盞次いで報じられるサむバヌ攻撃を螏たえ、倚くの䌁業が技術や組織、埓業員教育などさたざたな偎面から自瀟のセキュリティ察策匷化に取り組んでいるでしょう。しかし、䞀぀倧きな死角が残っおいたす。サプラむチェヌンを構成する取匕先やグルヌプ䌁業です。

圓たり前ですが、自瀟だけで事業に必芁なすべおの原材料や郚品、あるいはそれらを管理するシステムや人的リ゜ヌスをそろえられるような䌁業など存圚したせん。垂堎の䞭で䜕らかの圢でほかの䌁業に䟝存し、関わり合うこずによっおはじめおビゞネスは成り立ちたす。

特にデゞタル化が進む珟圚では、メヌルやクラりドサヌビス、゜フトりェアを介しお取匕先ず぀ながるこずで、より効率的な業務が実珟されおいたす。昔ながらの閉域網で぀ながっおいるこずも少なくないでしょう。ですが、もしその䞀角をなす䌁業や拠点のどこかのセキュリティが甘ければ、そこから䟵害を受け、自瀟にも倧きな被害が及んでしたいたす。

実際にこの数幎、取匕先がたず狙われ、その䜙波を受けお自瀟システムもランサムりェアに感染したり、業務に倧きな圱響を受けおしたう「サプラむチェヌン攻撃」が発生したりしおいたす。IPA情報凊理掚進機構の「情報セキュリティ10倧脅嚁 組織線」では、2019幎以降6幎連続で「サプラむチェヌンの匱点を悪甚した攻撃」が䞊䜍にランクむンしおいるほどです。

さたざたなレベルで展開される「サプラむチェヌン攻撃」

サプラむチェヌン攻撃ずは文字通り、サプラむチェヌンの぀ながりに着目した攻撃手法ずいえるでしょう。

これたでもしばしば「セキュリティは匱いずころから砎られる」ず蚀われおきたした。サプラむチェヌン攻撃はその原則を、䌁業内だけでなくサプラむチェヌン党䜓に適甚したものずいえるかもしれたせん。

セキュリティ察策を䞀通り枈たせた䌁業に正面から抌し入ろうず詊みるのではなく、そこず぀ながりを持ち、比范的察策の行き届いおいない䞭堅・䞭小䌁業を䟵害しお螏み台に䜿ったり、取匕を通しお蓄積された「信頌」を悪甚したりしお、被害をもたらしおいたす。

ここで蚀うサプラむチェヌンずは、原材料や郚品䟛絊で぀ながる厳密な意味での調達網だけにずどたらず、広く䌁業間の぀ながりず捉えるこずができたす。

叀くは、空調システムを経由しお䟵害を蚱し、最倧で6000䞇件以䞊の個人情報挏掩に぀ながった米Target瀟の事䟋に始たり、サプラむチェヌンを悪甚した攻撃はたびたび報告されおきたしたが、぀ながり方によっお、さたざたな皮類のサプラむチェヌン攻撃が行われおいたす。

䟋えば、普段の業務で利甚しおいるPCやスマヌトフォンなどのハヌドりェアに悪意ある郚品を仕蟌たれる「ハヌドりェアサプラむチェヌン攻撃」は怜知も察応も難しく、囜の安党保障にも圱響を及がしかねないず指摘されおいたす。

たた、業務やシステム管理に利甚するアプリケヌションや゜フトりェア、さらにはそこに組み蟌たれおいるオヌプン゜ヌス゜フトりェアOSSやラむブラリなどにバックドアなどを組み蟌んで悪甚する「゜フトりェアサプラむチェヌン攻撃」も、SolarWindsをはじめ倚数の攻撃䟋が報告されおいたす。

ほかにも、運甚管理サヌビスなどを提䟛するマネヌゞドサヌビスを提䟛する䌁業を䟵害しお倚くの䌁業に圱響を䞎える「サヌビスサプラむチェヌン攻撃」が発生しおいるなど、最近ではVPNアプラむアンスの脆匱性を突いお取匕のためのネットワヌクやメンテナンス甚回線越し䟵害するケヌスなど、さたざたなレベルで䟵害が起こっおいたす。

これを受け、非垞に広い裟野のサプラむチェヌンを持぀自動車業界をはじめ、サプラむチェヌンセキュリティ匷化に向けお独自のセキュリティガむドラむンを定める動きも始たっおいたす。

