス自体を改ざんしてマルウェアを仕込んだりすることによって本命組織への攻撃の足掛かりを得るタイプのサプライチェーン攻撃です。例えば、企業システムの運用・監視等を請け負うMSP(マネージドサービスプロバイダ)等が狙われることがあります。
※このほか、「どこに悪意あるコードやプログラムが仕掛けられるか」という観点から、①ハードウェアサプライチェーン攻撃、②ソフトウェアサプライチェーン攻撃、③ファームウェアサプライチェーン攻撃、の3種類に分類される場合もあります。
サプライチェーン攻撃が起こる原因や手口と過去の事例
ビジネスサプライチェーン攻撃
手口 (1)
【標的の組織よりもセキュリティが脆弱な取引先や委託先、国内外の子会社等を攻撃し、その組織が保有していた標的組織の機密情報等を窃取する】
実際の事例
2023年1月、日本国内の保険会社数社が、業務委託先から顧客の個人情報が流出したことを公表した。原因は業務委託先の、適切なセキュリティ対策がされていないサーバーへの不正アクセスだった。流出の規模は保険会社により異なるが、多いところでは約130万人分に及んでおり、調査や対処に追われた。
手口 (2)
【本命の標的と協業関係にあったり、ネットワークを共有していたりする脆弱な委託先や子会社等を狙い、ランサムウェアを投下。本命組織にまで感染を広げたり、本命組織までをも恐喝したりする】
実際の事例
2021年、Apple社のパートナーである台湾のテックメーカーQuanta Computer社がREvilランサムウェアの攻撃に遭った。Quantaはシステムを暗号化され身代金を要求されるなどしたほか、Appleまでもが「データをリークされたくなければ金を払え」という趣旨の脅迫を受けた。
ソフトウェアサプライチェーン攻撃
手口 (1)
【ソフトウェア開発会社のシステムへ不正にアクセスしてソフトウェアを改ざんし、マルウェアを仕込む。組織は、こうしたソフトウェアの利用を開始した時点、またはアップデートをインストールした時点でマルウェアに感染することになる】
実際の事例
2023年、日本企業にも利用されている3CX社のデスクトップアプリケーションに攻撃者がマルウェアを混入させ、同アプリの利用者にマルウェアが配布された。
手口 (2)
【オープンソースのソフトウェアコンポーネントを侵害する】
実際の事例
GitHubやPyPI(Python Package Index)リポジトリに、マルウェア配布が目的とみられる悪意あるコードやパッケージがアップロードされるケースが複数観測されている。
関連記事:「GitHubリポジトリがNetSupportとマルウェアの展開に利用される」、「『Lolip0p』の有害PyPiパッケージは情報窃取型マルウェアをインストール」
サービスサプライチェーン攻撃
手口 (1)
【企業システムの運用・監視等を請け負う事業者(MSP)が利用する資産管理ソフトウェア等にマルウェアを仕込み、MSPのサービスを利用する複数の顧客にマルウェアを感染させる】
実際の事例
2021年、MSPに広く利用されていた米国のIT管理ツール「Kaseya VSA」が脆弱性を突いた攻撃に遭って数十社のMSPがセキュリティを侵害され、MSPの顧客1,500社ほどに影響が及び、ランサムウェア感染などの被害が出た。
手口 (2)
【複数の企業が使用するWebサービスを標的とし、サービス提供元へ不正アクセスしてコンテンツを改ざんする】
実際の事例
2022年、複数のEコマースサイトへ入力フォームサービスを提供する日本企業X社のサーバーが不正アクセスを受け、ソースコードを改ざんされた。これにより当該サービスを利用する少なくとも13のECサイトからクレジットカード情報が流出した可能性がある。
日本国内のサプライチェーン攻撃事例(2023年〜2024年)
上記以外にも、日本国内では以下のようなサプライチェーン攻撃事例が報告されています。
委託先のシステムを介して不正アクセスが行われ、顧客情報が漏洩した事例(2023年)
