DX時代におけるサプライチェーンリスクとマネジメントのあり方は？ 第2回 サプライチェーンを阻害するサイバー攻撃、どう防ぐか

画像提供：マイナビニュース

前回は現在のサプライチェーンがさらされているリスクについて解説した。今回は、特にサイバー攻撃のリスクに絞って解説をしたい。
高まるサイバー攻撃の脅威

近年、サイバー攻撃によってサプライチェーンが阻害されるケースが増加している。サイバー攻撃は、特定のターゲットを狙ったものや不特定多数を攻撃するもの、システムに負荷をかけるものなどさまざまな手法があり、日々新しい手法が開発されている。

典型的な分類としては、外部から大量のデータをサーバに送り付けることで過大な通信を発生させシステムダウンに追い込む「DDoS（Distributed Denial of Service：分散型サービス拒否）攻撃」、悪意のあるソフトウェアを使わせて個人情報や金融関係などの情報を盗み出す「マルウェア」、パスワードを盗んだりランダムに生成したりして不正アクセスを行う「パスワードクラック」などがある。

中でも近年増加しているのが、コンピュータをロックしたり、保存してあるデータファイルを暗号化したりすることで業務継続を困難にし、元に戻すことと引き換えに身代金を要求する「ランサムウェア」を使う手口だ。ランサムとは"身代金"を意味する。
ランサムウェア攻撃でトヨタの全工場が停止

2022年2月に、自動車業界のサプライチェーンで重要な役割を担う自動車内装品メーカーに対し、ランサムウェアを使った攻撃が行われた。ハッカーは当該メーカー自体ではなく、取引先企業のシステムに侵入し、そこから当該メーカーのファイルサーバにアクセスしてデータを暗号化した。

ハッカーは身代金を要求してきたが、メーカー側が毅然として応じなかったために、サプライヤーや取引先との連絡に使うシステムをシャットダウンせざるを得ず、トヨタ自動車の国内全14工場28ラインやダイハツ工業、日野自動車の工場が操業停止に追い込まれた。

警察庁によると、2022年はこうしたランサムウェア攻撃が前年比で58%増加したとのことだ。また、情報処理推進機構（IPA）が発表した、専門家が選ぶ「情報セキュリティ10大脅威2024」（組織）では、その第1位に「ランサムウェアによる被害」、第2位に「サプライチェーンの弱点を悪用した攻撃」がランクインしている。
サイバー攻撃のリスクにどう対処すればよいか

上記の自動車内装品メーカーの事例について公表された調査報告書によると、攻撃を受けた当該メーカーの子会社が独自に外部企業との専用通信に利用していたリモート接続機器に脆弱性があり、そこを突破口としてネットワーク内に侵入されたことが分かっている。