サプライチェーン攻撃とは、つながりのある企業などを経由して行われるサイバー攻撃の一種です。
近年では被害を受けるケースが増えており、しっかりと対策することが求められます。

サプライチェーン攻撃の手法や対策方法を押さえておきましょう。
今回は、サプライチェーン攻撃の特徴や種類、主な事例、対策方法などをわかりやすく解説します。

サプライチェーン攻撃とは？

ビジネスシーンにおいて使われる「サプライチェーン（Supply Chain）」という言葉には、原材料調達から販売までのプロセスを指す意味があります。
自社のみではなく、他企業も含めた一連のつながりがサプライチェーンと呼ばれます。

サプライチェーン攻撃とは、自社と関連のある組織を経由して行われるサイバー攻撃のことです。

サイバー攻撃者はターゲット企業に対して直接攻撃するのではなく、まずは関連会社や取引先などからセキュリティ体制の整っていないところを選び、不正な侵入を行います。
そうしてつながりのある企業に次々と攻撃を仕掛けていき、最終的にターゲット企業への攻撃を果たします。

サプライチェーン攻撃の主な手口

サプライチェーン攻撃の主な手口には、標的型攻撃・メールの添付ファイルやリンクを利用した攻撃・内部不正などがあります。

このようなサプライチェーン攻撃が成功してしまうと、個人情報や機密情報の漏洩、データの身代金請求などの被害が起こる可能性があります。

サプライチェーン攻撃の近年の動向

サプライチェーン攻撃は、主に大企業をターゲットとして行われるといわれています。
大企業のセキュリティ対策のレベルが高まり、直接の攻撃が難しくなっているためです。
比較的セキュリティレベルの低い関連会社や取引先を狙い、最終的なターゲットへと近づきます。

近年、このような攻撃が増加していることから、幅広い企業のセキュリティ対策が重要となっています。

サプライチェーン攻撃の種類とは？

サプライチェーン攻撃の手口には、さまざまな種類があります。
被害防止につなげるためにも、主な攻撃手法について把握しておきましょう。

以下では、サプライチェーン攻撃の種類について解説します。

システムの脆弱性を突いた標的型攻撃

標的型攻撃とは、悪意のある第三者が特定の個人や組織を狙って行う攻撃手法です。

セキュリティの弱点を突いてターゲットのシステムに侵入を試みます。
主にマルウェアを添付したメールなどを送信し、ファイルを開くことで感染させます。

サプライチェーン攻撃の場合、ターゲット企業の取引先などにマルウェア添付のメールを送り、取引先企業のパソコンに感染させるケースがあります。

そうすることで取引先企業のパソコンを乗っ取り、担当者を装ってターゲット企業へマルウェア付きのメールを送り、攻撃を行うのです。

人為的なミスを誘発する攻撃

サプライチェーン攻撃のなかには、ターゲット企業の従業員の人的ミスを狙った手口も存在します。

サプライチェーン攻撃のなかには、ターゲット企業の従業員の人的ミスを狙った手口も存在します。

嘘の請求書を送ったり、支払い口座の変更手続きをさせたりして金銭をだまし取るケースが代表的です。
また、メールの添付ファイルやリンクなどを利用した攻撃を行うこともあります。
ターゲット企業の従業員が誤って悪意のあるファイルやリンクを開くことで、マルウェア感染や情報漏洩につながります。

関係者による内部攻撃

サプライチェーン攻撃では、従業員や業務委託先などの関係者による攻撃も見られます。
組織内部の関係者が悪意を持ってシステムやデータなどの情報を漏洩させたり、偽のソフトウェアやコードを故意に紛れ込ませたりすることがあります。

