【サプライチェーン攻撃対策】危険性と今すぐできる3つの対策
- 目次 -
1.サプライチェーン攻撃とは
サプライチェーン攻撃とは、セキュリティレベルの高い組織を標的にする際に、セキュリティレベルの低い子会社や取引先を利用するサイバー攻撃手法です。
IPA(情報処理推進機構)より発表された「情報セキュリティ10大脅威 2024」でも、サプライチェーン攻撃は6年連続で2位となっており、近年世界中で被害が多発しています。
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
| 1 | ランサムウェアによる被害 | 2016年 | 9年連続9回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019年 | 6年連続6回目 |
| 3 | 内部不正による情報漏えい等の被害 | 2016年 | 9年連続9回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 2016年 | 9年連続9回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022年 | 3年連続3回目 |
| 6 | 不注意による情報漏えい等の被害 | 2016年 | 6年連続7回目 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016年 | 4年連続7回目 |
| 8 | ビジネスメール詐欺による金銭被害 | 2018年 | 7年連続7回目 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021年 | 4年連続4回目 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017年 | 2年連続4回目 |
情報セキュリティ10大脅威 2024 [組織]
2.サプライチェーン攻撃の手法
サプライチェーン攻撃には、ふたつの手法があります。
・大企業の取引先の中からセキュリティレベルが低い企業を探し、その企業を踏み台にして大企業に不正アクセスして侵入する手法
・大企業の取引先から情報を盗み出し、情報と引き換えに金銭を要求する手法
次に、サプライチェーン攻撃の事例をご紹介します。
3.サプライチェーン攻撃の事例
小島プレス工業は、カップホルダーやUSBジャック、ドアグラブなどの自動車内装品を製造している企業で、自動車産業のサプライチェーンにおいては必要不可欠な役割を果たしています。2022年2月、同社がサイバー攻撃を受けたことで、トヨタ自動車は、子会社のダイハツ工業や日野自動車などを含む国内14の工場の操業を停止させることになり、被害額はおおよそ3億7500万ドル(約580億円 ※1ドル155円の場合)に達しました。この件が一段落した後も、小島プレスの事業が元の状態に戻るまでには数ヶ月を要したと言われています。
このようなサイバー攻撃と被害は年々増加しており、警察庁によると、2022年は身代金要求型ウイルス「ランサムウエア」攻撃だけでも前年比58%増加し、2023年も高水準で推移したと報告されています。
一方で、サイバーリスクに対する認識は、大企業では高まっているものの、中小企業ではその認識が依然として低いのが実情のようです。
日本の企業は世界的なサプライチェーンで重要な位置を占め、一部の部材の供給では支配的な立場にあります。そのため、これらの業界がサイバー攻撃に脆弱であると、その影響は非常に大きいと言えるでしょう。
参考:日本で急増するサイバー攻撃、世界サプライチェーンリスク浮き彫りに – Bloomberg
4.サプライチェーン攻撃への対策
サプライチェーン攻撃を防ぐためには、事前の対策が有効です。今すぐに対策が可能な3つの方法をご紹介します。
①OSやソフトウェアを常に最新バージョンに更新する
②対策ソフト (EDR:エンドポイント・ディテクション&レスポンス) を導入する
③従業員へのセキュリティ教育を実施する
更新日:2024.05.16