DoS攻撃やランサムウェアなど、サイバー攻撃の種類は多々ありますが、近年ではサプライチェーン攻撃による被害が急増しています。どのような業種の企業でもサイバー攻撃を受けるリスクがある以上、新たな脅威に対して適切な対策を実施することが必要なのは言うまでもありません。
本記事では、急増するサプライチェーン攻撃のリスクや、具体的な対策方法を解説します。
急増するサプライチェーン攻撃とは
サプライチェーン攻撃はサイバー攻撃の一種で、国内外を問わず多くの企業をターゲットとした攻撃被害が増えている最新のサイバー攻撃の1つです。適切な対策を進める前に、まずはサプライチェーン攻撃に関する基礎的な知識を身につけましょう。
サプライチェーンとは
サプライチェーンとは物流用語のひとつで「供給連鎖」を指す用語です。商品の誕生から消費までに至る一連の商的流通を意味します。
製造業を例に解説しましょう。製造業では、原料の製造→製品の製造→問屋が仕入れ→物流会社が配送→小売店が販売→消費者が購入、といった流れが発生します。まずA社が原料を、次にB社が製造を行い、C社が仕入れ、D社が配送といった一連の流れがサプライチェーンです。
他にもIT企業を例にしてみましょう。サーバー提供会社がサービスを提供、管理会社が間に入り、ソフトウェア開発会社がサービスを開発してリリース、といった流れが生じます。
このように、業界や業種を問わず、あらゆる企業は、何かしらのサプライチェーンに組み込まれているのです。
全ての企業が晒されるサプライチェーン攻撃
サプライチェーン攻撃とは、ターゲットの企業へ攻撃するために、その企業が組み込まれているサプライチェーンの中で、セキュリティ対策が不十分な企業を最初の標的として攻撃を仕掛け、この企業を踏み台としてターゲットの企業へ攻撃を試みる攻撃手法です。つまり、自社のセキュリティ対策を十分に実施していたとしても、踏み台となった企業を経由してさまざまな攻撃被害を受けるおそれがあるのが、サプライチェーン攻撃の恐ろしい点です。
たとえば、普段部品を仕入れている取引先が攻撃に遭ったと仮定しましょう。取引先のコンピューターがコンピューターウイルスに感染してしまうと、メールのやり取りなどを通じて自社もマルウェア(悪質なソフトウェア)に感染してしまうおそれがあります。
また、不正アクセスやマルウェアの被害がなくとも、サプライチェーンのどこかがダメージを受けると、自社の事業に影響を及ぼしかねません。製造業であれば、取引先から部品を仕入れられなくなり、製品を製造できなくなることも充分考えられます。このような事態を回避すべく、サプライチェーン攻撃への対策が急務となっています。
サプライチェーン攻撃の手口
適切な対策を行うには手口を理解しておく必要があります。サプライチェーン攻撃では、一般的にサプライチェーン内の企業が最初の標的となり、その企業を踏み台として自社が攻撃されるケースがほとんどです。
最初の標的として狙われやすいのはセキュリティ面が脆弱な企業で、マルウェアメールやフィッシングなどの攻撃手法を利用されることが多いです。マルウェアメールは、標的の企業にメールでマルウェアを送り、コンピューターに不正なプログラムを仕込む手法です。マルウェアに感染させてから本命の企業へ攻撃を行い、機密情報を盗むといった事例があります。
フィッシングは、メールで偽装したリンクを送信し、偽のサイトに誘導したうえで情報を盗み出す手法です。例を挙げると、大手ショッピングサイトに似せたURLを送信し、クリックした者のアカウント情報を盗み出すといったケースがあります。
サプライチェーン攻撃による被害は想像以上
サプライチェーン攻撃による被害は、日本だけでなく世界中の多くの企業に広がっています。具体的にサプライチェーン攻撃では、どのような被害を受ける可能性があるのでしょうか。
企業の信用に直結する個人情報漏洩
企業が保有する個人情報が漏洩してしまうリスクが発生します。顧客管理システムなどに侵入された場合、あらゆる個人情報が流出し、悪用されてしまうかもしれません。
