サプライチェーン攻撃とは?~攻撃の起点别に手法と事例を解説~
昨今、公司のビジネスにおけるサプライチェーンの繋がりを利用したサイバー攻撃の被害が业界を问わず発生しています。本记事では、サプライチェーン攻撃の手法や事例をご绍介した上で、公司に求められるべき対策を解説します。
Save to Folio
公开日:2022年10月24日
更新日:2025年4月30日
サプライチェーン攻撃とは昨今、世界中でサプライチェーン攻撃による被害が発生しています。サプライチェーン攻撃とは、组织间の业务上の繋がりを悪用して次なる攻撃の踏み台とするサイバー攻撃手法全般を指します。
サプライチェーン攻撃の特徴は、本来侵入が难しいセキュリティレベルの高いターゲット组织でも、比较的セキュリティレベルの低い取引先や子会社などを経由することで、ターゲット组织への侵入を可能にすることです。最终的な标的となる组织は、普段の业务上のやりとりを介して侵入されているため、侵入段阶で気づくことは非常に困难であり、気づかない间に攻撃を受けていたという状况になりかねません。
サプライチェーン攻撃は、攻撃の起点の违いから3种类に分类できます。ソフトウェアサプライチェーン攻撃、サービスサプライチェーン攻撃、ビジネスサプライチェーン攻撃の3种类です。
それぞれの手法や事例を解説します。
ソフトウェアサプライチェーン攻撃とは、ソフトウェアの製造や提供の工程を侵害し、ソフトウェアそのものやアップデートプログラムなどに不正コードを混入し、标的组织に侵入する攻撃です。主な攻撃経路として、オープンソースコード、システム管理ツール、利用するアプリケーションなどが挙げられます。まず、これらのソフトウェアを开発する公司のシステムやソフトウェアのダウンロード元に侵入した后、アップデートサーバなどを経由して不正なプログラムを含めた「正规のソフトウェア」をターゲット组织に配布(アップデートなど)する手法です。これらのソフトウェアが広く使われているものであれば、攻撃者は大规模な攻撃を引き起こすことが可能になります。
例えば、2020年発生した事例では、厂辞濒补谤奥颈苍诲蝉社が提供しているネットワーク监视製品「翱谤颈辞苍」が攻撃に利用されました。この製品は世界的に広く利用されており、最大で18,000の组织が被害に遭ったとして、厂辞濒补谤奥颈苍诲蝉社が报告しており、大きな注目を浴びることになりました。
---------
2024年12月3日追记
他にも、より日本国内に関連する事例では、2014年に当時株式会社グレテックジャパンが提供していた動画再生ソフト「GOM Player」のアップデートサービスのサーバが不正アクセスを受け、不正なマルウェアがダウンロードされる状態となっていたことが。国立研究開発法人日本原子力研究開発機構では2014年2月に、この「GOM Player」のアップデートによる感染被害についてしています。
---------
---------
2025年4月30日追记
直近のソフトウェアサプライチェーンの事例では、対象範囲が広い攻撃ではあるものの、2024年12月セキュリティ会社のCyberhavenが公表した、同社のデータ流出防止ソリューションのうち、Webブラウザ「Chrome」向けに提供していた拡張機能の汚染事例があります。同社によると、サイバー攻撃者が同社のプラグイン開発者を標的にしたフィッシング攻撃を行い、第三者からでウェブストアにプログラムをアップロードできる状況を作り出しました。アカウントを窃取した上で、悪意のあるバージョンの Chrome 拡張機能を公開しました(Chromeウェブストアの審査プロセスもクリア)。この悪意あるプログラムは、感染コンピュータからFacebookの認証情報を窃取する機能を持っていました。公開翌日にはこのプログラムは同社によって削除されています。
(参考情报)
「」(2024年12月27日。颁测产别谤丑补惫别苍)
「」(2024年12月27日。颁测产别谤丑补惫别苍)
---------
ソフトウェアサプライチェーン攻撃の事例详细は以下の记事をご覧下さい。
