近年、取引先やグループ組織等を介してサイバー攻撃を受ける「サプライチェーン攻撃」の脅威が高まっています。
IPA*が発表している「情報セキュリティ10大脅威 2023」の組織編では、「サプライチェーンの弱点を悪用した攻撃」が2位にランクインしています。
以下表の脅威について、別記事『セキュリティ10大脅威について』でも詳しく紹介しているためご参照ください。
*IPA(独立行政法人情報処理推進機構)出典 【情報セキュリティ10大脅威 2023】
本記事では、「サプライチェーン攻撃」の脅威とその対策を紹介しています。
サプライチェーン攻撃について深く理解することで被害を防ぎ、自組織の信頼を確立させましょう。
1. サプライチェーン攻撃とは
標的に関連する媒体から間接的に侵入する攻撃
サプライチェーン攻撃の特徴は、標的を直接攻撃することが難しい場合に、標的に関連のある別媒体から間接的に攻撃をおこなうことです。ゆえに標的とする組織がどれだけセキュリティ対策を強化していても、関連組織やソフトウェアのセキュリティが脆弱であると、攻撃者の侵入を許してしまうおそれがあります。
サプライチェーン攻撃の種類
- ソフトウェアやハードウェアの供給経路を介した攻撃
ターゲットとしている組織が利用する製品やソフトウェアの提供元に侵入し、不正なプログラムを仕掛けて被害を拡大させるケースです。このケースでは、製品を開発している企業がウイルスに感染してしまうと、正規品を使用しているにもかかわらずマルウェアに感染する可能性があります。
- 取引先やグループ組織を経由した攻撃
ターゲットとしている組織ではなく、そのサプライチェーンとなる取引先や関連組織などに対して不正アクセスやマルウェア攻撃を仕掛けるケースです。このケースでは、マルウェアはそれらの関連組織から盗んだ情報をもとにターゲット組織に侵入します。万全のセキュリティ対策を施していても、関連組織のセキュリティに脆弱性がある場合、攻撃者の侵入を許してしまうのがこの攻撃が脅威である理由の1つです。
2. サプライチェーンの弱点を悪用した攻撃への対策
取引先や関連組織のセキュリティ取組状況の確認
サプライチェーン攻撃を防ぐには、自組織だけではなく関係するあらゆる組織と連携した対策が必要です。取引先や関連組織のセキュリティ対策の甘さが原因・発端となって被害が広がるケースも少なくありません。セキュリティポリシーや対策内容の共有、リスク評価の実施、監視体制の整備など、関連組織が十分なセキュリティ対策を講じているかどうかを確認しておきましょう。
自組織のセキュリティ対策強化
自組織が被害者ではなく加害者にならないためにも、セキュリティ対策を強化することが大切です。常に最新セキュリティアップデートの適用や、ウイルス感染後に端末を切り離すことで拡大を食い止めることができる「EDR」や「不正侵入防止システム」の導入なども組み合わせてセキュリティ環境を構築していく必要があります。
また、従業員のセキュリティ意識を高めることも大切です。セキュリティ意識が低い場合、「メールに添付されたファイルを開いてしまいランサムウェアに感染してしまった」といった事故が起こりかねません。ヒューマンエラーを完全に防ぐことは難しいですが、リスクを減らすためにも従業員ひとりひとりのセキュリティ意識を高めることが重要です。
WorkRichでは、セキュリティパッチ適用状況やセキュリティ対策ソフト更新状況を管理し、毎月の運用レポートにて管理状況をお知らせすることで、脆弱性や脅威への対策を行っています。セキュリティ対策強化の一環としてお役立てください。