サプライチェーン攻撃に備える ~組織とチェーン全体がとるべき対策とは~
本記事では、サプライチェーン攻撃の脅威について具体例を挙げつつ紹介するとともに、企業が抱える課題、そしてとるべき対策を考えたいと思います。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
身近な脅威となったサプライチェーン攻撃
2010年、米国戦略軍・NSAおよびイスラエル軍8200部隊と推定される攻撃チームが共同作戦を行い、イランのナタンズ(Natanz)核処理施設を攻撃したことが明らかになりました。
イラン核処理施設攻撃のために狙われたのは、遠心分離機の運用を担う契約業者でした。契約企業職員がUSBメモリを取得し接続するよう仕向け、真のターゲットである核施設にマルウェアを送りこむ手法が用いられました。
これがStuxnetマルウェアを用いた、いわゆるOLYMPIC GAMES作戦であり、サイバー戦の代表事例です。サイバー戦争の歴史においては、その黎明期からサプライチェーン攻撃が用いられていました。
Stuxnetから10年以上が経ち、サプライチェーン攻撃はもはや遠い世界の話ではなくなりました。
組織の情報資産を守るセキュリティ担当者は、日々サイバー攻撃に備え業務に取り組んでいます。しかし、攻撃は自組織のPCやサーバなど、直接手の届く範囲に向けて行使されるだけではありません。
- サプライヤーがランサムウェア攻撃を受け、自社の生産拠点が停止した。
- 利用しているITベンダーがサイバー攻撃を受け、自社の情報も漏洩してしまった。
- 脆弱なオープンソース・ライブラリがインターネット上で攻撃を受けているが、自社のサーバが該当するのかわからない。
こうした事態はどれもサプライチェーン攻撃の一形態です。サプライチェーン攻撃は、組織が掌握できない、見えない箇所からやってくる脅威です。
サプライチェーン攻撃とは
現代の企業活動は、原料調達から製造、在庫管理、物流、販売までをつなぐ一連のシステムであるサプライチェーンによって成り立っています。
サプライチェーンには、海外拠点・子会社・関連会社・委託先企業・ITベンダー、業界団体など、様々なステークホルダーが存在します。
このようなサプライチェーンの中でも弱い箇所に対してサイバー攻撃をしかけ、目的を達成する手法が、サプライチェーン攻撃です。
サプライチェーンのセキュリティ統制は容易ではありません。自社・自組織と関係する多数の主体が、どのようなセキュリティ態勢をとっているか、どのようなITシステムを利用しているか等を把握・管理するのは、困難で工数のかかる活動です。
攻撃者は、後の項で詳しく述べるこうした課題を熟知しており、サプライチェーン内の死角、すなわち最も脆弱な箇所を狙います。
実態としては、ターゲットと関係のある中小企業や、ターゲットの利用しているITシステムなどが、しばしば攻撃の足がかりに利用されています。
昨今のサイバー攻撃報道を概観してみると、業務委託先や取引先企業への不正アクセスやランサムウェア攻撃、あるいはシステムベンダーへの攻撃が被害の引き金となっている例が多いことがわかります。
情報セキュリティ10大脅威では、3位にランクイン
サプライチェーン攻撃の脅威は年々高まっており、IPA(情報処理推進化機構)が発表した「情報セキュリティ10大脅威 2022」では、組織に対する脅威として、サプライチェーン攻撃がランサムウェア、標的型攻撃に続く第3位にランクインしています。
サプライチェーン攻撃を受けた場合、機密情報の漏洩や金銭的損失、信用の失墜等、企業にとって様々な被害が発生するだけでなく、取引先や関連会社にも影響を与えることから、警戒すべき重大脅威と認識されています。
サプライチェーン攻撃の代表的な手法
それでは、攻撃者は具体的にどのような手段を保有しているのでしょうか。