?厂辞濒补谤奥颈苍诲蝉社製品を悪用した攻撃
サービスサプライチェーン攻撃とは、MSP(マネージドサービスプロバイダ)などのサービス事業者を侵害し、サービスを通じて顧客に被害を及ぼす攻撃です。2021年のKaseya社のリモートIT管理サービス「Kaseya VSA」を利用しているMSPサービス事業者や、そのMSPの顧客である多数の企業などに対するランサムウェア攻撃がサービスサプライチェーン攻撃に当てはまります。MSP事業者は企業から委託を受けてネットワークの管理や運用を行っているため、攻撃者はMSP経由で、ランサムウェアを拡散させることが可能となります。この事例では、このMSPの特性が悪用され、「Kaseya VSA」を利用していたMSP事業者に加え、そのMSPサービスを利用している顧客にもランサムウェア攻撃の被害が発生することとなりました。この広範な攻撃によって、最大で1,500社程度の企業がランサムウェアの影響を受けたと報道されています。
---------
2024年12月3日追记
他にも、より日本に関連する事例では、2017年に「Operation Cloud Hopper」という諜報活動を目的とした攻撃キャンペーンが「APT10」という標的型グループによって実行されました。この攻撃ではMSPサービス事業者を標的とすることで、当該事業者と関係をもつ企業の資産や機密情報を盗み出す意図がありました。そのため、真の標的はエンジニアリング、工業生産、小売、電力、薬剤、通信、政府等、多岐にわたるものであったと推测しています。
---------
サービスサプライチェーン攻撃の事例详细は以下の记事をご覧下さい。
?碍补蝉别测补社製品を悪用した事例
ビジネスサプライチェーン攻撃は、标的组织の関连组织や子会社、取引先などを侵害し、业务上の繋がりを利用して标的组织へ攻撃します。この攻撃は、组织への侵入を行うためにすでに常套手段化されていると言ってもよい段阶に入っています。
標的型攻撃を行うEarth Hundun(アースフンドゥン)【別名:BlackTech】、Earth Tengshe(アーステンシェ)【関連グループ:APT10】といったサイバー攻撃者グループは、企業の海外拠点を先に侵害し、本来の標的である国内拠点へ侵入することを、トレンドマイクロでも継続して観測しています。
Earth Hundunが送付した標的型メールの事例
日本公司を骗り、日本组织の海外関连公司(中国)へマルウェアが添付されたメールが送られている
ビジネスサプライチェーン攻撃の事例详细は以下の记事をご覧下さい。
?
---------
2024年12月3日追记
2023年3月には大阪府立病院機構 大阪急性期?総合医療センターが2022年10月に発生したランサムウェア被害について報告書をしています。報告書では、サイバー攻撃者が給食事業者のデータセンターへ不正に侵入した後、VPNによる閉域網で接続されている大阪府立病院機構 大阪急性期?総合医療センターへ侵入を広げたことが言及されています。これは直接侵入する障壁が高い場合に、一旦関連する周辺企業を踏み台に標的組織に侵入するビジネスサプライチェーンの象徴的な事例です。
---------
ドベネクの要素樽
(より引用)
サプライチェーンセキュリティの概念は、水が入った樽で例えて説明することができます。イラストの通り、樽にためられる水の量は一番低い木の板の高さで决められます。サプライチェーンのセキュリティレベルも同じで、结局はそこに関わっている组织の最も低いセキュリティレベルと同じです。つまり、サプライチェーン全体のセキュリティレベルを高めるには、自组织の安全性担保に加えて、他组织の安全性确认が必要になっています。
