Webセキュリティ診断(脆弱性診断)サービスとは?種類・費用・選び方を比較解説
catfish_admin
経営リスクナビ
サプライチェーン攻撃の事例と対策|国内外の被害から学ぶ企業がすべきこと
catfish_admin
自社や取引先がサイバー攻撃の標的となるリスクは、もはや他人事ではありません。特に、取引先を踏み台にされるサプライチェーン攻撃は、自社の対策だけでは防ぎきれないため、多くの企業にとって深刻な経営課題となっています。国内外で実際にどのような被害が発生しているのか、その手口と合わせて把握することが、有効な対策を講じる第一歩となります。この記事では、サプライチェーン攻撃の定義と主な手口から、国内外の具体的な被害事例、そしてサプライチェーン全体で講じるべきセキュリティ対策までを網羅的に解説します。
目次
サプライチェーン攻撃とは?その定義と主な手口
サプライチェーン攻撃の定義と狙われる理由
サプライチェーン攻撃とは、標的とする企業や組織を直接攻撃するのではなく、その企業が利用する取引先や委託先など、供給網(サプライチェーン)におけるセキュリティ上の弱点を悪用して間接的に侵入するサイバー攻撃です。製品やサービスが消費者に届く一連の流れを「鎖」に例えるなら、攻撃者はその中で最も防御が手薄な箇所(ウィーケストリンク)を狙います。
標的となる大手企業は強固なセキュリティ対策を講じているため、正面からの侵入は困難です。そこで攻撃者は、セキュリティ対策が比較的手薄になりがちな中小企業や海外拠点などを最初の突破口として選びます。企業間の信頼関係を悪用し、取引先からの通信を装うことで攻撃の発覚を遅らせる狙いもあります。一つの脆弱性を突くことで、その先に連なる多数の企業へ連鎖的に被害を及ぼせるため、攻撃者にとっては非常に効率的な手法となっています。
サプライチェーン攻撃の主な目的と背景
- 標的となる大企業が持つ機密情報や個人情報の窃取
- ランサムウェア(身代金要求型ウイルス)による金銭要求
- セキュリティ対策が手薄な中小企業や海外拠点を侵入の足がかりとする
- 取引先からの通信を装い、侵入の検知を困難にする
- 一つの脆弱性から多数の企業へ連鎖的に被害を拡大できる高い攻撃効率
ソフトウェアのサプライチェーンを悪用する手口
ソフトウェアサプライチェーン攻撃は、企業が利用するソフトウェアの開発・流通プロセスに不正なコードを混入させる、極めて巧妙な手口です。ユーザーは開発元を信頼して正規のアップデートとしてインストールするため、攻撃を未然に防ぐことが非常に困難です。
ソフトウェアサプライチェーン攻撃の主な流れ
- 攻撃者がソフトウェア開発元(ベンダー)の開発環境へ侵入する。
- 正規のプログラムにバックドア(裏口)などの不正なコードを仕込む。
- ベンダーが配信する正規のアップデートに紛れてマルウェアが配布される。
- ユーザーは信頼してインストールするため、攻撃を未然に防ぐことが困難となる。
近年では、誰でも利用・改変が可能なオープンソースソフトウェアのライブラリやモジュールを狙った攻撃も急増しています。開発者が便利な外部部品として悪意あるコードが混入済みのライブラリを取り込むと、意図せず自社のシステム全体が侵害されることになります。この手法では、ソフトウェアの供給元が一度侵害されると、その製品を利用する世界中の組織が同時に被害を受ける可能性があり、正規の経路を悪用するため検知が遅れやすいという特徴があります。
外部サービスや委託先を踏み台にする手口
外部サービスや委託先を踏み台にする手口は、企業間の接続点や管理権限の隙を突く攻撃で、ビジネスサプライチェーン攻撃とも呼ばれます。現代の企業活動は、クラウドサービスやIT運用を外部に委託するMSP(マネージドサービスプロバイダ)など、多くの外部パートナーとの連携によって成り立っています。攻撃者は、これらのサービス事業者をまず侵害し、正規の管理者アカウントを乗っ取って、本来の標的である企業への侵入経路を確保します。島から島へと渡るように攻撃範囲を広げる様子から、アイランドホッピング攻撃とも呼ばれます。
外部委託先を踏み台にする手口の例
- クラウドサービスやMSPの管理システムを侵害し、正規アカウントを窃取する。
- 盗んだ認証情報でサービス提供者を装い、標的企業のネットワークへ侵入する。
- データ入力や印刷などの業務委託先が保有する機密情報や個人データを直接狙う。
- 委託先が利用するVPN接続装置などの脆弱性を侵入口として悪用する。
信頼している取引先を経由した攻撃は、通常の業務上の通信と見分けることが難しく、内部への侵入や偵察活動を長期間許してしまうリスクが高まります。
【国内】サプライチェーン攻撃による近年の被害事例
事例:業務委託先へのサイバー攻撃による個人情報流出
ある通信大手企業では、コールセンター業務の委託先における管理不備が原因で、大規模な個人情報流出が発生しました。調査の結果、委託先において複数のセキュリティルール違反が常態化していたことが明らかになりました。
