サプライ チェーン攻撃とは

サプライ チェーン攻撃は、攻撃者が標的とする組織のサプライ チェーンまたはパートナーのネットワーク内において、セキュリティ対策が十分でない組織や要素を標的にして悪用する際に発生します。また、このタイプの攻撃はバリューチェーン攻撃またはサードパーティ攻撃とも呼ばれており、企業（または組織）とそのサプライヤーとの関係性を悪用します。

サプライ チェーン攻撃の目的は、サプライ ネットワークにおいてセキュリティ対策が十分でない要素を悪用して、標的にした組織に損害を与える、データやシステムに不正アクセスを行う、マルウェアを配布する、その他悪意のある行為を行うといったことにあります。

サプライ チェーン攻撃は、ソフトウェア ベンダー、ハードウェア メーカー、サービス プロバイダー、またはその他主要な標的に製品やサービスを提供する事業体のいずれかが侵害されると発生します。

こうした攻撃は、組織とその直接または間接パートナーとの間で築いてきた信頼を悪用することから、特に対処が難しくなっています。そのため、この種のサイバー攻撃による被害も甚大で、そのための対策が課題になります。

サプライ チェーン攻撃の主な特徴：

• 間接的に標的へ攻撃を仕掛けるという性質上、サプライ チェーン攻撃の検知や属性把握は難しく、侵害先を明らかにして、特定の攻撃者と関連付けることが困難
• 信頼関係の悪用という点において攻撃者が標的にするのは、標的にした組織と密接な関係があり、その組織のネットワークにアクセスできるサード パーティのベンダーとなる
• サプライ チェーンに属する1社に攻撃を仕掛けることで複数の下流ユーザーや組織にも影響を与えることから、サプライ チェーン攻撃による影響が拡大し、結果として多くの企業が標的となり影響を受ける
• ステルス性と複雑性がサプライ チェーン攻撃の特徴で、長期間検知されないように高度に設計されていることが多く、攻撃者はセキュリティ アラームを発報させることなく、情報収集や損害を与えることが可能

サプライ チェーン攻撃に関する統計情報

「2022年、米国のサプライ チェーンに対するサイバー攻撃によって1,743社の企業が影響を受けました。直近で調査した年では、影響を受けた企業の数は前年比で約235%増加しています」
—Statistica

「2022年、複数の組織のデータにアクセスできる1,743社の企業を標的にしたサプライ チェーン攻撃によって、1,000万人以上の人が影響を受けました。」
—Identity Theft Resource Center

「2023年、米国では242件のサプライ チェーン攻撃が報告されました。」
—Statistica

「サプライ チェーン攻撃の件数は、2022年から2023年にかけて前年比115%の増加となりました。」
—Statistica

「サプライ チェーンの侵害で組織が悪影響を受けた平均件数は、2022年から2023年にかけて26%増加しました。」
—The State of Supply Chain Defense Annual Global Insights Reports 2023

「サプライ チェーン侵害の平均件数は、3.29件（2022年）から4.16件（2023年）に増加しました。」
—The State of Supply Chain Defense Annual Global Insights Reports 2023

「2023年4月までの12か月間において、米国企業の約3分の2（61%）がソフトウェア サプライ チェーン攻撃による直接的な影響を受けました。」
—Gartner, Inc.

「2025年までに、グローバル組織の45%がサプライ チェーン攻撃を経験すると思われます。2021年比で3倍となります。」
—Gartner, Inc.

「2031年までに、ソフトウェア サプライ チェーン攻撃による企業の被害額は、1,380億ドル近くに達すると思われます。」
—2023 Software Supply Chain Attack Report

「ソフトウェア サプライ チェーンに対するサイバー攻撃で企業が負担する総コストは、2023年には458億ドルだったものが、2026年には世界全体で806億ドルに達すると思われます。この76%の増加は、ソフトウェア サプライ チェーンにおけるセキュリティのプロセスが欠如していることによるリスクの増加と、ソフトウェア サプライ チェーン全体における複雑性の増大を反映しています。」
—Juniper Research

「2023年では、91%の組織がソフトウェア サプライ チェーンに関するインシデントを経験しました。」
—Enterprise Strategy Group（ESG）

