サイバー攻撃対策

中小企業を踏み台にするサプライチェーン攻撃の手口と対策とは

  • TOP
  • 課題から探す
  • 中小企業を踏み台にするサプライチェーン攻撃の手口と対策とは

法人のお客さまに起こりがちな状況

企業にお話を伺うと、たまにですが「うちは個人情報を扱っていないから、特に意識して情報セキュリティ対策を行う必要がない」と言われるケースがあります。

確かに自社のみの観点で言えば、そう大きな問題にならない場合もあるのは事実です。しかし、近年こうした中小企業を狙い、踏み台にしたうえで大手企業に対して攻撃を仕掛ける「サプライチェーン攻撃」が増加しています。

このサプライチェーン攻撃がどのように行われるのか、そしてその対策として何を行うべきなのかについてお伝えします。

サプライチェーン攻撃とは?

サプライチェーンとは、原材料の調達、部品の加工、製造、保管、配送、販売などの流通に伴う一連の流れを指します。

サプライチェーン攻撃はこうした一連の流れの中のどこかに対して侵入し、本命である企業(多くは大企業)に対して攻撃を行うことを指します。直接的に本命企業の侵入経路を探して攻撃するのではなく、サプライチェーン全体を侵入経路と捉え、そのどこかにあるセキュリティホールから侵入して最終的に本命に到達することを目的としているのが特徴です。

情報の重要性が高まり大手企業が情報セキュリティ対策に対して莫大(ばくだい)なコストをかけた結果、攻撃主側が時間と手間やリスクをてんびんに掛け、選択するのがこの攻撃手法となります。

2020年8月28日、IPA(情報処理推進機構)は「情報セキュリティ10大脅威 2020」を発表していますが、その中でサプライチェーン攻撃は「標的型攻撃による機密情報の窃取」などに次いで4位にもランクインしており、無視することのできない攻撃になっています。

参考:https://www.ipa.go.jp/security/vuln/10threats2020.html

なぜ中小企業が狙われやすいのか?

サプライチェーン攻撃で真っ先に中小企業が狙われる理由は、端的に書くと「大手企業と比較してセキュリティレベルが相対的に低いケースが多いから」です。

IPAが挙げるサプライチェーン攻撃が行われる理由は以下の通りです。

  • 委託先組織のセキュリティ対策不足
  • 委託先組織を適切に選定、管理していない
  • 再委託先や再々委託先の管理が難しい

大手企業はやはりその資金力を基に、高いセキュリティレベルを維持しているケースがほとんどです。一方で中小企業は財務的な事情や業務上特に個人情報を保持していないなどの理由からセキュリティレベルは大手企業と比べて低いケースがあります。

ですが相手が中小企業であっても取引先とのやり取りは過去積み上げた一定以上の信用があるため大手企業であってもビジネスコミュニケーションのやり取りの中ではセキュリティ意識が下がりがちになってしまいます。

例えば会社側から「URLは不用意にクリックしないこと」「添付ファイルは安易に開かないこと」と言うルールが提示されていても、「普段からやり取りしている●●社のAさんからのメール」であれば何も考えずにクリックやファイルを開いたりしているのではないでしょうか?

こうした慣習のため、取引先の中小企業に侵入してしまえば取引先とのやり取りに偽装することで大手企業に入り込みやすくなってしまうのです。

上記の経緯により、中小企業が狙われやすくなっていると言えるのです。

どんな流れでサプライチェーン攻撃が行われるのか?

サプライチェーン攻撃の多くは目的が大手企業につながる情報の窃取であるため、メールサーバへの侵入やマルウェア感染を目的としたメール、フィッシングなどが考えられます。

ターゲットの選定は会社のコーポレートサイトなどにある取引実績から行い、ドメインや問い合わせ用のアドレス、プレスリリースの連絡先を足掛かりに攻撃するためのリストを作成します。このリストを基に、マルウェアなどを添付した標的型攻撃や脆弱(ぜいじゃく)性を狙ったサーバへの攻撃が行われることになります。

マルウェアには情報を盗み出すものが使われ、本命となるターゲット企業の窓口を探し出します。メールのやり取りなどからセキュリティレベル(意識)の低いポイントや相手を特定し、攻撃方法を検討していくのです。

サーバのアドレスやログイン情報がメール内に記載されていれば、それだけで攻撃の難易度が格段に下がります。ケースによっては侵入した中小企業の担当者のアカウントからマルウェア感染したメールをターゲット企業に送り、バックドアを仕掛けるようなケースも存在します。

ターゲットの選定やリストの作成については、公知の情報を用いたり、そこから展開してアドレスのルールを推定するなどの方法で準備されるため、攻撃に対するこの段階での対応は非常に難しいのが現状です。

中小企業として行うべきサプライチェーン攻撃への対策

対策の観点としては「予防」と「対応」の観点で考える必要があります。

予防としてはセキュリティレベルを上げ、そもそものサプライチェーン攻撃による内部への侵入を防ぐことが重要です。そのためには「不審なメールを開かない」「不明なURLをクリックしない」などの基本的な運用から「セキュリティソフトの導入」「ファイアウォールの設置」と言ったシステムレベルでの対応まで情シス担当が主軸となっての対応が必要です。

大手企業との取引(自社が受注者側)の場合は、セキュリティレベルについての監査が入るケースがあるかもしれません。その場合は指示に則り、基準を満たすようなセキュリティレベルについて、社内での検討と対応を行うことが重要です。また、自社の取引先に対してどのようなセキュリティ対策を行っているのかをヒアリングし、参考にしてみるのもひとつの手かもしれません。

対応は「侵入された後」にどうするかの部分であり、ダメージコントロールの観点となります。「事故発生時の手順やエスカレーション方法の検討」「対象の切り分けと拡大防止の作業手順作成」といった観点での準備を行う必要があります。検知された後に適切な対応を行うことで、被害を最小限に食い止め、社内および社外への説明責任を果たすための対応が中心となります。

加えて自社の委託先・取引先にも同程度のセキュリティレベルの維持を依頼し、自社が「中間の踏み台」として狙われないような対策も必要です。チェックシートやヒアリングによる体制の確認や定期的な監査などを行い、問題ないことを確認しましょう。

サプライチェーン攻撃は賠償に加え取引先を失う可能性もある脅威

サプライチェーン攻撃は最終目的が大手企業であるため、被害が自社のみにとどまらないのが特徴です。

結果として取引先への損害が発生することが多く、賠償を求められる他取引自体を打ち切られる可能性が非常に高くなってきます。

さらには今後同様ケースが多くなると、そもそも一定以上のセキュリティレベルを維持していないと取引自体を行うことができなくなるケースも考えられるため、事前のセキュリティ投資を行わなければ売上の機会損失にもつながっていく可能性も出てきます。

情シス担当が経営者に対して、セキュリティレベルを高めることこそが今後の売上の維持や拡大に際して、重要な要素になることをしっかりと伝えておく必要があります。

トレンドマイクロからのアドバイス

サプライチェーン攻撃対策のかなめはデジタル領域の保護と言えます。

特に取引先との接点を重点的に防御することで被害拡大を抑えることが大事です。

トレンドマイクロではサプライチェーン攻撃でよくあるメールを中心としたセキュリティ対策に加えデジタル領域のセキュリティ対策に対して必要不可欠な様々なソリューションを提供しています。

自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視化

Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザー共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™は脆弱(ぜいじゃく)性や不正プログラムおよび不正な変更などの脅威から、仮想・物理・クラウドおよびコンテナ環境のハイブリッド環境を防御できるソリューションです。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り