あなたも狙われている?巧みに偽装してセキュリティ攻撃をするサプライチェーン攻撃の対策方法
最近、セキュリティ関連の記事などで「サプライチェーン攻撃」という言葉をよく目にするようになりました。
サプライチェーンとはその名の通り、サプライ(供給)のチェーン(連鎖)のことで、たとえば製造業なら、原材料の調達から部品製造、部品調達、組み立て、出荷といった製品が作られて販売されるまでの一連の流れのことを指します。
それではサプライチェーン攻撃とはどんな攻撃なのでしょうか。
本稿では、このサプライチェーン攻撃に焦点を当てて解説します。
サプライチェーン攻撃とは
多くの場合、サイバー攻撃は直接ターゲット企業を狙います。最近なら標的型攻撃が代表的な手法です。しかし、大企業については年々セキュリティが強化され、そう簡単にはサイバー攻撃が成功しなくなってきました。そこで、攻撃者が考え出した攻撃方法がサプライチェーン攻撃です。サプライチェーンは先ほど簡単にご紹介した通り、複数の企業が供給ラインでつながっている様子を表しています。
たとえば自動車なら、その部品を作るメーカーとつながっており、部品メーカーは、その部品の原材料を卸す会社とつながっているといった具合です。そして業務の効率化を図るため、こうしたサプライチェーンでつながる企業間は、情報システムを共有することが増えてきました。攻撃者はそこに目をつけ、本丸である大企業を直接狙うのではなく、末端の原材料卸メーカーを狙ってセキュリティを突破し、サプライチェーンをたぐりながら本丸である大企業の情報システムに侵入することを試みるわけです。大企業のセキュリティに比べると、末端の卸メーカーのセキュリティは脆弱であることが多いのが実情です。攻撃者はこの点に目をつけたわけです。これが、サプライチェーン攻撃です。
サプライチェーン攻撃の手法
昨今、攻撃者がもっとも力を入れているのが標的型攻撃とよばれる手法です。これは、攻撃対象の企業に関する情報を調べ上げ、企業の社員が疑わないようなメールを送信します。そしてそのメールにマルウェアを仕込んでおいて、メールの内容を信用した社員がマルウェアを開くことによってパソコンがウィルスに感染し、それを足がかりに企業の情報システムに侵入して情報を盗み出すという手法です。
サプライチェーン攻撃の場合、まずは下請けや卸企業といったターゲットとなる企業に関連する企業に対してサイバー攻撃を仕掛けます。大企業に比べると残念ながらセキュリティ対策が疎かになっている中小企業は少なくありません。このため、大企業を狙うより攻撃が成功する確率は上がってしまいます。
そして大企業に関連する中小企業への侵入が成功したら、そこからさまざまな企業情報を盗み出します。担当者名やこれまでどのようなメールのやり取りをしていたかまで盗むことも可能です。
一度侵入してしまえば、盗み出した情報を元に非常に信憑性の高い偽メールを作成して、大企業の担当者に送りつけ、信用させてマルウェアに感染させる標的型攻撃を仕掛けることもできますし、サプライチェーン間で共有している情報網やアプリケーションに侵入してウィルスに感染させ、情報網を遡って大企業の情報システムに侵入することを試みることもできます。
このように、サプライチェーン攻撃は大企業から見ると非常にリスクの高いものです。
経済産業省が2015年に公表した「サイバーセキュリティ経営ガイドライン」でも、「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」と警告しています。
世界でのサプライチェーン攻撃の被害状況
(1)MeDoc税務会計ソフト アップデート改ざん事件
2017年6月に発生した大規模なサプライチェーン攻撃です。
被害に遭った企業の多くは、ウクライナの国内企業や組織、また同国と取引のある多国籍企業で、欧州全土に被害が広まりました。
これは、MeDocという税務会計ソフトのアップデートデータが改ざんされてマルウェアが仕込まれるという方法での攻撃であり、ユーザからするとベンダーが提供する正規のソフトウェアアップデートのため疑う余地もありませんでした。このため、被害が非常に拡大してしまいました。
(2)CCleanerを踏み台にしたマルウェア混入
2017年8~9月にかけて発生した事件です。PC最適化無料ツール「CCleaner」にマルウェアが混入した状態で配布され、世界の大企業に標的型攻撃が実行されるという事件でした。
このマルウェア入りのCCleanerは、正規のダウンロードサーバから配布されていたものであり、攻撃者は配布元のサーバに攻撃を仕掛けて乗っ取り、正規のファイルをマルウェア入りのものにすりかえ、それをダウンロードして利用するすべてのユーザに対してサプライチェーン攻撃をしかけたものと推測されます。およそ200万台のPCが感染したと推定される大事件でした。
サプライチェーン攻撃を防ぐための3つの対策
サプライチェーン攻撃は、自社への攻撃のみならず、関連会社やビジネスパートナー経由で攻撃をしかけてくるため、防ぐのが非常に困難です。対策の基本は、まずは自社のセキュリティを堅固にすることですが、それ以外に、以下の3つの対策が有効です。
(1)ネットワークへの不正侵入を防ぐIPS(Intrusion Detection System)の導入
サプライチェーン攻撃を仕掛けられるルートのひとつに、関連会社やビジネスパートナーのネットワーク経由での侵入が考えられます。これを防ぐためにはIPSを導入するのが有効です。IPSがあれば、普段と異なるアクセスやネットワークの挙動をいち早く検知して警告してくれるため、侵入を未然に防ぐことができる可能性があります。
(2)EDR(Endpoint Detection and Response)導入による端末の不正な挙動の監視
EDRは、簡単にいうと端末を監視する仕組みです。もし攻撃者に端末を乗っ取られたとしても、EDRがあれば不審な挙動を検知することができます。これは事後の策になりますが、有効な策でもあります。
(3)取引先や関連会社を含めた啓発とセキュリティ対策の向上
サプライチェーン攻撃という観点で見ると、これが一番大切かもしれません。要は、自社のセキュリティだけをいくら高めてもだめだということです。
これからは、自社同様、サプライチェーンに連なる取引先や関連会社についても、同等のセキュリティの強化を求めていかなければなりません。
サプライチェーン攻撃を防ぐためには、関連企業のセキュリティ向上が必須る
ここまでサプライチェーン攻撃について解説してきました。 ご理解いただけたと思いますが、サプライチェーン攻撃を防ぐためには、自社だけでなく、関連企業のセキュリティを高める必要があります。このため、自社からセキュリティコンサルを派遣したり、関連会社のセキュリティレベルをチェックしたりといった対応が必要であると考えた方が良いでしょう。
【無料ダウンロード】サイバーセキュリティに関するお役立ち資料
無料でトライアル利用ができます
製品版と同じものを無料でお試しいただけます。
基本的な動作や各種設定など、実機を用いてご案内します。
ご検討中の方は、お気軽にお問い合わせください。
