サプライチェーン攻撃の被害事例と対策の紹介。攻撃手口を分類別に解説
近年、サイバー犯罪者によるサプライチェーンを狙った攻撃が頻発し、その脅威が増しています。セキュリティ対策に隙のある中小企業が標的となり、サプライチェーンでつながる関連企業に被害が及んでいます。
サプライチェーン攻撃を受けた際に、迅速かつ適切な対応ができなければ被害は拡大し、企業の信用や事業継続に深刻な影響を与えます。本記事ではサプライチェーン攻撃から身を守るため、被害事例や攻撃の手法、攻撃の対策を詳しく解説します。
サプライチェーン攻撃とは?
サプライチェーン攻撃とは、標的企業に直接サイバー攻撃を行うのではなく、まずセキュリティ対策に弱点がある取引先、委託先などの関連企業に攻撃を仕掛けます。関連企業を踏み台とし、標的企業に不正侵入するサイバー攻撃の手法です。
サプライチェーンとは製品の原材料や部品の調達、製造、在庫管理、配送、販売、消費までを含む「全体の一連の流れ」を指します。最近のサプライチェーンは各プロセスが独立しているのではなく、全体効率化のため一連の流れとして管理し、各プロセスが連携する仕組みになっています。この仕組みを「サプライチェーン・マネジメント(SCM) 」と呼びます。
サプライチェーンには複数の企業が関わっており、セキュリティ対策レベルは企業ごとにさまざまです。日本国内の企業は9割以上が中小企業に該当し、サプライチェーンに関わる企業はほとんどが中小企業です。中小企業は大企業と比べ、コストや人的要因で十分なセキュリティ対策を実施できていないケースが多くあります。
セキュリティ対策が不十分な企業は、サイバー攻撃に対して非常に脆弱な状況で、サプライチェーン攻撃者から見て恰好の標的となります。いくら大手企業やグローバル企業が厳重なセキュリティ対策を講じていても、サプライチェーン上に穴があればその穴から侵入し、さまざまな被害を受ける可能性があります。これがサプライチェーン攻撃の脅威です。
サプライチェーン攻撃の影響
サプライチェーン攻撃による被害は、企業の収益や企業ブランドの毀損、取引先との信頼関係に壊滅的な打撃を与えます。サプライチェーン攻撃で発生する、実害の影響は以下です。
情報漏洩とデータ流出
サプライチェーン攻撃によって悪意のあるプログラムに感染してしまった場合、情報漏洩やデータ流出の危険があります。自社の個人情報や機密情報が盗まれる他に、取引先から預かった機密情報が流出してしまう可能性もあるでしょう。
サプライチェーンに連なる多くの企業は、取引先の機密情報を保有しているケースが多数あります。取引先の大手企業から預かった「図面情報」「新製品の企画情報」「販売計画」を狙われ盗まれてしまった場合、取引先の企業にも深刻な影響を及ぼします。
マルウェアのインストール
サプライチェーン攻撃は、攻撃者からマルウェアメールやフィッシングメールによる攻撃を受けます。マルウェアに感染すると、機密情報を盗まれたり、Webサイトを改ざんされたりするなどの他、取引先にマルウェアが混入したメールを送付してしまう危険があります。
企業内でマルウェア感染に気付かず、知らないうちに社内で感染が広がり、被害が拡大するケースも確認されています。マルウェアやフィッシングメールに感染したPCは、さまざまなシステムやサービスのログイン情報が盗み出されるため、被害が自社に留まらずより大きくなる可能性があります。
金銭的損失
サプライチェーン攻撃によって盗まれた機密情報を元に、金銭の要求を求められる危険があります。攻撃者がデータを窃取した企業に対し、「対価を支払わなければ機密情報を公開する」などと脅し、金銭を要求する手口が増加中です。
また、フィッシングメールによって従業員が騙され、不正な銀行口座に送金したり、不正な請求書を支払ったりする事例もあります。サプライチェーン攻撃の標的となった企業は、大きな金銭的損失を被る可能性があるのです。
サプライチェーン攻撃の被害事例
サプライチェーン攻撃の被害事例として、委託先の従業員による情報漏洩が原因で、委託元企業の信用が棄損するケースや、委託先が多額の損害賠償請求を受ける事態が起きました。また大手企業のグループ会社が狙われた結果、サプライチェーンに大きな影響を与えるなど、被害は急増しています。被害事例には、以下のような事例があります。
男子プロスポーツ法人の関連Webサイトから個人情報が漏洩
2017年4月に、国内のある男子プロスポーツ法人が公表した事例です。男子プロスポーツ法人の業務委託先から、Webサーバーとデータ管理運用を任された再委託先企業が、Webシステムの開発・運用中にWebサイトの脆弱性を突いた攻撃を受けました。
本攻撃により、クレジットカード情報を含む「最大15万人以上の個人情報」が流出した可能性があります。関連したクレジットカード不正利用の被害額は、報告されただけで計379件、約880万円の被害報告が上がっています。