国内の大手インターネット事業者A社のサーバーに、韓国の関係会社B社のサーバーを経由した不正アクセスが行われ、顧客や取引先、またA社従業員の個人情報などが漏洩。発端となったのは、A社とB社双方の委託先であるC社の従業者が所持するPCがマルウェアに感染したことだった。
利用するクラウドサービスに不正アクセスがあり、個人情報流出に繋がった恐れのある事例(2024年)
石油・ガス事業などを展開するP社が利用する2つのクラウドサービス(メール関連システムおよび製品販売・管理システム)に不正アクセスがあり、個人情報が流出した可能性が生じた。なお、両サービスの提供元はそれぞれ異なるものの、メール関連システムには、製品販売・管理システム提供元の関連会社Q社が提供する別のサービスが利用されていた。
サプライチェーン攻撃による影響
サプライチェーン攻撃を受けた企業や組織には、以下のような被害や影響が及ぶ可能性があります。
- 情報漏洩
- ランサムウェアなどのマルウェア感染
- 事業運営の中断、サービス停止
- レピュテーションへのダメージ
- 顧客や取引先からの信用の失墜
- 取引先への被害波及による取引相手の喪失
- 金銭的損失(復旧費用、事業運営の中断による機会損失/売上減少、取引相手喪失による収益減、損害賠償の支払いなど)
IPA「情報セキュリティ10大脅威」でも毎年上位にランクイン
IPA(独立行政法人情報処理推進機構)は毎年、情報セキュリティ上の脅威の中で特に重要度の高いものを「情報セキュリティ10大脅威」というランキングにまとめています。数ある脅威の中でも、「サプライチェーンの弱点を悪用した攻撃」は2019年に初めてランクイン(4位)して以来、6年連続でトップ5入りするほど注目度の高い脅威です。2024年版のランキングでも「ランサムウェアによる被害」に次いで第2位にランクインしており、引き続き社会的影響が懸念されています。
サプライチェーン攻撃への対策
<委託先や取引先との間で実施>
▲契約時
- 情報管理規則を確認する。
- 情報セキュリティ上の責任範囲を明確化し、合意を得る。
- 賠償に関する契約条項を盛り込む。
▲納品物の検証
- 納品物に組み込まれているソフトウェアを把握し、脆弱性対策を実施する。
- ソフトウェアの把握や管理にあたってSBOMの導入を検討する。
<委託先や取引先の選定>
▲信頼できる委託先、取引先、サービスの選定
- 商流に関わる組織やサービスの信頼性評価(ISMAP など)や品質基準を確認し、複数候補を検討する。
<委託先組織の管理>
▲セキュリティ対策状況と情報資産の管理状況を確認
- 委託元組織は、委託先組織のセキュリティ対策状況と情報資産の管理の実態を定期的に確認する。またそれが可能な契約を結ぶ。
- 業務委託自体が適切であるかも検討する。
<その他>
▲被害への備え
- インシデント対応計画を整備しておく。
- 委託先や取引先との連絡プロセスを確立しておく。
- 取引先や委託先の情報セキュリティ対応の確認・監査を定期的に実施する。
- ISMS、Pマーク、SOC2などの、情報セキュリティに関するフレームワークを活用し、定期的に見直して必要な運用を維持する。
最後に
サプライチェーン攻撃は国内外で大きく懸念されている脅威で、攻撃発生時の被害や社会的影響も広範なものになる可能性があります。基本的な対策として、委託先や取引先の適切な選定と管理は欠かせません。ただ、委託先・取引先の管理に困っている、自社がどういったサプライチェーンリスクを抱えているのかわからない、といったお悩みがある場合は、外部のセキュリティ会社などに相談してみるのも一つの手です。
また、本記事と併せて以下の関連記事をご覧いただくのもお勧めです。
このほか、弊社マキナレコードでは、セキュリティ関連のご質問にお答えしたり、お悩みに対するアドバイスをさせていただいたりする「セキュリティ顧問」のサービスを提供しております。サービス内容について詳しくはホームページをご覧いただくか、以下のバナーより資料をご請求ください。
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。