自社だけ守るだけでは足りません！ランサムウェアの「サプライチェーン攻撃」

最近、ニュースで「ランサムウェア」攻撃について聞かない日がなくなりましたね。

そのランラムウェア被害の中で、「サプライチェーン」のなかでセキュリティ対策が弱い箇所を狙った攻撃があります。そう、自分の企業内だけ安全性を高めれば安心というわけではないのです。

でも、一体どんなものなのか、自分にも関係あるのか、よくわからないですよね？いや、関係あるはず！

今回は、そんなランサムウェア攻撃の中でも、サプライチェーン攻撃について、わかりやすく解説してます。

ではいってみましょう！

サプライチェーン攻撃ってなに？

そもそもサプライチェーンって何でしたっけ。本題に入る前に確認しましょう。

サプライチェーンは、製品やサービスが顧客に届くまでの一連の流れを指します。具体的には、原材料の調達、生産、流通、販売、アフターサービスなどですね。この過程を一つの会社ですべてを担うことは少ないですよね。

これを踏まえて、サプライチェーン攻撃とは、企業間の繋がりを悪用して、最終的なターゲットに近づくサイバー攻撃のことです。例えるなら、ターゲットの城が堅牢なので、そこを直接攻め込む代わりに、城に物資を運ぶ業者を騙して中に侵入するようなものです。

セキュリティ対策がしっかりしている大企業でも、関連会社や取引先の小さな会社が狙われると、そこから侵入されてしまう可能性があります。怖いですね。

サプライチェーン攻撃は３種類

トレンドマイクロ社の記事がわかりやすかったので参考にさせていただくと、サプライチェーン攻撃には、主に3つの種類があります。上記の説明は、ビジネスサプライチェーンに近いです。

• ソフトウェアサプライチェーン攻撃: ソフトウェアのアップデートなどに悪意のあるプログラムを紛れ込ませるものです。有名な事例は、2020年にSolarWinds社のOrionというインフラ管理プラットフォームに対する攻撃です。アップデートにトロイの木馬が仕掛けられ、顧客の多くが影響を受けました。

• サービスサプライチェーン攻撃: ITサービス業者などを経由して、顧客に攻撃を仕掛けます。

• ビジネスサプライチェーン攻撃: 子会社や取引先などを狙って、最終的なターゲットに近づくものです。例えば、2022年10月、大阪急性期・総合医療センターはランサムウェア攻撃による被害を受けました。この攻撃は、患者の食事を提供する委託先事業者のネットワーク経由でした。

確かにいろんな経路でターゲットの組織にアプローチすることが可能ですね。いつも一緒に仕事をしているからといって全く安心できないです。

ランサムウェアのサプライチェーン攻撃から身を守るには？

サプライチェーンも含めて対策するのは大変ではありますが、2つの対策が重要になります。

１）自社のセキュリティ対策を強化する

まずは、自分の家の鍵をしっかりかけるように、自社のセキュリティ対策を強化するのが優先です。各種セキュリティソフトを導入したり、アクセス制限をかけたり、二要素認証を設定したりするといった基本的な対策を多層的にお行います。

また、セキュリティに関するルールを決めたり、従業員への教育を行ったりすることも大切です。

IPAの資料や、米国の対策基準「NIST CSF」などを参考に、自社に合った対策を積み上げます。

２）取引先や委託先のセキュリティ状況を確認する

次に、付き合いのある企業のセキュリティ状況も確認しましょう。特に、重要な情報を共有する場合は、相手のセキュリティ対策がしっかりしているか、事前にチェックすることが大切です。

例えば、個人情報を扱う場合は、委託先のセキュリティ対策が法律やガイドラインに沿っているか確認しましょう。また、システム管理などを委託する場合は、どこまで自社で対応し、どこから委託するのか、しっかりと線引きすることが重要です。

また、契約書の中で、求められる対策を行うことを明記するといいと思います。

はい、今回は、サプライチェーン攻撃について解説しました。これらの攻撃は、どんな企業でも被害に遭う可能性があります。自社のセキュリティ対策はもちろん、取引先や委託先との連携も強化し、サプライチェーン全体でセキュリティレベルを向上させるようにしましょう！

では！