サプライチェーン攻撃を防ぐためには、従業員への教育や委託時の規定の見直しを図るなど、内部不正を抑止する取り組みも重要といえるでしょう。

ダウンロード時のマルウェア感染による攻撃

ソフトウェアやアプリなどに悪意のあるコードが仕込まれていると、ダウンロード時にマルウェア感染してしまうことがあります。

たとえば、委託先の業者から納品されたソフトウェアをダウンロードする際、マルウェアが仕込まれているとパソコンが感染してしまいます。
多くの従業員が使うソフトウェアであるほど被害も拡大するでしょう。

サプライチェーン攻撃が企業にもたらす影響

サプライチェーン攻撃が企業に及ぼす影響には、機密情報の漏洩・システムダウンによる業務停止・企業の信用失墜などがあります。
たとえば、ターゲット企業が保有していた顧客の個人情報が流出すると、多くの人が被害に遭ってしまう可能性があります。

企業は社会的な信用を失い、事業の継続が危ぶまれてしまうケースも考えられるでしょう。

情報漏洩のターゲットとなるのは個人情報だけではなく、企業独自の技術や蓄積されたノウハウなども含まれます。

重要な企業秘密が流出することで競争力低下を招き、経営に影響が生じることもあるでしょう。

また、サプライチェーン攻撃によって企業のシステムそのものが停止してしまうこともあります。
復旧までに長くかかると、その分だけ機会損失を招くことになります。
上記のような被害を未然に防ぐためにも、サプライチェーン攻撃の対策は重要です。

国内外のサプライチェーン攻撃の被害事例

これまで、国内外を問わずいくつもの企業がサプライチェーン攻撃の被害を受けています。
こちらでは、主な被害事例をご紹介します。

三菱電機の被害事例

2020年1月、三菱電機は外部からの不正アクセスに遭ったことを公表しました。

攻撃者は中国にある関連会社を間接的な足がかりとして利用し、三菱電機へのサイバー攻撃を仕掛けたとされています。

このとき、個人情報や企業機密情報が外部に流出した疑いがあるようです。
流出したと思われる情報は三菱電機だけではなく、その他の企業や政府機関などに関係する情報もあるといわれています。

トヨタ自動車の被害事例

2022年3月1日、トヨタ自動車の主要なビジネスパートナーである小島プレス工業がランサムウェア攻撃に巻き込まれ、結果としてトヨタの国内全工場が停止する事態が発生しました。
この攻撃は、サプライチェーン内でのマルウェア感染が原因とされています。

攻撃を受けたのは一社だけですが、この影響で多くの工場の業務に影響が生じました。

サプライチェーン攻撃の対策方法は？

サプライチェーン攻撃では、セキュリティ的にもっとも脆弱な企業が最初の被害を受けます。
そこから被害が拡大していくため、サプライチェーン全体のセキュリティ対策を強化することが重要です。

自社が攻撃の対象とならないよう、しっかりと対策を行いましょう。

OSやソフトウェアの更新

サイバー攻撃の手口は常に進化し、次々と新たな手口が登場してきます。
古いバージョンのOSやソフトウェアでは、最新のサイバー攻撃に対応できないことも珍しくありません。

そのため、OSやソフトウェアは、脆弱性を発見するたびに修正を行い、セキュリティを強めています。
利用者は最新バージョンにアップデートすることで、セキュリティリスクの軽減につなげられます。

OSやソフトウェアのアップデートは時間がかかることも多く、面倒に感じている方もいるでしょう。
ただ、アップデートしないまま放置していると新しく発見された脆弱性を修正できず、攻撃されてしまうかもしれません。

常に最新のバージョンに更新し、セキュリティパッチを適用することで、システムの脆弱性を最小限に抑えることが重要です。

パスワードの強化・変更

システムなどのログインに必要なIDやパスワードを第三者に知られてしまうと、不正アクセスやなりすまし、ハッキングなどの被害につながることがあります。
強固なパスワードを設定し、定期的に変更することで、不正アクセスのリスクを減らすことが求められます。