サプライ チェーン攻撃が増加している理由

サプライ チェーン攻撃が増加しているのは、グローバルなサプライ チェーンに内在するサイバー脅威の環境と、脆弱性に対するサイバー攻撃者の認識が進化しているからです。こうしたサプライ チェーン攻撃が急増している理由を以下でいくつか紹介します。

サプライ チェーンの複雑性

サプライ チェーンは複雑なネットワークで、ベンダー、下請け業者、サービス プロバイダーなど、異なる関係者が多数関わっていることから、組織がそれぞれの関係者を監視、保護することは困難です。こうした複雑性から透明性も欠如するため、攻撃者はサプライ チェーンを侵害して侵入する機会を得ることになります。

デジタル トランスフォーメーションと相互接続性

デジタル サプライ チェーンを介した相互接続の拡大や、パートナー、ベンダー、サービス プロバイダーとの関係性強化は、1社が侵害されることで、他の企業にもアクセスできるようになり、脆弱性の場所も増える可能性があることを意味します。つまり、クラウド サービス、モノのインターネット（IoT）デバイス、その他デジタル技術の普及と相まって、攻撃対象領域が拡大されるだけでなく、悪用される機会も増えるということです。

経済的動機および地政学的動機

サプライ チェーン攻撃の動議は、金銭的な利益だけでなく、地政学的な目的もあります。国が支援する攻撃者はこのベクトルを利用して、スパイ行為、重要インフラへの妨害行為、影響力の行使などを行っています。多くの場合、こうした攻撃には、資金が潤沢で、戦略的に計画されているという性質があります。

セキュリティ体制の強化により、サイバー攻撃者はより脆弱なアクセス ポイントを見つけるようになる

規模の大きな組織では、ネットワークやシステムのセキュリティを一層強化するようになったことから、サイバー攻撃者はセキュリティが甘い侵入ポイントを探すようになっています。サプライ チェーンに属するサード パーティや企業の中にはセキュリティ対策が十分でないところも多く、サイバー犯罪者にとってはそれが恰好の標的となっています。

評判とコンプラインスの低下

法規制遵守に関する要件が増えるにつれ、攻撃者は規制を取り囲むさまざまな環境に潜んでいる隙間を悪用し、コンプライアンスがそれほど厳しくないと思われるサプライ チェーンで最も脆弱なリンクを標的にします。多くの場合、サイバー セキュリティに関する規制や基準、特にサプライ チェーンへの導入や適用に関しては、急速に進化する脅威の環境に遅れを取っています。

迅速な対応の難しさ

サプライ チェーンは複雑で分散されていることから、セキュリティ インシデントを迅速に特定して対応することが難しく、攻撃者に脆弱性を悪用させ、被害を発生させるための時間を与えることになります。

ゼロデイ攻撃や高度な手法の増加

未知の脆弱性に対するパッチが適用される前にその脆弱性を悪用するゼロデイ攻撃や、APT攻撃により、サプライ チェーン攻撃の高度化と成功率は増加しています。攻撃者がこれらの手口を用いると、検知されずにシステムを侵害し、長期間アクセスを維持できます。

サプライ チェーン攻撃の例

サプライ チェーン攻撃は、さまざまな部門や種類の組織を標的にしており、グローバルなサプライ チェーンに脆弱性を拡散していることを示しています。以下の例では、サイバー攻撃者がサプライ チェーンを悪用するために用いるさまざまな手口、ソフトウェアの開発と配布のプロセスに対するセキュリティ対策の重要性、そしてサード パーティとの関係に対する警戒の必要性を説明します。

アプリケーション開発ツールへの悪意のある改変

よく知られているアプリ開発ツールが侵害されたことで、深刻なサプライ チェーン攻撃が発生しました。攻撃者はそのツールの海賊版に悪意のあるコードを挿入し、開発者がアプリを作成して配布する際、気づかないうちにこの海賊版が使われていました。この結果、数多くの正規アプリがマルウェアに感染し、数百万台ものデバイスに影響が及びました。

ローカルのランサムウェア攻撃が世界中に拡散

このサプライ チェーン攻撃は、まずローカルのソフトウェアを標的にし、後に世界中に拡散された非常に破壊的なランサムウェアの1つになりました。サイバー攻撃者は侵害されたソフトウェア更新プログラムを悪用して、高度な手口でネットワークに拡散させ、多国籍企業に影響を与え、甚大な金銭的被害とオペレーションの中断を引き起こしました。

