気付くのが遅れると大規模感染につながるサプライチェーン攻撃とは（1）

こんにちは。本連載を担当するディーアイエスソリューションの橋川ミチノリです。難しい内容が多いと言われているITセキュリティについて、「5分で理解できる」わかりやすさで説明していきます。どうぞよろしくお願いいたします。

さて、今回のテーマである「サプライチェーン攻撃」という言葉を聞いたことがありますか? Webで検索すると、多くのニュース記事がヒットするでしょう。

なぜ「サプライチェーン攻撃」に注目が集まっているのかというと、この攻撃は感染から発覚までのタイムラグが長くなり、発覚するまでの間に感染が広がっていくことが多いからです。さらに、「サプライチェーン」という名前の通り、企業間取引経路や流通経路を伝わって感染が広がっていくので、その感染範囲がさらに大きくなるおそれがあるためです。

セキュリティ業界全体に大きなインパクトを与える可能性があることから、「サプライチェーン攻撃」は業界として取り組んでいかなければいけない課題と位置づけられています。そして、企業においてもセキュリティ担当の方はもちろん、経営層や管理職層の方も知っておかなければならないサイバー攻撃手法です。

サプライチェーン攻撃の種類

そもそもサプライチェーンとは何ぞやという話ですが、一般的には「原料調達をして商品製造され、物流網に乗って消費者に届く」という製造から消費までの一連の流れを意味します。近年は製造業に限らず、ソフトウェアのような形のないモノもこの流れで開発され、消費者に供給されています。

サプライチェーン攻撃はこの一連の流れの途中を攻撃するサイバー攻撃です。サプライチェーン攻撃には2種類あります。

1つ目は「サプライチェーン」の本来的な意味である、関連会社・取引会社間のサプライチェーンの経路を攻撃する「サプライチェーン攻撃」です。例えば、セキュリティが強固な大企業は攻撃しても成功することが難しいので、取引先や関連会社から侵入します。

もう1つは、IT機器やソフトウェアおよびその部品にマルウェアを忍ばせて、バックドアを開けたり、悪意のあるソフトウェアを流通させたりするような、「流通」という意味での「サプライチェーン攻撃」です。

恐ろしい「発生」と「発覚」のタイムラグ

サプライチェーン攻撃についてイメージは湧きましたか? それでは、サプライチェーン攻撃の仕組みや影響、対策について、掘り下げて解説していきたいと思います。

最も単純な、委託元・委託先（Webサイト管理・運用）・顧客という例で考えてみましょう。

Webサイトが改竄されるというセキュリティ・インシデントが発生した場合、「発生」した場所は委託先です。しかし、その発生に委託先が気付かないと、顧客の個人情報が抜き取られて顧客に対して不審なメールが送られてくるようになります。委託元が顧客から通報を受けて初めて、セキュリティ・インシデントが「発覚」するのです。

このように「発生」と「発覚」の間にタイムラグが生じてしまうことがサプライチェーンの恐ろしいところです。もし、あなたの会社にインフルエンザに感染している人が出社していた場合、まずはそのことに気づかなければ、病院に行かせたり、今後同じような行動を繰り返さないよう指摘したりできないですよね。

サプライチェーンの世界も同様で、この発生と発覚のタイムラグを可能な限り縮めて適切な処置を早く施すことが大事なのです。

• 

  サプライチェーンでは発生と発覚のタイムラグが恐ろしい

「点」ではなく「線」を守れ

セキュリティ・インシデントは委託先で発生することが多く、それが発覚するのは顧客または委託元であることが多いです。その理由は以下の通りです。

• 委託先は委託された製品・サービスの作成・運用は重視するが、利用者(顧客・委託元)から実際にどのように見えているのかは確認できないことがある。

• 各企業が独自の基準や方法でセキュリティ対策を実施しているため、セキュリティインシデントの発生・発覚する/しないの結果が環境の差により異なる。

このように脅威に対するチェック体制や防御力のバラつきは企業間で起こることは避けられません。そして、チェック体制や防御力が最も弱くなる部分が企業と企業の間を繋ぐ「線」です。

今年もインフルエンザが大流行しましたが、インフルエンザウイルスは冬場に限らず、実は1年中存在することをご存じでしょうか? 冬場に流行する原因は、空気が乾燥してウイルス中の水分が蒸発して軽くなり空気中を浮遊する絶対数が増えることにより感染する確率が高まっているにすぎないのです。

サプライチェーンの世界に季節はありません。1年中、どの企業も攻撃を受ける可能性がありますし、内的・外的環境も日々変化していますので、感染する確率は毎日変動しています。この過酷な環境では、チェック体制や防御力の差による弱点がいつかは露呈してしまいます。

自分の会社だけを守ることに必死になっている(線を守らず点を守る)企業群と最も弱い部分を突こうとしている(線を攻める)攻撃側が日々戦っているわけですから、どちらが有利なのかは明らかです。

どれか線1本に脆弱性があれば、発生・発覚のタイムラグも見込め、攻撃側にとって有難い攻撃先と認定されてしまいます。また、点を守ることに固執するやり方では、どんなに頑張っても一番守らなければならない顧客を守ることはできません。

• 

  「線」を守らない企業群と「線」を攻める攻撃側

さて、ここまで読み進めるのに5分を超えてしまいそうなので、サプライチェーン攻撃を防御するための対策については、次回に紹介します。

著者プロフィール

橋川ミチノリ

幼少よりコンピュータ関連の仕事に憧れ、ディーアイエスソリューション株式会社に入社。
営業職として最新のＩＴソリューションの提案・販売活動に10年間従事した後、マーケティング職に転向。高度化・複雑化が進むIT業界のトレンドや最新技術を分かりやすく解説し、啓蒙を図るミッションに取り組んでいる。
生まれ： 広島県、好きな言葉：やっぱりカープがNo.1!、趣味：ホルン 。