情報流出の直接的な原因
- 委託先の元従業員が退職後に不正侵入し、USBメモリでデータを持ち出した。
- 別の従業員が個人情報を含むファイルをクラウド上に不適切にアップロードした。
- 委託元が定めたセキュリティルールが現場で形骸化していた。
- 委託先がセキュリティ監査に対して虚偽の報告を行っていた。
この事例は、委託元が定めたルールが末端の現場まで浸透・遵守されていなければ意味をなさず、委託先の管理体制の不備が直接委託元の事業リスクとなることを示しています。事後、委託元は当該業務委託契約を解除し、委託先における情報管理体制の厳格化を余儀なくされました。
事例:海外子会社への侵入を起点としたグループ全体への被害
大手製造業において、セキュリティ体制が比較的脆弱な海外子会社が起点となり、日本本社を含むグループ全体に被害が拡大する事例が報告されています。攻撃者はまず防御の手薄な海外拠点のシステムに侵入し、そこを足がかりとして、グループ企業間を結ぶ信頼された国際ネットワークを経由して本社サーバへの不正アクセスを試みます。
海外拠点を起点とする攻撃の課題
- 国や地域によるセキュリティ意識やITリテラシーの格差が存在する。
- 現地ではセキュリティ対策が後回しにされ、脆弱性が放置されやすい。
- 一度侵入されると、信頼されたネットワークを経由して本社の中枢システムに到達される。
- 言語や時差の壁が、インシデントの初動対応や全容解明を困難にする。
これらの事例は、グローバルに事業展開する企業にとって、本社と同水準のセキュリティガバナンスを全拠点に行き渡らせることの重要性と難しさを示しています。
事例:部品供給元のランサムウェア感染による生産ライン停止
2022年、トヨタ自動車の主要な部品供給元である小島プレス工業がランサムウェア攻撃を受け、国内の全工場が一時稼働停止に追い込まれました。この事例は、製造業におけるサプライチェーンの脆弱性を象徴するものです。
生産ライン停止に至るまでの経緯
- 部品供給元の子会社が利用するリモート接続機器の脆弱性が悪用された。
- 供給元の社内サーバがランサムウェアに感染し、受発注システムが停止した。
- 部品供給に関する電子情報が失われ、物流網が機能不全に陥った。
- 結果として、トヨタ自動車の国内全工場の稼働が停止し、大規模な生産遅延が発生した。
物理的な部品は存在していても、それをいつどこに納品すべきかというデジタル情報が失われたことで、生産活動全体が麻痺しました。この一件は、生産効率を追求した「ジャストインタイム」方式が、サイバー攻撃に対しては極めて脆弱な構造であることを浮き彫りにし、製造業界全体でセキュリティ基準を見直す契機となりました。
【海外】世界的に影響を与えたサプライチェーン攻撃の事例
事例:ソフトウェア更新機能にマルウェアが混入した大規模攻撃
2020年に発覚したSolarWinds社の事件は、ソフトウェアサプライチェーン攻撃の脅威を世界に知らしめた象徴的な事例です。攻撃者は、同社が提供するIT管理ソフトウェア「Orion」の開発工程に侵入し、正規のアップデートプログラムにバックドアを仕込みました。
SolarWinds社への攻撃の主な特徴
- IT管理ソフトウェア「Orion」のビルドシステム(製造工程)に侵入された。
- 正規のアップデートプログラムにバックドア機能を持つ不正コードが混入した。
- 正規のデジタル署名付きで配信され、セキュリティチェックを通過した。
- 米国政府機関を含む世界約1万8千の組織が被害を受けたとされる。
- 最初の侵入から発覚までに1年以上が経過していた。
この事件は、信頼されたソフトウェア更新の仕組みそのものを悪用する攻撃の巧妙さと、サプライチェーンリスクが単独の組織の努力だけでは防ぎきれないことを示しました。
事例:空調管理業者経由の不正アクセスによる顧客情報漏洩
2013年、米国の大手小売チェーンTargetで、最大約1億1千万件もの個人情報やクレジットカード情報が流出しました。驚くべきことに、攻撃の侵入口はTarget本体ではなく、店舗の空調設備を管理する外部業者でした。
Target社への侵入経路
- 攻撃者は店舗の空調管理業者のネットワークにマルウェアを感染させた。
- 業者のログイン情報を窃取し、リモートアクセス用のポータルサイトからTarget社内へ侵入した。
- 社内ネットワークを横移動し、各店舗のPOS(レジ)端末にマルウェアを配布した。
- 決済時にクレジットカード情報を窃取し、大規模な情報流出につながった。
この事例は、ITとは直接関係ないと思われるような業務委託先であっても、システム的な接続があれば攻撃の踏み台になり得るという教訓を残しました。委託先に与えるアクセス権限を必要最小限に絞ることの重要性を示しています。
事例:IT管理ツールベンダーの脆弱性を突いた広範囲への攻撃