ネットワーク管理ソフトウェアのセキュリティを侵害

このサプライ チェーン攻撃では、悪意のあるソフトウェア更新プログラムによってネットワーク管理ソフトウェアが侵害されました。この攻撃によって、世界各地にある多数の政府機関、民間企業、組織のネットワークに不正アクセスが行われました。この高度に仕組まれたサイバー攻撃は、そのソフトウェアが広く使われていることを悪用してマルウェアをユーザーに配布し、影響を受けた組織の社内通信を攻撃者が監視できるようにしたのです。

フィッシング攻撃で顧客ネットワークのセキュリティを侵害

サイバー攻撃者がフィッシング キャンペーンを通じて、IT、コンサルティング、ビジネス プロセス サービスを世界的に展開している企業のITシステムに侵入しました。彼らは会社のインフラを足がかりとして、その企業の顧客にさらなる攻撃を仕掛けたのです。

遠隔監視と管理ソフトウェアの悪用

ITサービス プロバイダーがネットワークとエンドポイントの管理に使用している遠隔監視と管理ソフトウェアを標的にしたサプライ チェーン攻撃では、サイバー攻撃者が脆弱性を悪用して、数多くの企業のネットワークにランサムウェアを世界レベルで展開しました。このネットワークには、侵害されたソフトウェアを使用していたITサービス プロバイダーが管理するネットワークも含まれていました。このサプライ チェーン攻撃では、標的となったソフトウェアの直接ユーザーが行うオペレーションを中断させただけでなく、そのユーザーたちがサービスを提供していた企業にも雪だるま式に影響を及ぼしたのでした。

ソフトウェア開発ツールが侵害され、システムへのアクセスに悪用される

サイバー攻撃者がソフトウェア開発ツールに不正アクセスを行い、そのスクリプトを改ざんしました。この改ざんにより、サイバー攻撃者はツールのユーザーから、攻撃者自身が管理する外部サーバーに認証情報、トークン、キーなどといった機密情報を秘密裏にエクスポートすることができるようになったのです。このサプライ チェーン攻撃によって多くの組織が影響を受け、社内のコードベースや重要インフラがスパイ行為やさらなる攻撃を受けるリスクにさらされる可能性が生じました。

ソフトウェア更新のメカニズムが悪用される

コンピュータ メーカーのソフトウェア更新メカニズムが侵害されました。この例では、サイバー攻撃者がマルウェアを配布して悪意のあるコードをツールに埋め込み、特定のユーザーを標的にしてスパイ行為を行ったのです。この高度なサプライ チェーン攻撃は、そのステレス性と精度の高さで知られています。

システム保守ツールが侵害される

サイバー攻撃者が有名なシステム保守ツールのソフトウェア開発環境に侵入し、悪意のあるコードを公式リリースに注入しました。この侵害されたバージョンはその後、このソフトウェアで通常使われている更新メカニズムを通じて、世界中にいる数百万人のユーザーに配布されました。このサプライ チェーン攻撃は特定のテクノロジーと通信企業を標的にして、スパイ行為を目的としたセカンダリ ペイロードをインストールしたです。

サプライ チェーン攻撃の検知と防止

継続的な監視と分析
ネットワークとシステムへの継続的な監視を実施し、侵害の兆候を示す異常な活動（想定外のアウトバンド通信やソフトウェアやシステムの異常など）を検知します。

ソフトウェアの整合性検証
サード パーティから受け取ったソフトウェアと更新プログラムの整合性を、チェックサム、デジタル署名、その他暗号検証方法を通じて定期的に検証し、侵害されていないことを確認します。

サプライヤーのリスク評価
サプライヤーとサード パーティ ベンダーのセキュリティ評価を定期的に実施して、リスクの特定とリスクの軽減を積極的に行います。

サプライ チェーン攻撃の防止戦略

教育、研修
サイバー セキュリティのベストプラクティスとサプライ チェーン攻撃に関連するリスクについて従業員を教育するための研修を定期的に実施します。

最小権限アクセス制御
ユーザー、アカウント、システムのアクセス権は、各自が業務を遂行する上で必要な最小限の権限に制限します。

多要素認証（MFA）
すべてのユーザー、特に重要なシステムへのアクセスやサード パーティ ベンダーに対してはMFAを必須にします。

ネットワークのセグメント化とマイクロセグメンテーション
ネットワークのセグメント化とマイクロセグメンテーションを実施して、ネットワーク内における攻撃者のラテラル ムーブメントを制限し、重要なシステムやデータをサード パーティのシステムから分離させます。

