サプライチェーン攻撃とは、セキュリティレベルの高い組織を標的にする際に、セキュリティレベルの低い子会社や取引先を利用するサイバー攻撃手法です.
IPA(情報処理推進機構)より発表された「情報セキュリティ10大脅威 2024」でも、サプライチェーン攻撃は6年連続で2位となっており、近年世界中で被害が多発しています。

順位 「組織」向け脅威 初選出年 10大脅威での取り扱い

(2016年以降)

1 ランサムウェアによる被害 2016年 9年連続9回目
2 サプライチェーンの弱点を悪用した攻撃 2019年 6年連続6回目
3 内部不正による情報漏えい等の被害 2016年 9年連続9回目
4 標的型攻撃による機密情報の窃取 2016年 9年連続9回目
5 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 2022年 3年連続3回目
6 不注意による情報漏えい等の被害 2016年 6年連続7回目
7 脆弱性対策情報の公開に伴う悪用増加 2016年 4年連続7回目
8 ビジネスメール詐欺による金銭被害 2018年 7年連続7回目
9 テレワーク等のニューノーマルな働き方を狙った攻撃 2021年 4年連続4回目
10 犯罪のビジネス化(アンダーグラウンドサービス) 2017年 2年連続4回目

 

情報セキュリティ10大脅威 2024 [組織]

サプライチェーン攻撃の手法

サプライチェーン攻撃には、ふたつの手法があります。

次に、サプライチェーン攻撃の事例をご紹介します。

サプライチェーン攻撃の事例

小島プレス工業は、カップホルダーやUSBジャック、ドアグラブなどの自動車内装品を製造している企業で、自動車産業のサプライチェーンにおいては必要不可欠な役割を果たしています。2022年2月、同社がサイバー攻撃を受けたことで、トヨタ自動車は、子会社のダイハツ工業や日野自動車などを含む国内14の工場の操業を停止させることになり、被害額はおおよそ3億7500万ドル(約580億円 ※1ドル155円の場合)に達しました。この件が一段落した後も、小島プレスの事業が元の状態に戻るまでには数ヶ月を要したと言われています。

このようなサイバー攻撃と被害は年々増加しており、警察庁によると、2022年は身代金要求型ウイルス「ランサムウエア」攻撃だけでも前年比58%増加し、2023年も高水準で推移したと報告されています。

一方で、サイバーリスクに対する認識は、大企業では高まっているものの、中小企業ではその認識が依然として低いのが実情のようです。

日本の企業は世界的なサプライチェーンで重要な位置を占め、一部の部材の供給では支配的な立場にあります。そのため、これらの業界がサイバー攻撃に脆弱であると、その影響は非常に大きいと言えるでしょう。

参考:日本で急増するサイバー攻撃、世界サプライチェーンリスク浮き彫りに – Bloomberg

サプライチェーン攻撃への対策

サプライチェーン攻撃を防ぐためには、事前の対策が有効です。今すぐに対策が可能な3つの方法をご紹介します。

①OSやソフトウェアを常に最新バージョンに更新する

OSやソフトウェアの脆弱性が、サプライチェーン攻撃のターゲットになる可能性があます。そのため、OSやソフトウェアは、常に最新の状態にアップデートする必要があります。

②対策ソフト (EDR:エンドポイント・ディテクション&レスポンス) を導入する

サーバやPCをリアルタイムで監視し、サイバー攻撃などの異常操作を検知することで感染リスクを抑え、もし感染した場合は、被害を最小限に抑えるための対策ソフトの導入が有効です。

西部電気工業が提供する「KeepEye」は、EDRに保守サービスをプラスし、お客様負荷を極力抑えた運用が可能な情報セキュリティサービスです。一般的なEDRの複雑な運用は必要ありません。

③従業員へのセキュリティ教育を実施する

サイバー攻撃を受けるリスクを極力避けるためには、従業員一人ひとりがセキュリティの正しい知識を身に着ける必要があります。サプライチェーン攻撃による被害や手口を理解し、インシデント発生時の対応方法(報告・相談の流れ等)について研修を行うことも効果的です。

西部電気工業では、インシデント発生時の対応方法について、体験型演習プログラム(無償)の紹介も行っております。

まとめ

サイバーセキュリティは大企業が主なターゲットであり、中小企業はリスクが少ないと思われがちですが、実際にはセキュリティ対策が十分ではない中小企業を踏み台にして大企業が攻撃される被害が相次いで発生しています。このため、中小企業もサイバーセキュリティに対する正しい知識を得て、対策を実施することが非常に重要です。