参考:IPAサイバーセキュリティ動向
https://www.meti.go.jp/policy/economy/chizai/chiteki/06_190610_IPA.pdf
三菱電機が機密情報流出の可能性、関係会社を踏み台にしたサプライチェーン攻撃
2020年1月に三菱電機は、第三者による「不正アクセス」を受け、個人情報や企業機密情報が外部に流出した可能性があることを発表しています。
三菱電機へのサイバー攻撃は、中国にある関係会社を踏み台にしたサプライチェーン攻撃によるものと見られます。攻撃者はまず、中国の関係会社に侵入。その後、本社の中間管理職層を中心とした、機密情報にアクセスできる複数のパソコンへ不正アクセスを敢行しました。
本不正アクセスにより、三菱電機の本社や主要拠点のパソコン120台超やサーバー40台超が、情報流出を起こした可能性があると報じられています。流出対象となった情報は、三菱電機に加え、防衛省や内閣府、原子力規制委員会など10を超える政府機関、電力会社や通信会社、JR、自動車会社など、主要な民間企業が含まれている可能性があるとのことです。
小島プレス工業のマルウェア感染被害、トヨタ自動車の生産ライン停止
2022年2月に、トヨタ自動車の取引先である小島プレス工業が「マルウェア被害」を受けました。サイバー攻撃者から小島プレス工業に対し、「3日以内に連絡しなければ、データを公開する」と脅迫文が送られたようで、身代金要求型マルウェアに感染したと見られています。
小島プレス工業は影響範囲の特定のため、稼働する社内サーバーをいったん全て停止。マルウェア攻撃に伴うシステム停止が、トヨタ自動車を始めとする取引先の生産停止につながる原因になりました。
サプライチェーンを支える1社のシステム障害により、14工場28ラインが止まり、約1万3000台の生産を見送る事態に発展しています。サプライチェーン攻撃のリスクと被害の大きさを、改めて知らされる事例です。
ブリヂストン米子会社にサイバー攻撃、工場を一時稼働停止
2022年2月、ブリヂストンの米子会社がサイバー攻撃を受け、工場の稼働を一時停止しました。ブリヂストンの米子会社であるブリヂストンアメリカスは、2022年2月27に第三者による不正アクセスを確認し、現地連邦当局に報告。「身代金要求型ウイルス」へ感染したと見られています。
ブリヂストンアメリカスは身代金要求型ウイルス感染に伴い、社内システムの総点検に踏み切りました。サイバー攻撃による被害拡大を防止するため、生産や販売を管理するシステムをネットワークから切り離す措置を実施しています。
この影響で、北米や中南米の複数のタイヤ工場が稼働を一時停止。結果的に、工場を数日間も止める事態へ発展しました。同年月に起きた小島プレスの被害事例に続き、昨今は自動車業界を対象にしたサイバー攻撃が続いています。
サプライチェーン攻撃の手法
近年、サプライチェーン攻撃の手法は高度化かつ巧妙化し、脅威が増しています。サプライチェーン攻撃の主な手法は以下です。
グループサプライチェーン攻撃
グループサプライチェーン攻撃とは、標的とする企業の取引先を調べ、セキュリティ対策が不足している委託先企業の脆弱性を突いて踏み台にし、標的企業に攻撃を仕掛ける手法です。
攻撃者はまず委託先企業へ侵入し、念入りに時間をかけて標的企業のメールアドレス情報を盗み出します。メールアドレスを盗んだ後、取引先を装いマルウェアを含んだメールを標的企業に送り、ランサムウェア等に感染させます。
サイバー攻撃者の多くは、大手企業やグローバル企業を標的にしていますが、近年はこれら大手企業のセキュリティ対策が充実してきたため、攻撃が成功しづらくなりました。そこでサイバー攻撃者は、守りの堅い標的企業ではなく、取引先の中小企業に狙いを定めて踏み台とし、攻撃を仕掛けてくるのです。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃とは、IT機器やソフトウェアの製造過程でマルウェアを仕込んだり、更新プログラムやパッチファイルにマルウェアを埋め込んだりして、感染させる攻撃手法です。
委託先の納品物にマルウェアが仕込まれており、納品物を受け取った委託元が被害を受けるケースが該当します。信頼関係のある取引先の製品にマルウェアが含まれている場合、検出が困難で、問題発覚までに時間が掛かることが多いです。そのため、被害が大きくなりやすい傾向にあります。
ビジネスメール詐欺
ビジネスメール詐欺とは、自社や関連会社の経営層や取引先になりすまし、金銭をだまし取る攻撃手法です。昨今は、ビジネスメール詐欺(Business E-mail Compromise)の頭文字を取り「BEC」とも呼ばれています。
