セキュリティソリューション導入 /
運用支援 / 監視サービス
コラム
2024.12.17
サイバー攻撃対策
サプライチェーン攻撃の脅威
企業間のエコシステムを狙ったサイバー攻撃
企業間のエコシステムを狙うサプライチェーン攻撃について、事例を交えながら対策方法を解説します。
#サプライチェーン攻撃
はじめに
IPAが毎年発表している「情報セキュリティ10大脅威」2024年版の第2位は「サプライチェーンの弱点を悪用した脅威」でした。この脅威は2019年に初めて選出されて以来、毎年上位にランキングされています。
本コラムではサプライチェーン攻撃について解説していきます。
目次
サプライチェーン攻撃とは
サプライチェーンとは、原材料の調達から生産、流通、販売に至るまでの一連の流れ、またはその流れに関与する企業群を指します。
サプライチェーン攻撃とは、サプライチェーンの中で比較的セキュリティ強度が弱い企業を踏み台として、真のターゲット企業を攻撃することや、サプライチェーン全体に影響を与える攻撃のことです。(これをビジネスサプライチェーン攻撃といいます)
また、システムの保守業務を委託しているIT企業や、マネージドサービスを提供しているMSP(Managed Service Provider)など、企業とネットワーク接続している委託会社の設備にマルウェアを仕込むことで、契約先の企業に対して攻撃を仕掛けるサプライチェーン攻撃もあります。(これをサービスサプライチェーン攻撃といいます)
以下でこれら2つのサプライチェーン攻撃についてご説明します。
ビジネスサプライチェーン攻撃
私たちの生活や企業活動においてサプライチェーンは非常に重要なものですが、サプライチェーンは個々の企業の集まりのため、他社のセキュリティについて強要できる部分は限られており、セキュリティのレベルに差ができます。その結果としてビジネスサプライチェーン攻撃を容易に許してしまうことが、攻撃対策を検討する上での難点と言えます。
攻撃の事例
2022年2月、国内最大手の自動車企業の委託先である、内外装部品の生産を行う企業がランサムウェアの攻撃を受けました。その結果、委託先だけでなく委託元企業の国内工場を丸一日停止する事態に発展しています。
攻撃の対策
サプライチェーンを構成する各社で技術的なサイバーセキュリティ対策を実施していることを前提とし、サプライチェーン全体に係る組織的・法務的な対策について紹介します。
-
1セキュリティンインシデント対応計画の策定
サプライチェーンの一部が攻撃を受けた際に、被害を最小化し、早急に復旧するためのセキュリティインシデント対応計画を策定し、サプライチェーン全体に共有することが望まれます。そのためにはサプライチェーンの各企業経営者が攻撃のリスクを認識し、サプライチェーン全体でセキュリティインシデント対応計画の重要性を共有することが重要なポイントになります。
-
2セキュリティ観点を取引契約に盛り込む
取引契約書にセキュリティに関する条項を盛り込み、各社共にけん制することでセキュリティの底上げを図ることも重要な対策です。満たすべきセキュリティレベルは、各業界にあるセキュリティ基準やガイドライン(金融機関であればFISCの安全対策基準、自動車関連製造業であれば自工会/部工会工会のサイバーセキュリティガイドラインなど)を参照するとよいでしょう。
サービスサプライチェーン攻撃
企業が業務の一部をアウトソースし、ITシステムの一部としてMSPのサービスを利用することは往々にしてあります。一方でサイバー攻撃を仕掛ける攻撃者の視点に立てば、多くのクライアントを持つ企業を経由することで必然的に攻撃対象が増えるため非常に効率的です。多くの委託先企業ではセキュリティ対策に多額の費用を払いサイバー攻撃を防御していますが、一度でも攻撃が成功するとその影響は甚大になるでしょう。
攻撃の事例
2022年2月、国内最大手の自動車企業の委託先である、内外装部品の生産を行う企業がランサムウェアの攻撃を受けました。その結果、委託先だけでなく委託元企業の国内工場を丸一日停止する事態に発展しています。
攻撃の対策
-
1委託先の選定時の比較項目にセキュリティ観点を入れる
