昨今、企業の脆弱性を狙ったサイバー攻撃が増加しています。特に中小企業が直面するサプライチェーン攻撃の脅威について深く理解することが重要です。この記事では、サプライチェーン攻撃の実態、その手法、影響、および具体的な事例を解説し、対策方法についても触れます。

サプライチェーン攻撃とは

サプライチェーン攻撃は、ターゲット企業が取引するサプライヤーやパートナー企業を通じて、ターゲット企業のネットワークやシステムに侵入する手法です。攻撃者は、ターゲット企業のセキュリティが堅固であったとしても、その取引先やサプライヤーのセキュリティの脆弱性につけ込みます。

サプライチェーン攻撃の目的

サプライチェーン攻撃の主な目的は、機密情報の窃取、ランサムウェアの展開、サプライチェーンを通じた広範囲な影響の拡散などです。これにより、ターゲット企業だけでなく、関連する多数の企業や顧客に深刻な影響を及ぼす可能性があります。

サプライチェーン攻撃の一般的な手法

サプライチェーン攻撃には、フィッシングメール、ソフトウェアの脆弱性を悪用した攻撃、供給網を介したマルウェアの拡散などがあります。攻撃者は、サプライヤーやパートナー企業のセキュリティシステムを突破し、ターゲット企業のネットワークに侵入します。

サプライチェーン攻撃の影響と被害

サプライチェーン攻撃は、単一の企業だけでなく、取引先を含めた広範なネットワークに影響を及ぼします。これにより、データ漏洩、業務の中断、ブランド価値の損失、法的責任、顧客の信頼喪失など、多岐にわたる重大な結果を引き起こすことがあります。

サプライチェーン攻撃の事例

建設コンサルティング大手から発生した事例:オリエンタルコンサルタンツ

建設コンサルティング大手のオリエンタルコンサルタンツHDは2021年8月15日、19日の両日で同社・グループ会社の複数のサーバーに対しランサムウェア被害を受け、サーバーに保管されていた業務関連のデータの多くが暗号化されました。
同社は本件のサイバー攻撃被害により7億円越えの特別損失を計上。
引用:オリエンタルコンサルタンツランサムウェア攻撃に関するご報告

大手自動車メーカーから発生した事例 :小島プレス工業

大手自動車メーカーのトヨタ自動車では、2022年3月1日自社サプライチェーンを介したランサムウェア攻撃により、国内全14工場28の生産ラインが一時的に停止する事態に陥りました。攻撃者は、サプライヤーである小島プレス工業が独自に利用していた外部企業との専用通信用リモート接続機器の脆弱性を利用し、メーカーのシステムへアクセスしました。このサイバー攻撃は、システムへのアクセス制限をかけて身代金を要求する「ランサムウェア」によるもので、サーバやパソコン端末の一部でデータが暗号化されたといいます。
引用:小島プレス工業ウィルス感染被害によるシステム停止事案発生のお知らせ

サプライチェーン攻撃への対策

サプライチェーン攻撃への対策は、企業のリスク管理の重要な部分を占めます。ここでは、攻撃のリスク評価と対策の重要性、具体的なセキュリティ対策、および攻撃からの復旧と事後対策について解説します。

サプライチェーン攻撃のリスク評価と対策の重要性

サプライチェーン攻撃への対策には、リスク評価が不可欠です。企業は自社のセキュリティ体制だけでなく、取引先やサプライヤーのセキュリティ状況を理解し、組織全体のセキュリティ強化を図る必要があります。リスク評価には、脆弱性の特定、取引先のセキュリティ対策の確認、および潜在的な攻撃経路の特定が含まれます。

サプライチェーン攻撃を防ぐためのセキュリティ対策

サプライチェーン攻撃を防ぐためには、以下のような対策が効果的です。

  • 定期的なセキュリティ監査: 取引先を含むサプライチェーン全体のセキュリティ状況を定期的に監査し、リスクを評価します。
  • 多層的なセキュリティシステムの構築: ファイアウォール、侵入検知システム、アンチウイルスソフトウェアなどを組み合わせて、複数の防御層を設けます。
  • 教育と訓練: 従業員および取引先のセキュリティ意識を高めるための教育と訓練を実施します。
  • セキュリティポリシーの共有とコミュニケーションの強化: 取引先との間でセキュリティポリシーを共有し、適切なコミュニケーションを取ります。

サプライチェーン攻撃からの復旧と事後対策

サプライチェーン攻撃を受けた場合、迅速な対応と透明性のあるコミュニケーションが重要です。被害の範囲を特定し、影響を最小限に抑えるための対策を実施することが不可欠です。また、再発防止策を講じ、組織全体のセキュリティ対策を見直すことが求められます。

サプライチェーンのセキュリティ対策の強化ポイント

サプライチェーン攻撃に対抗するためには、組織全体でのセキュリティ意識の向上と効果的なセキュリティ管理体制の確立が不可欠です。以下では、サイバーセキュリティ経営ガイドラインを踏まえた対策の強化ポイントを紹介します。

サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインとは、経済産業省とIPA(独立行政法人 情報処理推進機構)が共同で策定した企業向けのセキュリティガイドラインで、経済産業省のサイトにて無料で閲覧することが可能です。
経営層が直面するサイバーセキュリティの課題に対して、具体的なガイダンスを提供しており、このガイドラインに沿った対策には以下のような点が含まれます。

  • 組織全体でのリスク管理: サイバーセキュリティは組織全体の問題として捉え、経営層から従業員まで一体となって対策を講じます。
  • 定期的なリスク評価と監査: ビジネス環境の変化に伴い、リスク評価と監査を定期的に実施し、対策を更新します。
  • セキュリティ意識の向上と教育: 従業員や関連するステークホルダーへのセキュリティ教育を強化し、意識向上を図ります。
  • 事前の準備と事後の対応計画: 攻撃を受けた際の迅速な対応と効果的な回復計画を準備しておきます。

2023年10月31日には「サイバーセキュリティ経営ガイドライン Ver 3.0 実践のためのプラクティス集」が公開されています。サイバーセキュリティ対策を行っていく上で役に立つ内容となっておりますので、ぜひ一度目をお通しください。

アクトのサイバーセキュリティ対策支援

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。