-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
サプライチェーン攻撃とは、商品やサービスの開発・生産から販売・消費に至るまでの全工程(=サプライチェーン)のうちの脆弱な箇所を突いて踏み台とし、間接的に本命の標的組織を狙う攻撃のことです。商品/サービスの企画・開発、原材料や部品等の調達、生産、在庫管理、配送、販売、消費までのプロセスすべてがサプライチェーンであるのに加え、いずれかの工程に関わっている企業や組織もサプライチェーンの一部とみなされています。
サイバー攻撃者は、真に標的としている企業のセキュリティが強固だった場合、その企業とサプライチェーン上で繋がりを持つ、セキュリティ対策が不十分な別の組織のシステムへまず侵入し、そこから間接的に本命の企業へ攻撃を仕掛ける場合があります。
サプライチェーン攻撃には、上記のようにセキュリティ上脆弱な業務委託先や子会社、取引先、海外支社・拠点などを踏み台にする「ビジネスサプライチェーン攻撃」に加え、ソフトウェア開発のライフサイクルに関与するモノ(コード、ライブラリ、プラグイン、各種ツール等)や人(開発者、運用者等)、組織の繋がりにおける弱点を突く「ソフトウェアサプライチェーン攻撃」や、本命の標的が利用しているクラウドサービスやその他のITサービスの提供元を踏み台にする「サービスサプライチェーン攻撃」と呼ばれるものなどがあります。
サプライチェーン攻撃のさらに詳しい解説や実際の攻撃事例、対策などについてはこちらの記事もご覧ください:
とは?.jpg)
