공급망 공격은 무엇입니까?
세 가지 공격 패턴, 대책, 예제 등의 모든 요약

サプライチェーンとは、原料・部品の調達から、生産、物流、販売などのすべての生産プロセスの連鎖を意味します。私たちが手にする商品は、複数の企業が連携しています。サプライチェーン攻撃とは、このつながりを利用したサイバー攻撃で、セキュリティが強固な大手企業を最終攻撃対象として、まずはセキュリティ意識の低い中小企業を足掛かりにマルウェアなどの悪意あるプログラムを感染させます。

정보 기술 프로모션 에이전시 (IPA)가 발표 한 "정보 보안의 10 가지 위협 2024"에서 공급망 공격은 조직에 1 위를 차지한 것 중 2 위입니다 2019 년에 4 위를 차지한 이래로 순위를 점차 증가 시켰으며 2023 년에 2 년차 2 위를 차지했습니다 경제, 무역 산업부에서サイバー攻撃のリスクの高まりを受け、サプライチェーン全体を俯瞰し、発生するリスクをコントロールするためのセキュリティ対策を実施するよう呼びかけています。

サイバー攻撃の標的として中小企業が狙われる要因として、セキュリティ対策が大手企業と比較して甘いという点が挙げられます。サイバー攻撃に対して、セキュリティ意識の高い大手企業は強固な対策をしているため、攻撃者がシステムなどに侵入することは困難です。しかし中小企業の場合は、「自社が狙われるはずがない」「さほど重要な情報は扱っていない」と考えている経営者がいるほか、セキュリティ対策に予算をかけられない、従業員のリテラシーが低いといったケースが見られます。

攻撃者はこれらの状況を悪用し、サプライチェーンを担う企業を狙って攻撃を仕掛け、大手企業に侵入するための「踏み台」に利用します。中小企業がサプライチェーン攻撃の標的とされる大きな理由です。取引のある企業への踏み台に利用された場合には、加害者として損害賠償などの負担や、取引停止などの被害が発生する場合もあるため、自社では個人情報などの取り扱いがないとしても、必要なセキュリティ対策を行うことが重要です。

サプライチェーン攻撃は、委託元（攻撃対象企業）に直接攻撃するのではなく、取引のある委託先から情報を窃取したり、委託元への納品物を悪用したりといった手法が使われます。攻撃パターンは主に以下の3つの型に分類できます。

●ビジネスサプライチェーン攻撃

標的とする企業の関連企業や子会社、取引先企業などのシステムに侵入し、「踏み台」として標的を攻撃する手法です。セキュリティ対策が十分でない企業を狙い、メールアドレスを盗み出してマルウェアなどを仕掛けた不正メールを送信する、または踏み台となる企業を経由した不正アクセスによる情報の窃取やサーバの乗っ取りなどを行います。

●サービスサプライチェーン攻撃

32983_33528情報漏洩やネットワークが停止するなどの被害が出てしまいます。サービス事業者だけでなく、そのサービスを利用する顧客にも被害が及び、利用者が多い場合は大きな被害につながる恐れもあります。

●ソフトウェアサプライチェーン攻撃

大手企業と取引しているアプリやソフトウェア開発会社のシステムに不正アクセスを行い、納品物（ソフトウェアや更新プログラムなど）にマルウェアなどを仕掛け、標的となる企業のシステムに侵入を試みる手法です。開発会社が気づかないまま納品し、そのまま使用してしまうと、仕掛けられたマルウェアが社内全体に拡散してしまうリスクがあります。

サプライチェーン攻撃の事例を3つご紹介します。いずれもマルウェア感染による個人情報漏洩など、大きな被害が生じたケースです。

●大手インターネット企業から個人情報漏洩

2023年11月、大手インターネット企業がマルウェア감염으로 인해 약 440,000 건의 개인 정보가 유출되었다고 발표되었습니다 계약 회사 직원이 사용하는 PCマルウェアに感染し、関連企業のシステムを経由して感染が拡大。最終的にはユーザーや従業員、取引先に関する大量のデータが流出しました。不正アクセス発生後、1週間以上も経過してから不審なアクセスが検知されたことで、委託先従業員の正規アカウントを悪用された可能性が指摘されています。

●宿泊予約サイトを運営する大手企業への不正アクセス

世界最大級の宿泊予約サービスが不正アクセスを受け、ユーザーの個人情報が大量に流出しました。サービスに登録しているホテルにフィッシングメールを送り、マルウェアに感染させてシステムに侵入。ホテルの担当者がサービスのアクセスに使用するアカウント情報を窃取し、不正アクセスを行いました。攻撃者は、サービスのシステムを悪用し、予約者にフィッシングメールを送り、不正サイトを通じてユーザーのクレジットカード情報や個人情報を窃取したと見られています。