自組織の安全性担保は、セキュリティソフトの利用、アクセス制限、二要素認証の導入など技術的な対策に加えて、セキュリティポリシーの策定、従業員への教育など非技術的な対策の両面で行う必要があります。どのようなセキュリティレベルを求められるかの指針は、自社のビジネス方針次第(自社で最も守るべき資産は何かを明確にする)ではありますが、一般的な指標でいうと、サイバーセキュリティのフレームワークを参照してみるとよいでしょう。例えば、NIST CSF(Cyber Security Framework)は、汎用的な項目が網羅されており、業種や業界を問わず、組織の弱点を把握するのに役立ちます。こちらのフレームワークは、すでに米国の官公庁や企業で活用されているほか、経済産業省の「サイバーセキュリティ経営ガイドライン」や内閣官房の「重要インフラ行動計画」などでも参照されています。さらに、企業のセキュリティリスク管理の成熟度を示すTierや、企業?業界ごとのビジネス特性に応じて、現状?あるべき姿?ギャップを把握し、サイバーセキュリティ対策の優先順位付けをするProfileも含まれているため、サイバーセキュリティをどのようなステップで強化していくべきかの指針を立てるのに役立ちます。
他组织の安全性确认は、自社の机微な情报(个人情报や未発表の情报など)を委託する场合、自社がサプライヤーによってサービスや物品を提供される场合、どちらも必要です。やり取りする情报の机微性やそのサービス/物品が提供されなくなることによるビジネスリスクを鑑みて、优先度をつけて监査などを行う必要があります。例えば、自社が扱っている个人情报を委託先に集计してもらう场合などは入念な监査が必要ですが、事务用の文房具を纳入しているようなサプライヤーであればそれ程のチェックは必要ない、という判断になります(但し、それも自社が行っているビジネスによって影响度は大きく変わることにご留意ください)。また、法规制やガイドラインが提示(例えば、防卫省では2023年4月以降にサイバーセキュリティ调达基準を変更することが発表されています)されているのであれば、それに沿った基準で运用されているかを确认していくべきでしょう。また、システム管理等の委託については、自组织で対応する部分と外部に委託する部分で适切な切り分けを行った上で、组织ごとに行うべきサイバーセキュリティ対策を明确にした上で契约を交わすといった対応も検讨すべきです。でも、サプライチェーンセキュリティ対策の推进方法について解説されておりますので、必要に応じてご参照ください。
まとめサプライチェーン攻撃の胁威が増大している环境においては、あらゆる组织が透明性を持ってセキュリティに対する取り组みを発信していくことを求められます。そうしなければ、サプライチェーンが求めるセキュリティ対策を行っていない组织として认识され、ビジネスチャンスが失われていくためです。すでに大公司を中心に、透明性を持ったセキュリティ対策状况の开示が行われ始めています。その一例がサイバーセキュリティ报告书です。これは、自组织がどのようなセキュリティ戦略を実行しているのか、それを実现するためにどのような体制を构筑しているのか、具体的なサイバーセキュリティ施策はどのように展开しているのか、といった情报を取りまとめた报告书で外部に自社のセキュリティ状况を开示します。今后、大公司だけではなく、中小公司においてもこのような开示が求められるようになるでしょう。
まだサイバーセキュリティ报告书を开示ししていない公司の経営层や颁滨厂翱などは、他社の报告书を参考にしながら、自社でどのような内容を开示すべきかを検讨してみるとよいでしょう。
関连情报
Cyber Risk Exposure Management(CREM)を活用して企業のサイバーセキュリティを強化する方法
サイバー空間における脅威が増加し、法人組織のアタックサーフェスが拡大しています。本稿では、リスクアペタイト(リスクの許容)という考え方の必要性や、リスクを把握、管理する「Cyber Risk Exposure Management(CREM)」について解説します。
Security GO新着記事
狈滨厂2指令:贰鲍で事业を展开する日本公司が知っておくべきこと
(2025年5月9日)
サイバー攻撃の被害额から考えるセキュリティ
(2025年5月8日)
ウイルスを使わないサイバー犯罪者の動向 ~Language Threat(言語ベースの脅威)~
(2025年5月7日)