サプライチェーンの弱点狙う攻撃で情報漏洩急増 自社のセキュリティが担保されていても被害

3つ目は、業務上関係する他組織を起点とした攻撃（ビジネスサプライチェーン攻撃）。取引先企業や子会社など、業務上信頼されている他組織を経由し、標的企業へ攻撃が到達する手法だ。とくにネットワーク接続している他組織からの侵入は防御が困難なものとなる。

2022年に発生したトヨタ自動車の仕入先で、自動車の内外装部品の生産を行う小島プレスの事例と大阪急性期総合医療センターの事例がある。小島プレスの事例ではその子会社、大阪急性期総合医療センターの事例では入院患者への食事などを委託していた給食事業者から接続していたネットワークを経由してランサムウェア攻撃で侵入した。

サプライチェーンリスクの恐ろしい点は…

もともと「サプライチェーン」という概念は製造業から始まったものだ。電化製品や自動車などを作るための材料や部品の調達、製造、在庫管理、物流、販売など、製品が最終消費者に届けられるまでの商流とそれに関わるすべての組織がサプライチェーンという用語に含まれる。

これを情報セキュリティに当てはめた場合、届けられる製品はソフトウェアやサービスとなる。その意味では、サイバー空間におけるサプライチェーン攻撃とは本来、「ソフトウェアサプライチェーン攻撃」と「サービスサプライチェーン攻撃」の2種を指すものだったと言える。

しかし2019年前後から、委託業者への不正アクセスによる情報漏洩や、海外拠点へのランサムウェア攻撃から端を発したシステム停止など、さまざまなサプライチェーンを巻き込んだインシデントが発生してきたことが、サプライチェーン攻撃の中に、「ビジネスサプライチェーン攻撃」の概念が加わるきっかけとなった。

ビジネスを展開するうえで多くの法人組織は取引先や関連会社とサプライチェーンでつながっている。たとえ自社のセキュリティが担保されていても、サプライチェーンでつながっているどこかの組織でインシデントが発生した場合には、その影響が少なからず自社のビジネスにも及んでしまうのが、サプライチェーンリスクの恐ろしい点だ。

「データサプライチェーンリスク」という新たな概念

このようにサイバーセキュリティにおけるサプライチェーン攻撃の概念が広がる中で、昨今「データサプライチェーンリスク」という新たな概念が注目されている。

業務の委託、請負といった組織間の関係性の中で、業務上の必要性から他組織に渡したデータが漏洩してしまうリスクだ。