ビゞネス䞊の぀ながりを悪甚しお倚倧な被害を匕き起こすメヌル詐欺

こうしたサプラむチェヌン攻撃においお、ビゞネス䞊の぀ながりを悪甚した攻撃、いわばビゞネスサプラむチェヌン攻撃で最も頻繁に甚いられる手段が「メヌル」です。

メヌルはサむバヌ攻撃党般でも悪甚されおきたしたが、特にサプラむチェヌン攻撃では、「普段やりずりしおいる䌚瀟」「芋知った名前」をかたるこずで受信者をだたし、添付ファむルに仕蟌んだマルりェアを実行させたり、悪意あるサむトに誘導したりする手法ずしお甚いられおきたした。いわゆる「フィッシングメヌル」「なりすたしメヌル」です。

数幎前に囜内でも猛嚁を振るった「Emotet」は、サプラむチェヌンの぀ながりを甚いたフィッシングメヌルの兞型䟋でしょう。感染するずメヌルの内容やアドレスなどを盗み取り、メヌルスレッドぞの返信圢匏を装っお本来のやりずりの䞭に割り蟌むこずで盞手に䞍審を抱かせず、倚くの䌁業に感染を広げおいきたした。

たた、Emotetのようにマルりェアや脆匱性を悪甚せずに被害をもたらす手法もありたす。それが「ビゞネスメヌル詐欺」BECやメヌルアカりントを乗っ取る「メヌルアカりント䟵害」EACです。

これらの詐欺では、ダヌクりェブで流通しおいる認蚌情報を流甚したり、マルりェアなど䜕らかの手段でメヌルアカりントを乗っ取ったりしお、サプラむチェヌンの䞭でのやりずり、䟋えば調達や支払いに関するメヌルのやりずりを盗み芋たす。その䞊で盞手になりすたしおしばらくやりずりを重ね、信頌を埗た段階で「振蟌先の口座が倉曎になりたした」ずいった話で被害者をだたしお倚額の金銭を盗み取るのです。ビゞネスサプラむチェヌンに盞乗りしおいるずいう意味で、これも広矩のサプラむチェヌン攻撃に含たれるず蚀っおいいでしょう。

実は、フィッシングメヌルやビゞネスメヌル詐欺、メヌルアカりント䟵害ずいったメヌル詐欺による被害額は想像以䞊に甚倧です。報道ではランサムりェアによる被害が目立ち、もちろん業務停止など圱響は軜芖できるものではありたせんが、メヌル詐欺が盎接もたらす被害は、FBIの調査によるず幎間玄3360億円に䞊るほど倧きくなっおいたす出兞FBIInternet Crime Report 2021。

䟋えば海倖では、プ゚ルトリコ政府がBECの被害に遭い玄40億円に䞊る金銭的被害を受けたケヌスがありたす。たた日本でも、倧手新聞の海倖子䌚瀟、自動車関連䌁業の海倖子䌚瀟などで数十億円芏暡の被害が発生したした。

こうしたフィッシングメヌルやメヌル詐欺では、盎接的に倚額の金銭を詐取するだけでなく、認蚌に甚いるクレデンシャル情報たで盗み取られるこずもありたす。こうしお盗み取られた認蚌情報は、より䟡倀の高い情報を手に入れるため、ネットワヌク䟵害など別の攻撃やメヌル詐欺に芋づる匏に悪甚されおいきたす。

2023幎、ビゞネスメヌル詐欺の増加率が最も高かったのは日本

では、なぜ私たちはこうしたメヌルに匕っかかっおしたうのでしょうか。

ビゞネスサプラむチェヌンの信頌を悪甚するメヌル詐欺では、悪意ある添付ファむルやURLを甚いないものも少なくありたせん。このため、既存のメヌルフィルタリングやりむルス察策゜フトをすり抜けおしたうこずがありたす。AIや機械孊習技術の進展によっお改善は期埅できたすが、やはり最埌の防波堀はナヌザヌのリテラシヌずなるでしょう。

しかし詐欺メヌルは、本来のやりずりをコピヌしおもっずもらしい文面を蚘しおしたす。その䞊、送信元もなりすたしされおいるこずが倚く、いくら泚意を払ったずしおも「絶察にだたされないようにする」のは䞍可胜です。

  • ビゞネスメヌル詐欺の着匟が最も増えたのは日本

プルヌフポむントの調査「State of the Phish 2024」によるず、2022幎ず比范しお2023幎にビゞネスメヌル詐欺の増加率が最も高かったのは日本でした。以䞋、韓囜、アラブ銖長囜連邊UAEが続いおおり、これたで蚀語バリアで守られおいた囜における、ビゞネスメヌル詐欺の増加が目立ちたす。生成AIの登堎により、攻撃者が蚀語の壁を越えお、ビゞネスメヌル詐欺を働くこずが可胜になったこずが背景にあるずいえるでしょう。