サプライチェーン攻撃をご存知でしょうか?
サプライチェーン攻撃とは、セキュリティが厳しいターゲットを直接攻撃せず、セキュリティが脆弱な関連会社を経由して攻撃する手法のことです。
攻撃者は、まずセキュリティが手薄な関連企業に攻撃をおこない、マルウェアなど悪意のあるプログラムを仕込みます。
その後、メールや業務システムなどを経由して、ターゲット企業に攻撃をおこない情報搾取や脅迫をおこない身代金などを目的とします。
そのため同じ情報を取り扱うサプライチェーン企業全体で対策を求められています。
IPAが毎年発表している「情報セキュリティ10大脅威」では、2020年にランクインしてから毎年順位を上げており、2023年には遂にランサムウェアに次ぐ第2位に選ばれています。
【参考元_IPA 独立行政法人 情報処理推進機構】https://www.ipa.go.jp/security/10threats/10threats2023.html
あらゆる手口で攻撃をしてくる危険なサプライチェーン攻撃の手口を紹介します。
サプライチェーン攻撃の主な手法としては、以下のようなものがあります。
・システムの脆弱性を狙った標的型攻撃
・メールの添付ファイルやリンクで人的ミスを狙った攻撃
・従業員や業務委託をしている関係者による内部不正
・悪意のあるソフトウェアや不正アプリのダウンロードによるマルウェアの感染
まだ記憶にも新しい事例ですが、昨年2022年3月1日、トヨタ自動車の部品の生産をおこなっている下請企業の小島プレスが、マルウェアに感染したことを公表しました。
これを受けて、トヨタのグループ企業である日野自動車とダイハツ工業が一部生産を見合わせることになりました。
トヨタの工場は翌日には復旧しましたが、たった1社の障害により14カ所の工場の合計28ラインが停止することになり、約1万3000台の自動車の生産を見送る事態となりました。
この出来事は、ニュースでも取り上げられ世間にサプライチェーン攻撃の危険性を知らしめる結果となりました。
① OSやアプリケーションを常に最新の状態で使用する
日々新しい脅威が発見されているため、古いバージョンのまま使用していたら新種のウイルスには対応できません。
そのため必ずアップデートを行い最新の状態にしておく必要があります。
② セキュリティソフトをインストールする
セキュリティソフトには、様々な脅威に対抗できるよう設計がされています。
定義ファイルの更新をおこなうことで未知の脅威にも対応できます。
③ 複雑なパスワードの組み合わせにする
数字だけの組み合わせや、極端に短いパスワードは安易に推測される可能性があるため危険です。
また、誕生日や名前の組み合わせも著しくセキュリティレベルが低下することが分かっています。
セキュリティレベルの低いパスワードはハッキングソフトを使用することで1秒以内に解読されることが判明しています。
なるべく複雑で長いパスワードに設定するよう心掛けましょう。
④ 企業が従業員に対してリテラシー向上を図る施策を行う
企業ではパソコンで重要な情報を管理することが多く、どのような対策を講じていてもインターネットを使用することで少なからず危険に晒されます。
そのため使用者が常にセキュリティ意識を持って使用することが大切です。
知らないWEBサイトのアクセスや身に覚えのないメールを開く際は、特に注意が必要です。
企業は社員にリテラシー向上の研修を実施したり、社内ルールの見直しが求められます。
⑤ セキュリティ対策のために人員と予算をきちんとつける
セキュリティ対策は必ず行うべきものなので、企業は人員と予算をかけて対策をしないと更に大きな損失を生み出す結果となります。
セキュリティ対策をおこなう人材の確保と、可能な予算で技術的な対策の両方をおこなうことが必須となります。
サプライチェーン攻撃とは、ターゲットには直接攻撃せず、セキュリティが脆弱な企業を経由してターゲットに攻撃を行い情報漏洩や金銭搾取を目的とする手法のことです。
一般的にはセキュリティが厳しいメーカーや大企業がターゲットとなり、その下請け会社などの企業が攻撃を受けるとが多い傾向にあります。
そのため特に中小企業は、取引先と同じ情報を取り扱うため、メーカーや大企業と同等のセキュリティ対策を求められています。
サプライチェーン攻撃は、年々危険度を増しておりIPAが公表している「情報セキュリティ10大脅威」に2020年にランクインして以降、毎年順位を上げており、2023年にはランサムウェアに次ぐ第2位となっています。
実際に大手メーカーも近年被害を受けており、企業はあらゆる面でセキュリティ対策の強化が必要となります。