サプライチェーン攻撃には、サプライチェーンで利用されているソフトウェアやハードウェアを狙ったもの、またサプライチェーン内の企業組織を狙ったものなどがあります。
ここでは代表的な攻撃手法を紹介します。
ITベンダーやMSPを狙った攻撃
企業が利用しているITベンダーやWebサービス、MSP(Managed Service Provider)は、攻撃者の格好の標的となります。
攻撃者は、利用システムのサーバなどを侵害し、ソフトウェア・アップデートファイルなどにマルウェアを紛れ込ませることで、ターゲット企業のシステムに不正アクセスし、攻撃活動を行うことが可能になります。
また、委託を受けてシステムの運用・監視・保守を担うMSPに対して攻撃をしかけることで、多数の顧客企業に対するサイバー攻撃を実行することができます。
こうしたベンダーやMSP経由のサプライチェーン攻撃の他に、広く無償で利用されているオープンソース・ソフトウェア(OSS)やコンテナイメージなども攻撃対象となります。
サプライヤーや子会社を狙った攻撃
サプライチェーン攻撃では、本命のターゲットを攻撃するために、チェーンの中でもっとも脆弱な組織や拠点が狙われます。
製造業における膨大な数の部品メーカーは、規模や予算の面から十分なセキュリティ対策をとっていない場合も多く、攻撃者にしばしば狙われます。
情報セキュリティに関するガバナンスの行き届かない、海外拠点や子会社・グループ会社なども、不正アクセスやマルウェア攻撃の侵入経路に選ばれる傾向にあります。
特定メーカーのハードウェアを狙った攻撃
サプライチェーン攻撃の対象はソフトウェアだけではありません。
ルータなどの通信機器に対し攻撃をしかけたり、あらかじめバックドアやマルウェアを埋め込んだりすることで、その機器を利用する企業に対する攻撃が可能になります。
中国IT企業が中国政府と結びつき、サイバー攻撃のインフラを構築しているとして、米国では、当該製品の利用に関する規制や制裁措置を度々施行しています。
サプライチェーン攻撃の国内外での事例
サプライチェーン攻撃の被害に遭う企業や組織は、世界各国で後を絶ちません。国内でも大規模なサプライチェーン攻撃が継続して発生しており、身近に迫る脅威だといえます。
ここでは国内外の代表的な事例を紹介します。
SolarWinds社ハッキング
2019年から2020年にかけて、米国政府機関や大手ITベンダーに対する史上最大規模のサイバー攻撃が行われました。
ロシア連邦情報機関と推定される攻撃者は、米SolarWinds社製IT運用管理ソフトOrionを侵害し、アップデートファイルにマルウェアを潜伏させ、製品を使用する米連邦政府機関や民間企業に配信後、各組織のシステムに対し不正アクセスを行いました。
被害を受けた組織は約1万8千という膨大な数に達し、米連邦政府においては財務省、司法省、商務省がメールアカウントを窃取されました。
Microsoft社による分析では、このサプライチェーン攻撃には1000人以上のエンジニアが関与したと推定されています。
Kaseya社に対するランサムウェア攻撃
2021年7月、IT運用監視ソフトを提供する米Kaseya社が、REvilランサムウェアの攻撃を受けました。ターゲットとなった製品Kaseya VSAは、多数のMSPに利用されており、これらMSPが運用不能となったことで、1000以上の顧客企業が影響を受けました。
ノルウェーでは、Kaseyaを運用していた委託先のMSPが被害を受けたために、大手スーパーマーケットチェーンが全土で営業停止に追い込まれました。
世界規模での被害影響を受けて、米国のバイデン大統領はプーチン大統領に対し、ロシア国内のサイバー犯罪者(REvilの活動拠点はロシア)を取り締まるよう要望しました。
自動車部品メーカーに対するランサムウェア攻撃
2022年3月、大手自動車メーカーA社の取引先である部品会社が、RobbinHoodランサムウェアの攻撃を受けました。同社報告書では、リモート接続機器の脆弱性を侵害されたことが原因であると記載しています。