2021年、IT管理ツールベンダーKaseya社の製品「VSA」がランサムウェア攻撃の標的となりました。攻撃者は未修正の脆弱性(ゼロデイ脆弱性)を悪用し、多くの企業のITシステムを代行運用するMSP(マネージドサービスプロバイダ)を経由して、その顧客企業へと一斉にランサムウェアを配信しました。
Kaseya VSAを悪用した攻撃の構造
- ゼロデイ脆弱性(修正パッチが未提供の欠陥)が悪用された。
- ITシステムを代行運用するMSP(マネージドサービスプロバイダ)が攻撃の踏み台にされた。
- ソフトウェアの更新機能が乗っ取られ、MSPの顧客企業へ一斉にランサムウェアが配信された。
- 一つのサービスを突破するだけで、連鎖的かつ同時に多数の企業を攻撃できる効率性を持つ。
この攻撃では世界約1,500の組織が同時に被害を受け、スウェーデンの大手スーパーマーケットが営業停止に追い込まれるなど、社会インフラにも大きな影響が出ました。特定のITツールへの依存がもたらす集中的なリスクを顕在化させた事例です。
サプライチェーン全体で講じるべきセキュリティ対策
自社で取り組むべきセキュリティ基盤の強化
サプライチェーン攻撃のリスクを低減するためには、まず自社のセキュリティ基盤を強化し、攻撃の起点や踏み台にならないようにすることが不可欠です。社内ネットワークは安全であるという従来の「境界防御」の考え方から脱却し、全ての通信を信頼せずに検証する「ゼロトラスト」の概念を導入することが求められます。
自社で実施すべき具体的なセキュリティ対策
- ゼロトラストの概念に基づき、全ての通信を信頼せず都度検証する。
- パスワードだけに頼らない多要素認証(MFA)を徹底する。
- 脆弱性を解消するため、修正プログラムを適用するパッチ管理を徹底する。
- 侵入後の検知・対応を担うEDR(Endpoint Detection and Response)を導入する。
- 重要データを暗号化し、オフライン環境などへ定期的にバックアップを取得する。
取引先・委託先のセキュリティ評価とリスク管理
自社の対策だけでは不十分であり、サプライチェーンを構成する取引先や委託先のセキュリティ状況を把握し、管理するサードパーティリスクマネジメントが極めて重要です。
取引先のリスク管理プロセス
- 全ての取引先をリストアップし、重要度に応じてリスクを評価する。
- 質問票や外部のセキュリティスコアなどを活用し、客観的な評価を行う。
- 評価を定期的に見直し、リスクの高い取引先には改善を要請する。
- 再委託先を含めた管理体制を構築し、サプライチェーン全体のリスクを可視化する。
- 一定のセキュリティ水準を取引継続の条件とし、パートナー全体の意識向上を促す。
契約書に盛り込むべきセキュリティ関連条項
取引先との契約書にセキュリティ要件を具体的に明記することは、責任の所在を明確にし、インシデント発生時の混乱を防ぐために不可欠です。抽象的な努力義務ではなく、具体的な義務として定める必要があります。
契約書に明記すべきセキュリティ関連条項
- 準拠すべきセキュリティ対策の最低水準(認証取得、脆弱性診断の実施など)。
- インシデント発生時の報告義務(報告期限、報告内容、連絡体制など)。
- 委託元が対策状況を点検できる監査権(実地調査、レポート提出など)。
- 業務終了後のデータの確実な廃棄・返還に関する規定。
- 再委託を行う際の事前承認義務と、再委託先への同等義務の要求。
- セキュリティ事故発生時の損害賠償の範囲や上限。
インシデント発生に備える対応体制の構築と情報共有
サイバー攻撃を100%防ぐことは不可能です。そのため、攻撃を受けることを前提としたインシデント発生時の対応体制(インシデントレスポンス)を事前に構築しておくことが、事業継続の鍵となります。
インシデント対応体制構築のポイント
- 専門チーム(CSIRT)を設置し、役割分担と対応手順書を整備する。
- 外部関係者(取引先、顧客、監督官庁など)への連絡フローを事前に定める。
- 実際の攻撃シナリオを想定した訓練を定期的に実施し、対応能力を向上させる。
- 業界団体や専門組織と連携し、最新の脅威情報や攻撃手法を共有する。
- 被害に遭った際は可能な範囲で情報を公開し、社会全体の防御力向上に貢献する。
セキュリティ対策の投資対効果をどう説明するか?経営層への説明ポイント
セキュリティ対策は単なるコストではなく、事業継続のための戦略的な投資です。経営層の理解を得るためには、ビジネス上のメリットとリスクを具体的に示す必要があります。
経営層への説明ポイント
- 対策を怠った場合の想定損失額(直接コスト、機会損失、ブランド毀損など)を提示する。
- 対策投資によってこれらのリスクをどの程度低減できるかを具体的に説明する。
- セキュリティ強化が受注競争力の向上や事業継続の前提条件であることを強調する。
- 対策が不十分な場合、取引停止や契約更新不可のリスクがあることを伝える。
- 短期的なコストではなく、中長期的な企業価値を守るための戦略的投資であると位置づける。
サプライチェーン攻撃に関するよくある質問
サプライチェーン攻撃の被害は増加傾向にあるのですか?
