高まるサプライチェーン攻撃のリスク、なりすましメール対策で対処を

画像提供：マイナビニュース

●
相次いで報じられるサイバー攻撃を踏まえ、多くの企業が技術や組織、従業員教育などさまざまな側面から自社のセキュリティ対策強化に取り組んでいるでしょう。しかし、一つ大きな死角が残っています。サプライチェーンを構成する取引先やグループ企業です。

当たり前ですが、自社だけで事業に必要なすべての原材料や部品、あるいはそれらを管理するシステムや人的リソースをそろえられるような企業など存在しません。市場の中で何らかの形でほかの企業に依存し、関わり合うことによってはじめてビジネスは成り立ちます。

特にデジタル化が進む現在では、メールやクラウドサービス、ソフトウェアを介して取引先とつながることで、より効率的な業務が実現されています。昔ながらの閉域網でつながっていることも少なくないでしょう。ですが、もしその一角をなす企業や拠点のどこかのセキュリティが甘ければ、そこから侵害を受け、自社にも大きな被害が及んでしまいます。

実際にこの数年、取引先がまず狙われ、その余波を受けて自社システムもランサムウェアに感染したり、業務に大きな影響を受けてしまう「サプライチェーン攻撃」が発生したりしています。IPA（情報処理推進機構）の「情報セキュリティ10大脅威 組織編」では、2019年以降6年連続で「サプライチェーンの弱点を悪用した攻撃」が上位にランクインしているほどです。
さまざまなレベルで展開される「サプライチェーン攻撃」

サプライチェーン攻撃とは文字通り、サプライチェーンのつながりに着目した攻撃手法といえるでしょう。

これまでもしばしば「セキュリティは弱いところから破られる」と言われてきました。サプライチェーン攻撃はその原則を、企業内だけでなくサプライチェーン全体に適用したものといえるかもしれません。

セキュリティ対策を一通り済ませた企業に正面から押し入ろうと試みるのではなく、そことつながりを持ち、比較的対策の行き届いていない中堅・中小企業を侵害して踏み台に使ったり、取引を通して蓄積された「信頼」を悪用したりして、被害をもたらしています。

ここで言うサプライチェーンとは、原材料や部品供給でつながる厳密な意味での調達網だけにとどまらず、広く企業間のつながりと捉えることができます。

古くは、空調システムを経由して侵害を許し、最大で6000万件以上の個人情報漏洩につながった米Target社の事例に始まり、サプライチェーンを悪用した攻撃はたびたび報告されてきましたが、つながり方によって、さまざまな種類のサプライチェーン攻撃が行われています。