対処・復旧のため社内サーバを停止したことから、自動車メーカーA社も国内全工場での生産を停止しました。
サプライチェーンを利用したこのランサムウェア攻撃は、国内でも大きく報じられました。
官公庁向けツールに対する不正アクセス
2021年5月、国内大手ITメーカーT社は、同社が提供する情報共有ツールに対し不正アクセスが行われ、顧客情報が流出したことを発表しました。
調査の結果、同ソフトウェアを利用する142の官公庁・企業が情報漏洩の被害を受けました。
事案を受けてT社は同ソフトウェアの運用を廃止し、検証委員会設置による調査を実施しました。
企業は課題を抱えている
事例で見てきたとおり、サプライチェーン攻撃が与える被害は甚大であり、企業や組織に対し多大の損失を与えます。
また海外のみならず国内でも度々発生しており、無視できないものとなっています。
サプライチェーン攻撃は、企業組織が経営課題として取り組まなければならない喫緊の課題です。
しかし、ベンダー調査やニュースメディアによる報道は、多数の企業・官公庁がサプライチェーン攻撃対策について課題を抱えていることを示唆しています。
ここではサプライチェーン攻撃に備える上で、どのような障壁が存在するのかを検討します。
サプライチェーン全体の把握が困難
サプライチェーンの全体像を把握することは、組織にとって最も難しい課題の1つです。
サプライチェーンの特定を行う際も、グループ会社や直接の取引先(セカンド・パーティ)までの対策にのみ目が行きがちです。
攻撃者が狙うチェーン上の弱点や脆弱性を捕捉し対応するには、セカンドパーティのその先にある、ガバナンスの困難なサードパーティも把握していく必要があります。
組織内ステークホルダーが多い
サプライチェーン攻撃対策は企業・組織のリスクマネジメントに関わるテーマであり、現場のIT部門やセキュリティ部門だけで取り組めるものではありません。
経営層のリーダーシップをはじめとして、管理部門や、コンプライアンス部門、調達部門などとの連携が重要になります。また海外拠点や海外のサードパーティを巻き込む際は、各国のサイバーセキュリティ法規や個人情報保護法規に関する法務部門の支援が不可欠です。
特に大企業や公的機関、各部門がサイロ化・縦割り化した組織においては、こうした内部調整コストの高さが、サプライチェーン攻撃対策を阻む要因となっています。
サプライチェーン攻撃から組織を守る対策とは
一連の課題を克服し、攻撃者からサプライチェーンを防衛するには、どのような対策をとればいいのでしょうか。
ここでは、自組織とサプライチェーン全体の2領域に分けて、攻撃に備えるための対策を紹介します。
自組織がとるべき4つの対策
サプライチェーン攻撃を防ぐためには、まず自組織が適切なセキュリティ対策を運用していることが大切です。
1. インシデント対処計画を整備する
サイバーセキュリティの世界は攻撃者が優位であり、攻撃者や犯罪者は、常にセキュリティ対策の裏をかく手法や手段を用いて目的を達成しようとしています。
サプライチェーン攻撃では、初動対応の是非によって、関連組織企業に及ぼす影響が大きく変化します。
このため、攻撃を受けたときの体制をあらかじめ整備しておくことが重要です。
2. セキュリティ技術や施策の導入
多くのサイバー攻撃事案では、不正アクセスやマルウェア感染が発覚するまでに長い期間を要しています。
インシデントを早期に検知することで、被害拡大を抑えることができます。
システムやネットワークに対する攻撃を速やかに検知するためには、サーバ等における各種ログの確認、通信の監視・分析、アクセスコントロールの点検などが有効です。
攻撃者の侵入を防ぐためには、攻撃可能な箇所、いわゆるアタックサーフェスを減らしていく取り組みが必要です。
具体策としては、自社のIT資産(ソフトウェア、ハードウェア、利用しているOSSなど)を把握し、それらが最新の状態に保たれているかどうかを確認した後、要すればセキュリティパッチや更新プログラムを適用します。
