サプライチェーン攻撃

サプライチェーン攻撃とは

サプライチェーン攻撃は、組織間の業務上の繋がりを悪用し、攻撃の踏み台とするサイバー攻撃手法です。大手企業や政府機関などセキュリティ対策の強固な組織へのサイバー攻撃を行うために、その組織が構成するサプライチェーン上の比較的セキュリティレベルの低い取引先や関係子会社、利用サービスを経由することで、最終的に攻撃を可能とします。

日本では企業の99%以上を中小企業が占めており、それらの企業においてセキュリティ対策の予算や専門の人材を確保するのは困難な場合も多く見られます。しかし、近年サプライチェーン攻撃の被害が急増しているため、中小企業においても必要な予算を確保し、セキュリティ対策を施す必要があります。また、セキュリティ対策を行う人材がいない場合は、外部にセキュリティ対策を委託することを検討する必要があります。

なお、IT機器やソフトウェアの製造過程でマルウェアに感染させたり、攻撃コードを事前に仕込む方法やソフトウェアアップデートプログラムやパッチに埋め込んで感染させる手法もサプライチェーン攻撃の一種となりますが、こちらは「ソフトウェアサプライチェーン攻撃」に分類されます。

主なサプライチェーン攻撃の対策

• 大企業・政府機関

  • 自組織における被害の予防に加え、取引先や委託先を含めた情報セキュリティ対応の確認・監査

  • 自組織や取引先・委託先が被害を受けた際の対応の事前検討・訓練の実施

• 中小企業

  • 基本的なセキュリティ対策の徹底（ウイルス対策ソフトの導入、パスワード強化、脆弱性への対応等）

サプライチェーン攻撃のイメージ図