●医療機関のシステムがランサムウェアに感染

2022年10月、関西の医療機関がサイバー攻撃を受け、総合情報システムの停止により、救急や外来の診療、手術などに甚大な支障が出ました。病院から委託契約を受けた給食配給企業で使用している機器の脆弱性が狙われ、不正にアクセスを受けたものです。さらに病院のシステムへも侵入を許し、ランサムウェア に感染。電子カルテを含めたサーバの大部分が暗号されてしまい、身代金の要求を受けました。

サプライチェーン攻撃により顕在化した主なリスクとして以下の5点が挙げられます。

• 内部不正・不正アクセスによる委託先からの情報流出
• 委託先からの納品物にマルウェアが混入
• 委託元・委託先からのサイバー攻撃メール
• 調達したソフトウェア・オープンソフトウェアの脆弱性による事故
• システム運用委託先（クラウド、iotシステム等）における停止事故・情報流出・情報消滅・乗っ取り

이를 바탕으로 IPA는 공급망의 사이버 보안 조치 강화에 대한 다양한 설문 조사 및 이니셔티브 프레젠테이션을 수행하고 있습니다 또한 경제부는 무역 및 산업부가 관리자를위한 사이버 보안 관리 지침을 개정했으며 공급망 전체의 사이버 보안을 개선하고 비즈니스 파트너에 대한 지원 및 요청과 관련된 관련 법률 및 규정의 적용을 조직하기 위해 중소 기업의 사이버 보안 조치를 지원하기위한 조치를 이행하고 있습니다

サプライチェーン攻撃では、脆弱性などの弱点が狙われるのが特徴ですが、取引企業は安心という思い込みから管理や意識が甘くなることも原因となっています。また、自社が被害を受けるだけでなく、知らないうちに加害者になってしまうという怖さもあります。そのため、自社だけでなくサプライチェーン全体を見据えたセキュリティ対策が必要です。

中小企業であっても、サイバー攻撃のリスクは他人事ではなく、身近にある危険として考えなければいけません。サプライチェーン攻撃ではセキュリティの甘さや脆弱性が狙われますが、逆に言えば基本的な対策を適切に行うことで、多くの攻撃を防ぐことができます。

●情報セキュリティ5か条を徹底

IPA는 다음과 같은 "5 개의 정보 보안 규칙"을 옹호합니다 철저한 기본 조치를 취하면 위험을 줄이는 데 도움이됩니다

• 항상 OS와 소프트웨어를 최신 상태로 유지하십시오!
• ウイルス対策ソフトを導入しよう！
• パスワードを強化しよう！
• 共有設定を見直そう！
• 脅威や攻撃の手口を知ろう！

中小企業には情報管理専門の担当者やセキュリティに詳しい人材がいないことも少なくありません。しかし、専門的な知識がなくてもさまざまなセキュリティ機器やサービスが提供されているので、自社に適したツールを活用することも検討しましょう。

ここからはサクサの製品による具体的な対策例をご紹介します。サクサでは、1台でさまざまなネットワークセキュリティの課題を解決する「統合脅威管理アプライアンス（UTM) SS7000 III"를 제안합니다

● 위험한 액세스 및 정보 유출을 방지하기위한 "웹 필터링"

필드를 설정하여 직원들은 위험한 사이트에 대한 접근을 방지하고 소셜 미디어, 게시판 등을 사용할 수 있습니다情報漏洩を防ぎます。業務目的外の利用を制限することで業務の効率化にもつながります。

●常に最新のセキュリティを保つ「自動ファーム更新」

1時間に1度、サーバと通信を行い、自動でシグネチャ（ウイルス検知ファイル）を更新します。進化を続けるランサムウェアにも対応し、常に最新のセキュアなネットワーク環境を維持します。

●高性能のアンチウイルスエンジンを採用

最新のウイルスも検疫できます。新たな脆弱性が見つかり、まだ修正プログラムが提供されていない状況下でのゼロデイ攻撃にも対応し、社内ネットワークを安全に保ちます。

ここまでサプライチェーン攻撃によって生じるリスクや対応策について紹介してきました。中小企業だから大丈夫という認識を改め、適切なセキュリティ対策によって身近に潜む脅威から重要な情報を守り、情報漏洩による被害や自社の信頼低下を防止しましょう。
サクサは、記事の中でご紹介したUTMをはじめ、情報セキュリティ対策の提案を通して中堅・中小企業のサポートをさせていただきます。ぜひ気軽にご相談ください。

また、UTMの導入メリットや選び方をまとめた資料をはじめ、さまざまなお役立ち資料をご提供しています。ぜひご活用ください。