攻撃者は、標的企業と取引先の電子メールアドレスを盗んだり、FacebookやLinkedInなどのSNSから標的企業担当者の情報収集を行ったりし、詐欺行為の準備を行います。
攻撃者は経営層や取引先になりすまし、偽の請求書を使い、経理や財務担当者にメッセージを送り金銭をだまし取るのです。また、従業員になりすまして人事担当者を欺き、給与の支払い口座を変更する手続きを行い、金銭をだまし取る手口も発覚しています。
サプライチェーン攻撃の対策方法
近年はコロナ禍の影響により、各企業でDXの進展やクラウドサービスが普及し、インターネット経由のビジネス環境が広がっています。現在の環境化でサプライチェーン攻撃から自社を守るには、セキュリティ対策の守備範囲を「サプライチェーン全体」に広げる必要があります。
自社の安全性に加えて、取引先の安全性を評価・検証するなど、サプライチェーン全体からセキュリティ対策を考えることが重要です。具体的な対策は、以下になります。
リスク低減のための措置
自社内で個人が利用しているパスワードが単純でないかの確認や、アクセス権限を確認します。多要素認証の利用や、不要なアカウントの削除等により、本人認証を強化します。
また、IoT 機器を含む「情報資産の保有状況」を把握します。特にVPN 装置やゲートウェイ等、インターネットと接続を制御する装置の脆弱性は、攻撃に悪用されることが多いです。そのため、各機器のセキュリティパッチや最新ファームウェア、更新プログラム等を迅速に適用しましょう。
人的なセキュリティ対策として、「メールの添付ファイルを不用意に開かない」「不審なURL を不用意にクリックしない」「問題発生時は連絡・相談を迅速に行う」ことについて、組織内に周知し運用ルールを徹底します。
インシデントの早期検知
インシデントの早期検知のため、サーバーやセキュリティ機器の各種ログを定期的に確認しましょう。日頃からネットワーク通信を監視し、ログ分析やアクセスコントロール点検を行います。定期的に点検を行うことで、インシデントの早期検知につながります。
サプライチェーン攻撃はいつ仕掛けられるか分からないため、攻撃されたことに何ヵ月も気づかず、知らぬ間に被害が拡大しているケースがあります。そのため、点検によって常に状態を把握しておくことで、異変があった際にインシデントに気づきやすくなります。
インシデントの早期検知のため、機器の定期点検を運用ルールに組み込みましょう。
インシデント発生時の適切な対処と回復
インシデント発生に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制を準備しておきます。またデータ消失に備え、データのバックアップ手順と復旧手順を明確にしておきましょう。いざ問題が起きた際に、適切な対処と回復ができるよう、事前に備えることが重要です。
チェックリストを用いた関係企業の取組状況の確認
自社だけでなく、グループ会社や取引先のセキュリティ対策状況についても、定期的にチェックを行います。チェックリストを準備して、チェックすることが有効です。
まず、サプライチェーンとのネットワーク接続点の安全確認を行います。「IPS等で不正通信の検知やブロックできる仕組みとなっているか」「未承認の接続ポイントはないか」などを確認します。
また、「ネットワーク出口の機器に脆弱性が残っていないか」「認証強度は問題ないか」を確認します。特に不特定の第三者に接続許可している場合、「多要素認証は十分であるか」「リモート接続やVPN接続、クラウド接続の出口は大丈夫か」の確認が重要です。
サプライチェーンの業務が停止した場合の「代替手段は用意されているか」についても、しっかり確認しておきましょう。
まとめ
サプライチェーン攻撃は、損害賠償に加えて取引先を失う可能性もある脅威です。サプライチェーン攻撃の最終目的は大手企業であり、被害は自社のみに留まりません。自社が攻撃を受けた結果、取引先に損害が発生することが多く、「賠償を求められる」「取引を打ち切られる」などの危険性があります。
サプライチェーン攻撃の踏み台にされた場合、最も恐ろしいことは、攻撃を受けた企業は被害者でありながら「加害者」になってしまう点です。もし、取引先の機密情報が漏洩してしまった場合、企業の信用力低下や、金銭面の多大な損害は免れません。
今後、更にサプライチェーン攻撃が進展すると、一定以上のセキュリティレベルを維持していない企業は、取引自体できなくなるケースも発生するでしょう。いまセキュリティ投資を行わなければ、売上の機会損失につながる可能性が高くなります。
セキュリティインシデントが発生する前に、企業成長のためにセキュリティ投資を検討し、進展する脅威に対する防御策を準備しましょう。
◆TD SYNNEXのセキュリティソリューション
https://www.synnex.co.jp/solution/security/