委託先を選定する際に、その企業のセキュリティ対策状況を確認することが重要です。セキュリティ管理策を個々に問い合わせることは両社にとって非常に手間がかかるため、まずは委託先企業のセキュリティ認証の取得状況やセキュリティ統制の状況を確認しましょう。以下に確認事項の一例を挙げます。
・セキュリティ認証の取得状況(ISMS、Pマーク、ISMAP等)
・準拠しているセキュリティ基準(FISC安全対策基準、経産省セキュリティ管理基準、ISO/IEC 27002 等)
・セキュリティインシデント対応マニュアルの整備状況 -
2委託契約にセキュリティの条文を入れる
委託契約にセキュリティに関する条文を入れることも対策効果があります。以下にセキュリティの条文の例を示します。
・委託先はセキュリティ確保に十分配慮すること
・委託先はセキュリティインシデント発生時に原因や影響範囲を特定できるようログを取得・管理をすること
・委託先はセキュリティインシデント発生時に速やかに委託元に状況報告をすること
・当社はセキュリティ監査のために委託先に立ち入る権利があること
新たなサプライチェーンの考え方
ここまでビジネスにおける企業の関連性を中心としたサプライチェーンへのサイバー攻撃について説明しましたが、サプライチェーンの中には「ソフトウェアサプライチェーン」という考え方があります。
ソフトウェアサプライチェーン
ソフトウェアサプライチェーンとは、ソフトウェア開発ライフサイクルに関わる要素と、開発したソフトウェア間の相互依存関係の総称です。オープンソースを使ったソフトウェア開発が一般的である昨今、オープンソースコードを使用したり、使用されたりという相互依存関係に基づく入れ子構造が形成されており、開発したソフトウェアはどこでどのオープンソースを使用したかが把握し辛い状況になっています。
ソフトウェアサプライチェーンのリスク
例えば、あるオープンソースに重大な脆弱性が内在していたことが判明しても、自社で開発したプログラムや調達したソフトウェアにそのオープンソースが使われていることがすぐにはわかりません。これはオープンソースの依存関係が複雑であることが要因です。
2021年12月にApache Log4jというプログラムの重大な脆弱性が報告されました。このプログラムはApacheソフトウェア財団が提供するオープンソースで、Javaプログラム用のロギングAPIかつ高性能であるため、様々なアプリケーションで利用されていました。
中にはApache Log4jの利用有無を確認でき、修正プログラムを提供したソフトウェア企業もありますが、オープンソースであるApache Log4jを利用したソフトウェアかどうかを判断することは極めて難しいと言えます。
攻撃の狙い
ソフトウェアサプライチェーンの複雑性を利用して、正規のソフトウェアの中に不正なプログラムを仕込むのがソフトウェアサプライチェーン攻撃です。
2020年に発生したSolarWinds社の事例では、ネットワーク監視製品「Orion」に不正なプログラムが仕込まれ、この製品を使用した最大18,000の組織が被害にあったことで大問題になりました。このように、攻撃者はソフトウェアサプライチェーンの複雑性を利用して、こっそり正規品に不正プログラムを仕込み、拡散させるのがソフトウェアサプライチェーン攻撃です。
攻撃の対策
ソフトウェアサプライチェーン攻撃の対策として、複雑なソフトウェアサプライチェーンを可視化する方法であるSBOM(エスボム:Software Bill of Materials:ソフトウェア部品表)を使った脆弱性管理があげられます。
SBOMはソフトウェアを構成する部品やその依存関係、ライセンスデータなどを一覧化したリストのことで、SBOにより可視化されたソフトウェア部品とオープンソースの脆弱性を突合することで、対象となるソフトウェアに脆弱性が内在しているかどうかを判断できます。
欧米ではソフトウェア調達時にSBOMを提示することがデフォルトになりつつあり、日本でも経済産業省により推奨されているものの、一部大手企業やソフトウェアの輸出を行う企業で限定利用されています。
まとめ
サプライチェーン攻撃は企業間のエコシステムを脅かす非常に厄介な攻撃であることをご理解いただけたでしょうか。
弊社では、製造業や他業種のお客様との長年の取引で培ったノウハウと最新のセキュリティ技術をいかし、お客様にあったサプライチェーン攻撃対策をご提案させていただきますので、お気軽にご相談ください。