個人情報の漏洩は、企業にとって大問題です。社会的な信用に加え、取引先や消費者からの信頼も失い、今後の事業継続にも関わる重大な問題となってしまうでしょう。
重大な企業秘密の盗難
企業が保有する技術やノウハウなど、重要な情報を盗まれてしまうリスクがあります。たとえば、飲食店であれば秘伝のスープを作るためのレシピや、製造業であればレアメタルの加工技術など、長く蓄積してきた自社だけの営業ノウハウなど情報を奪われるケースは少なくありません。
これらの情報の盗難被害に遭うと、企業としての競争力を失うほか、競合に情報が露見したことで業界の勢力図が大きく変化する可能性もあります。シェアを奪われ、業績が大きく下がる事態にも発展するでしょう。
事業そのものの停滞・停止
Webサイトや情報システムなどが攻撃されると、事業そのものが停止してしまう可能性があります。顧客からの問い合わせが正常に届かない、商品を購入できないなどのトラブルが発生するかもしれません。
早急に対処できればよいものの、復旧までに時間がかかれば大きな機会損失が発生しかねません。本来、自社で購入してくれるはずだったお客様が他社に流出してしまうなど、直接的な被害にもつながるのです。
システムの不正利用
不正なプログラムを仕込まれてしまい、自社のシステムを不正利用されてしまうおそれがあります。マルウェアを仕込んだメールを勝手に取引先へ送信する、金融機関から現金を送金されてしまう、といった被害が発生するかもしれません。
また、システムが不正に利用され、自社が加害者になってしまうリスクもあります。自社が踏み台にされてしまい、取引先に被害をもたらすメールを送ってしまう可能性もあるのです。
サプライチェーン攻撃を予防するには
サプライチェーン攻撃は、サプライチェーンの中でセキュリティ面で脆弱な企業を狙って攻撃を繰り返すため、現実的に自社だけで完全に対処することが難しいサイバー攻撃と言えます。サプライチェーン攻撃によるリスクを軽減するためには、サプライチェーン全体のセキュリティリスクを把握し、コントロールすることが必要不可欠です。
このような攻撃者側の変化に対応していくべく、今新たに注目されているセキュリティ対策の一つが「Security Risk Rating」製品です。日本では、「セキュリティスコアリングサービス」とも言われています。これを利用することで、自社に加えて、自社が組み込まれているサプライチェーンに属する他の企業に対しても、セキュリティリスクを評価し、モニタリングすることが可能です。事前にリスクを把握できるため、適切な対処を可能とします。
このSecurity Risk Rating製品の一つが「SecurityScorecard」です。SecurityScorecardは任意の企業に対するセキュリティリスクの評価やモニタリングを実現します。自社だけではなく取引先企業のセキュリティリスクの可視化も可能であり、抽出したリスクをサプライチェーンに属する他の企業に共有することもできます。その結果、自社だけでなくサプライチェーン全体で適切な対策を施せるため、継続的にセキュリティリスクが低い状態を維持することが可能です。
まとめ
どのような企業でも、サプライチェーンの一部である以上、サプライチェーン攻撃の被害に遭う可能性があります。個人情報や機密情報の漏洩、システムの不正利用など、さまざまな被害が想定されるため、企業は適切に対処しなくてはなりません。
本記事で紹介したSecurityScorecardを活用することで、自社だけでは対処が難しいサプライチェーン攻撃への対策を実現できます。攻撃者の視点でリスクの抽出・可視化を行うことができるため、そこから得られた情報をもとに適切な対応を行うことでサプライチェーン全体でセキュリティリスクが低い状態を維持できます。この機会に導入を検討してみてはいかがでしょうか。
この記事に関するサービスのご紹介
SecurityScorecard
SecurityScorecard社は、企業のサイバーリスクに対する理解、その改善方法、経営陣/従業員/取引先企業とのコミュニケーションに変革をもたらすことで、より安全な世界を実現することをミッションとした企業です。
詳細はこちら