はい、国内外を問わず著しい増加傾向にあります。情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威」でも、サプライチェーンの弱点を悪用した攻撃は組織にとっての脅威として常に上位に位置付けられています。背景には、クラウドサービスの普及などにより企業間のシステム連携が複雑化し、攻撃者にとって効率的な標的が増えていることが挙げられます。一つの脆弱な組織を突破口に、多数の企業へ連鎖的に被害を広げられるため、攻撃手法として好まれています。
なぜセキュリティ対策が不十分な中小企業が狙われやすいのですか?
中小企業が狙われる主な理由は、攻撃者にとって侵入しやすいことと、その先にある大手企業への足がかりとなる価値があるためです。多くの中小企業は、予算や人材の制約から十分なセキュリティ対策を講じることが難しい場合があります。攻撃者はこの防御の薄さ(ウィーケストリンク)を狙い、まずは中小企業のネットワークに侵入します。そして、そこから取引関係にある大手企業へと、信頼された通信経路を悪用して侵入範囲を拡大していくのです。
もし自社が攻撃の被害に遭ったら、最初に何をすべきですか?
被害が発覚した場合、最優先すべきは被害拡大の防止(封じ込め)と証拠の保全です。慌てて誤った対応を取ると、原因究明を困難にする恐れがあります。
被害発覚時の初動対応
- 被害の拡大を防ぐため、感染が疑われる端末をネットワークから物理的に切り離す。
- 証拠保全のため、電源を落としたり再起動したりせずに現状を維持する。
- 速やかに情報システム部門やCSIRT、外部のセキュリティ専門家へ連絡し指示を仰ぐ。
- 経営層へ報告し、個人情報保護委員会への報告や警察への相談を検討する。
- 対外的な情報発信は窓口を一本化し、慎重に行う。
自社が攻撃の踏み台になった場合、どのような責任が問われますか?
意図せず攻撃の踏み台になってしまった場合でも、法的な責任や社会的な責任を問われる可能性があります。自社のセキュリティ対策の不備が原因で取引先に損害を与えた場合、その責任は免れません。
踏み台となった場合に問われる主な責任
- 契約上の責任: 善管注意義務違反などによる損害賠償責任。
- 法的な責任: 個人情報保護法上の安全管理措置義務違反など。
- 社会的な責任: 取引停止やブランド価値の低下、社会的信用の失墜。
まとめ:サプライチェーン攻撃のリスクは自社だけで完結しない
本記事では、サプライチェーン攻撃の多様な手口と、国内外で発生した深刻な被害事例を解説しました。ソフトウェアの更新機能や海外子会社、業務委託先など、攻撃者は信頼関係の隙を突いて侵入し、一つの脆弱性から連鎖的に被害を拡大させます。トヨタ自動車の生産停止やSolarWinds社の事件が示すように、その影響は個社の問題に留まらず、業界全体や社会インフラにまで及ぶ可能性があります。これらの脅威に対抗するためには、自社のセキュリティ基盤を強化するだけでなく、取引先の評価や契約の見直しといったサプライチェーン全体を俯瞰したリスク管理が不可欠です。セキュリティ対策を単なるコストではなく、事業継続のための戦略的投資と位置づけ、自社とパートナー企業が一体となって防御体制を構築することが、これからの企業に求められる姿勢と言えるでしょう。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。当社は、企業取引や与信管理における“潜在的な経営リスクの兆候”を早期に察知・通知するサービス「Riskdog」も展開し、経営判断を支える情報インフラの提供を目指しています。
