No252 中小企業を狙うサイバー攻撃、狙いはサプライチェーン

前回に続きIPAから発表された「情報セキュリティ10大脅威2022」について解説をします。

今回は組織編（主に会社などの組織が留意すべき脅威）のうち、サプライチェーンを狙った攻撃について解説します。

1. 情報セキュリティ10大脅威（再掲）

IPA（独立行政法人　情報処理推進機構）が毎年２～３月に「情報セキュリティ10大脅威」を発表しています。これは毎年のセキュリティ事故や事件の中で社会的に影響が大きかったとされる10種類の脅威を有識者の審議と投票で決めたものです。

その「情報セキュリティ10大脅威」の2022年版（内容は2021年の事故や事件に関するもの）が３月に発表されました。

「情報セキュリティ10大脅威 2022」を公開
　https://www.ipa.go.jp/security/vuln/10threats2022.html

※詳しくは「No250 『情報セキュリティ10大脅威2022』が発表」をご覧ください。
　https://note.com/egao_it/n/n2d25afd9183b

組織向けの10大脅威
　1位　ランサムウェアによる被害（前年1位）
　2位　標的型攻撃による機密情報の窃取（前年2位）
　3位　サプライチェーンの弱点を悪用した攻撃（前年4位）
　4位　テレワーク等のニューノーマルな働き方を狙った攻撃（前年3位）
　5位　内部不正による情報漏えい（前年6位）
6位　脆弱性対策情報の公開に伴う悪用増加（前年10位）
　7位　修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（初登場）
　8位　ビジネスメール詐欺による金銭被害（前年5位）
　9位　予期せぬIT基盤の障害に伴う業務停止（前年6位）
10位　不注意による情報漏えい等の被害（前年7位）

この中でも以下の３つは中小企業こそ注意が必要な脅威だと思います。
　1位　ランサムウェアによる被害（前年1位）
　3位　サプライチェーンの弱点を悪用した攻撃（前年4位）
　4位　テレワーク等のニューノーマルな働き方を狙った攻撃（前年3位）

前回は、一位のランサムウェアの解説をしました。
今回は、三位のサプライチェーンへの攻撃について解説をします。

2. サプライチェーンが狙われる

サプライチェーンというのは、製造業などでの部品供給体制のことを言います。
自動車やスマホといった多くの会社の部品を利用する製品では供給元と密な連携を取り、必要な部品を必要なタイミングで納入してもらう必要があります。

スピーディーで確実な納入を行ってもらうには、紙やFAXによる受発注では話になりません。そのため、かなり昔（1980年代）から専用機器をメーカ側が貸与するといった方法で発注先とのコンピュータ受発注を行うシステム（EDIなどと呼ばれます）が導入されてきました。

これをフル活用したのが、トヨタに代表されるJIT（Just In Time）などの在庫を最少限とする生産方式です。

当初は専用回線やISDNといった拠点間通信を用いていましたが、現代はこういった受発注処理もインターネット経由が主流になっています。

つまり、サプライチェーンに属している企業はずっと以前からネットワーク経由で発注元とのやりとりを日常的に行っているのです。

3. なぜサプライチェーンを狙うのか？

上述の通り、現代は受発注をネットワーク経由で行うことが当り前になっており、紙やFAXでの受発注は何らかの事情のある場合くらいです。

言い換えれば、どの企業も発注元である大企業とのやりとりをするルートを持っているわけです。犯罪者側からすれば、これを利用しない手はないわけです。

サプライチェーンに属する中小企業に侵入できれば、その取引先である大企業に侵入するための「ベース基地」を手に入れられるのです。

こういった受発注システムは通常のインターネットシステムと異なり、セキュリティ対策が緩く設計されていることが多いのです。

通常のインターネットシステムはだれでもアクセスできることが前提ですから、悪意のある者がアクセスすることが前提となっており、不正アクセスに対してかなりシビアな設計と実装を行います。

ですが、受発注システムなどの接続したい会社が制限可能な場合は、接続元を制限しておきます。要は受発注をする会社は接続できるが、他から接続されても門前払いするということです。

この機構を実現しているのは「No247 ファイアウォールで何ができるの？」で解説したファイアウォールの仕事になります。
　https://note.com/egao_it/n/n01dd122d1397

こういったシステムは社内システムに準じた扱いとするのが通常で、接続元から悪意のあるアクセスはない前提になっています。
つまり、誰でも接続できるシステムに比べて、接続先を制限しているから不正アクセス対策も緩くしても大丈夫だよね、という理屈です。

こんな判断をするのは、悪意のアクセスがある前提でのセキュリティ対策はそうでない場合に比べてかなりコスト増となるためです。
逆に言えば、悪意のアクセスがない前提であれば、セキュリティ対策の費用も少なくてすむということになります。

言い換えれば、悪意のある侵入者からすると、内部システムに侵入できれば容易に秘密情報を入手できる可能性が高くなるわけですから、有望なルートとなるわけです。

4. 中小でも情報セキュリティ対策が必要

上記のような事情がある以上、中小企業側の規模や業務内容は関係ありません。

侵入さえできてしまえば、受発注システム以外も含め各システムへのログインを試せますし、その中には上述のようなガードが甘いシステムもあるやもしれません。
そういったシステムがあれば、そこから情報を盗み出すわけです。

もちろん、悪いのは情報を盗む犯罪者ですが、その踏み台となった会社も他人事ではありません。こういったシステムの利用契約には、必ず「不正利用はしない」旨の条項があり、それに違反した時のペナルティについても規定されています。

要は、こういった不正侵入を許した場合、その管理元である中小企業に損害賠償請求が行われても全く不思議はないのです。

とはいえ、企業として取るべき対策をしっかり取りさえすれば、仮に侵入されたとしても過失があったとは言いづらく、発注元との関係へのダメージも最少限で済みます。

逆に言えば、適切な対策を取っていなければ、訴訟となることも十分に考えられるということです。

「適切な対策」の範囲は難しいところですが、少なくとも以下の対策は必須と言えます。
・WindowsUpdateなどの実施
・マルウェア対策ソフトの導入
・適切なパスワードの設定と管理
・組織メンバへのセキュリティ教育

5. まとめ

サプライチェーン攻撃と呼ばれる攻撃があります。

サプライチェーンというのは、製造業などで適切なタイミングで部品供給を行うことを指しています。そのためにはコンピュータを利用した受発注システムなどが必要になります。

サプライチェーン攻撃では、こういった会社間で利用する会社間のクローズド（非公開の）システムが狙われます。
一般的に非公開のシステムは許可された端末からのログインしかできないようにします。それによって、招かざるアクセスを未然に防ごうという発想です。

逆にこの制約があるため、非公開システムのセキュリティ対策は公開システムに比べて緩い目とすることが多いのです。
非公開システムと言えど、公開システムと同じレベルの対策をすることが好ましいのはもちろんです。が、対策をキチンとするにはコストがかかります。アクセス元が制限されていれば、妙な攻撃はないだろうという理屈です。

ですが、サプライチェーン攻撃が多くなるにつれ、コストをかけてでも公開システムと同じレベルの対策を行うシステムが増えつつあります。

今回は、サプライチェーン攻撃について解説しました。

次回もお楽しみに。

（本稿は 2022年3月に作成しました）

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html