定期的なパッチの適用と更新
ソフトウェアとシステムに対するセキュリティ更新プログラムとパッチは迅速に適用して既知の脆弱性に対処し、サプライ チェーン攻撃による悪用に対するセキュリティ対策を行います。

セキュアなソフトウェア開発手法の実践
セキュアなソフトウェア開発手法（コード レビュー、セキュリティ テスト、セキュアなコーディング ライブラリとフレームワークなど）を採用して、脆弱性を最小限に抑えます。

サプライヤーとベンダーの精査
サプライヤーが最低限満たすべきセキュリティ基準を設定します。次に、すべてのサプライヤーとベンダーが実施しているセキュリティ対策を、この基準に照らして評価します。この評価は、対象となるサプライヤーとベンダーをサプライ チェーンと連携させ、社内システムへのアクセスを許可する前に実施する必要があります。

サプライ チェーン攻撃の手口

サプライ チェーン攻撃は、サプライ チェーンを構成する要素（標的となる組織が利用して信頼しているベンダー、ソフトウェア、ハードウェア）を侵害することで行われます。サイバー攻撃者は通常、サプライ チェーン内でセキュリティが甘い要素を標的にして悪意のあるソフトウェアを挿入したり脆弱性を悪用したりします。

脆弱性の悪用には、ソフトウェア更新プログラムを改ざんする、エンド ユーザーの手元に届く前に正規ソフトウェアを破壊する、サプライヤーのネットワークを侵害して、標的組織へのアクセス権限を悪用することが含まれます。侵害された構成要素が標的の環境に統合されると、攻撃者はサード パーティへの信頼を悪用して、データの盗難、スパイ行為、マルウェアの拡散などの悪意のある行為を実行できます。

サプライ チェーン攻撃の種類

サプライ チェーン攻撃には、以下のような多くの種類があります。

• クラウド サービス プロバイダーに対する攻撃では、クラウド サービスに潜む脆弱性を標的にして、クラウド サービス プロバイダーがホストする複数の組織のデータやシステムに侵入します。
• ソフトウェア更新プログラムの侵害では、ソフトウェア更新プログラムにマルウェアを感染させ、それを疑いを持たないユーザーに配布します。
• 偽造コンポーネントへのすり替えでは、悪意のある機能が組み込まれた偽装または不正なハードウェア コンポーネントが使用されます。
• ハードウェアの遮断では、製造または配送プロセスに侵入し、ハードウェア ベースのスパイ装置や脆弱性を埋め込みます。
• 内部脅威では、サプライ チェーンに属する不正な従業員や内部関係者を悪用して、マルウェアや脆弱性を意図的または意図せずに投入します。
• オープンソース コードのセキュリティ侵害では、悪意のあるコードを、商用または個人用のソフトウェアで使用されるオープンソースのプロジェクトに挿入します。
• ソフトウェアの改ざんでは、エンドユーザーの手元に届く前に、正規のソフトウェアを改ざんして悪意のあるコードを埋め込みます。
• サード パーティ ベンダーのセキュリティ侵害では、ベンダーまたはサプライヤーのシステムに潜むセキュリティ上の弱点を悪用して、標的組織のネットワークに侵入します。

サプライ チェーン攻撃を防ぐには、信頼しつつも検証が必要

サプライ チェーン攻撃は、サプライ チェーンにある信頼と相互依存関係という特徴を悪用します。組織は、厳格なポリシーと手順に加え、徹底した、多層型のセキュリティ アプローチを採用し、サプライ チェーンのパートナーの受け入れと継続的な評価を実施する必要があります。

サプライ チェーンのパートナーが実践しているセキュリティについては、詳しく評価する必要があります。評価では、そのパートナーが取引しているパートナーやサプライヤーの具体的なセキュリティ対策や実施内容も詳しく調べる必要があります。サプライ チェーン全体で統一された包括的なセキュリティ体制を確保することで、組織はこうした相互関係によって生じる脆弱性やリスクをより適切に保護できます。