また、パスワードポリシーが適切であるか、アクセス権限が適切に付与されているか、不要なアカウントがそのままに放置されていないかも見直すべきポイントです。
他にも、攻撃者による不正アクセスを抑止するための有効手段として、多要素認証の導入が広く推奨されています。
3. セキュリティアウェアネスを向上させる
ユーザーの心理につけこむフィッシング攻撃やソーシャルエンジニアリングは、残念ながら現在も効果的な手段です。人間の心の隙や不注意、ミスも、攻撃者が狙うアタックサーフェスの一部を構成しています。
Twitter社やCisco社も、従業員をだますメールや電話を糸口にサイバー攻撃を受けています。
セキュリティ対策の最後の砦として、ユーザーのアウェアネス(意識)を向上させることは非常に重要です。一般職員や従業員だけでなく、攻撃の標的となりやすい経営層・幹部に対しても、危機意識を醸成させるべきです。
不審メール対応や、異常に気が付いたときの連絡通報体制など、定期的に教育を行うことが効果的です。
サプライチェーン全体でとるべき3つの施策
サプライチェーンは自組織だけで完結するものではないため、以下に示すようなチェーン全体のセキュリティ対策向上が不可欠となります。
1. リスクの可視化
サプライチェーンを構成する各主体が、どのようなセキュリティ対策をとっているか、不備はないかなどを常にチェックし、チェーンが抱えるリスクを可視化します。
攻撃者に狙われる脆弱な箇所が見つかった場合は、全体に与える影響や緊急性などを元に、優先順位をつけて対応します。
2. ポリシー遵守状況のモニタリング
組織や企業は、必ず最新の状況に更新されたセキュリティポリシーを定めていることが望ましいですが、同時にこれを適切に点検・監督しなければなりません。
例を挙げるとすれば、ソフトウェア開発においては、委託先・再委託先のベンダーが開発中の製品ソースコードを誤って公開設定にする等の事案が発生しがちです。
サプライチェーン内の各主体が、法規や自組織のポリシーを確実に遵守しているかを常にモニタリングすることが、攻撃を未然に防ぐ上で有効です。
3. サプライチェーン全体での意識啓発
サプライチェーンを構成する各主体に対し、自分たちがセキュリティを確保するための一端を担っているという意識を醸成させるために、継続的・定期的な教育や意識啓発が不可欠です。
サプライチェーンに対する脅威や、最新の動向について教育を行うこと、あるいは実際の攻撃を模した訓練を全体で行い、教訓を収集することが有効です。
インシデントが発生した時の通報・連絡体制も、前もってサプライチェーン内で取り決めておくことが必要です。
まとめ
サプライチェーンのセキュリティは、自組織と直接関係のあるセカンドパーティだけでなく、さらにその先のサードパーティまでを把握し、適切な対策を講じておく必要があります。
とはいえ、自組織の管理外にある関連企業や取引先企業に対して、特定のセキュリティ製品導入を強制したり、セキュリティ対策状況を監査・点検したりすることは容易ではありません。
サプライチェーン各主体のセキュリティレベルを向上させるためには、対策を効率化し、効果を最大限に引き出せる明確な指揮と解決手段が必要です。
SOMPO CYBER SECURITYでは、サプライチェーン攻撃を企業組織における重大脅威ととらえ、お客様の課題解決をサポートすることを使命としてサービスに取り組んでいます。
サプライチェーンやサードパーティのセキュリティリスクを可視化し、低コストかつ効率的に管理・向上させる製品として、Panoraysを提供しています。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
著者情報
上級研究員
・自衛官時代に言われた一言「レーダー整備にそんな筋肉はいらない」