パスワードの破り方には、いくつかの種類があります。
ユーザーの個人情報から推測する・文字列を組み合わせて総当たりする・通信を盗聴するなど、手法はさまざまです。

たとえば、ユーザーの誕生日や電話番号などをそのまま使ったパスワードは推測されやすく、簡単に破られてしまう可能性があります。
ほかにも、「1234」や「password」など、パスワードに使われやすい単純な文字列や数字などもあるため、そういったものは避けて設定することが大切です。

文字や数字を組み合わせた、ある程度の長さのある複雑なパスワードを設定しましょう。

また、二要素認証なども取り入れて、不正アクセスに対する備えをさらに強化することもおすすめです。
たとえば、システムのログイン時は既存のパスワードの入力に加えて、スマホに送られるワンタイムコードを打ち込む仕組みを導入することで、第三者の介入を防ぎやすくなるでしょう。

ウイルス対策ソフトの導入

パソコンやタブレット、スマホなどの端末に対するマルウェア感染を防ぐには、信頼性の高いウイルス対策ソフトを導入することも重要です。

ウイルス対策ソフトで定期的にスキャンを実行することで、マルウェア感染のリスクを低減させることができます。

たとえば、マルウェアの添付されたメールを受け取った場合も、ウイルス対策ソフトからの警告によって開封せずに済むケースがあります。
ウイルス対策ソフトの働きで早期にマルウェア感染に気づくことができれば、他企業への被害拡大を防ぐことにもつなげられるでしょう。

ただ、ウイルス対策ソフトには多くの種類があるため、自社に合う製品を見つけるのが難しいという方もいるでしょう。

そういった場合にもおすすめなのが、スターティアの「ウイルス・スパイウェア対策ソフト」です。

スターティアのビジ助会員様には、ウイルス検知力の高さや動作の軽さなど、性能の良さで評価されている「ESETインターネットセキュリティ」をご利用いただけます。
さらに、しっかりとしたパソコンサポートも実施するため、安心して幅広い方にお使いいただけるのもメリットです。

また、ウイルス対策ソフトは特定の端末のみではなく、社内すべてのデバイスにインストールする必要があります。
必要なライセンスが多くなるほど、ウイルス対策ソフトにかかる費用も増えていくでしょう。

「ウイルス・スパイウェア対策ソフト」なら、お得な価格で高性能のウイルス対策ソフトをご利用可能です。

お見積もりをご希望の場合は、ぜひお気軽にお問い合わせください。

まとめ

サプライチェーン攻撃は、自社だけではなく取引先や顧客など、さまざまな相手に被害が拡大していくおそれがあります。
最終的なターゲットとなるのは大企業が多いものの、最初は幅広い企業が攻撃を受けてしまいます。
サイバー攻撃を未然に防ぐためには、企業それぞれのセキュリティ対策を強めることも重要です。

自社のセキュリティをより強固にしたいとお考えのときは、ぜひ「ウイルス・スパイウェア対策ソフト」の活用もご検討ください。

おすすめ資料ランキング

2022.03.04

サイバー犯罪の概況とセキュリティ対策　2022年度版（全24P）

続きを読む

2022.03.03

ヒューマンエラーを防止する方法9選（全21P）

続きを読む

2022.02.16

知らなかったじゃすまない “改正”個人情報保護法 対策ブック（全45P）

続きを読む

2022.01.26

電子帳簿保存法改正対策ブック（全37P）

続きを読む

【著者・監修者企業】

スターティア株式会社

弊社はパソコン周り、オフィス環境、法律の改正、コスト削減など、ビジネスに関わるお困りごとの解決策を提供する当サイト「ビジ助channel」を運営しています。

資格

一般建設業 東京都知事許可（電気通信工事業）：(般-4)第148417号
古物商 東京都公安委員会許可（事務機器商）：第304361804342号
労働者派遣事業 厚生労働省許可：派13-316331
小売電気事業者 経済産業省登録：A0689
電気通信事業者 総務省届出：A-29-16266
媒介等業務受託者 総務省届出：C1905391

関連SNS

• 
• 
• 
•