サプライチェーンの弱点狙う攻撃で情報漏洩急増 自社のセキュリティが担保されていても被害

「サプライチェーンの弱点を悪用した攻撃」に新たな動きが出てきているという（写真：aoo3771 / PIXTA）

最近は、サイバー攻撃のニュースを聞かない日がほとんどない。中でもとくに「サプライチェーン攻撃」という用語を耳にする機会が増えている。

【図で詳しく見る】知っておきたい3つあるサプライチェーン攻撃の特徴

情報処理推進機構（IPA）が発表する、前年の社会に大きな影響を与えた情報セキュリティの事案を取り上げる10大脅威でも「サプライチェーンの弱点を悪用した攻撃」が2019年に初登場して以降、6年連続でランクインしている。もはやサプライチェーン攻撃が、法人組織に関わる重大な脅威と位置づけられていることは明白だ。

3種類に分類できるサプライチェーン攻撃

ただ、一口にサプライチェーン攻撃と言っても具体的な内容は微妙に異なる。現在、サプライチェーン攻撃と呼ばれている攻撃を、攻撃起点の観点から整理すると3種に分類できる。

1つ目は、ソフトウェアを起点とした攻撃（ソフトウェアサプライチェーン攻撃）。ソフトウェアの開発や配布におけるプロセスを侵害し、正規のソフトウェアに不正コードを埋め込む手法だ。例えば、正規のソフトウェアアップデートにマルウェアを仕込むことで、多くのユーザーに広範囲に影響を及ぼす。

過去の事例では、2020年12月に発生したSolarWinds社製品が侵害された事例がある。国内の事例では、2014年に発生した原発関連施設での事例がその1つと言える。いずれも組織内で使用されていたソフトウェアがサプライチェーン上で侵害されマルウェアの侵入が発生したことが要因となった。

2つ目は、サービスを起点とした攻撃（サービスサプライチェーン攻撃）。法人組織に対してITサービスやシステム管理を提供するマネージドサービスプロバイダ（MSP）などのサービス事業者を侵害し、そのサービスを通じて顧客であるサービス利用者に被害を及ぼす手法だ。

2021年に発生したMSPやIT企業へIT管理ツールを提供しているアメリカのKaseya社製品の脆弱性を悪用した一連の攻撃がある。この事例ではKaseya社の管理ツールを使用してサービス提供していたMSPを経由し、サービス利用者の環境にランサムウェア攻撃で侵入し、最大で1500社ほどの企業がランサムウェアの影響を受けたと報道されている。

ほかにも、2017年に当時過去最大規模と言われた標的型攻撃キャンペーン「Operation Cloud hopper」が挙げられる。この攻撃はMSPサービス事業者を標的とすることで、当該事業者と関係をもつ企業の資産や機密情報を盗み出す意図があり、日本を含むほぼ全世界の企業や組織で、侵害されたMSPを経由した情報窃取の被害が発生した。