「サプライチェーン攻撃」とは何か？ 弱点を発見する方法は？ どう対策すべきか？：日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか（1）

あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会 代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。

[宮田健，＠IT]

日本ハッカー協会 代表理事 杉浦隆幸氏

　2022年11月に開催された「ITmedia Security Week 2022 冬」の「サプライチェーン攻撃だけじゃない、新たな脅威」ゾーンにおいて、日本ハッカー協会 代表理事の杉浦隆幸氏が「サプライチェーン攻撃の実態」をテーマに講演した。これまでもITセキュリティにおけるさまざまな実績に加え、自動車やIoT、果てはドローンをハッキングするなど多岐にわたって活動する“ハッカー”の視点から、今、各所で話題に上がる「サプライチェーン攻撃」に対する解像度を上げるためのヒントを語った。

　本稿では、「サプライチェーン攻撃」という言葉が示すものの本質、そしてその対策をレポートする。

そもそも、サプライチェーン攻撃とは？

　杉浦氏はまず、「サプライチェーン攻撃」の指すものを定義する。サプライチェーン攻撃とは「サプライチェーンの脆弱（ぜいじゃく）な部分を標的にして、組織に損害を与えようとするサイバー攻撃」のことだが、言葉として使われる際、幾つかの意味を持つことがある。

　1つは「サプライヤーが攻撃を受けて影響が出る」といったもの。これは例えば、石油関連施設がサイバー攻撃を受け、その結果として価格が上昇、経営を圧迫するといったものだ。もう1つ、「主にITの世界で語られる『ソフトウェアサプライチェーン』に侵入され、最終製品やサービスに影響が出る」といったものがある。これは例えば製品が利用するライブラリなどが狙われ、完成したソフトウェアにバックドアが組み込まれるようなものを指す。最近ではSBOM（Software Bill Of Materials：ソフトウェア部品表）によって管理することが、その対策として語られることが増えてきた。これらは別物ながら、同じ「サプライチェーン攻撃」という言葉でまとめられることが多い。

2種類ある「サプライチェーン攻撃」（杉浦氏の講演資料から引用）

　加えて、杉浦氏は「日本型サプライチェーン攻撃」というものを解説する。これは、少数のサプライヤーがサイバー攻撃を受け、その結果、事業全体が停止してしまうものを指すが、特に標的を決めて攻撃されるタイプのものではなく、「弱いところを狙う攻撃が偶然当たってしまい、そこから侵入した場所がどこかのサプライヤーだった、というだけの攻撃だ」と杉浦氏は説明する。これを防ぐために、取引先のセキュリティ管理としてサプライチェーンリスクマネジメントが求められている。

　調達から製造、在庫管理、流通、販売、消費の全てのサプライチェーンを管理することは実質不可能なので、影響が大きな部分、特に製造業においては調達部分における管理が重要となる。サプライヤーには、セキュリティ対策が十分かどうかをアンケートで調査するぐらいなのが実情だ。もしくは、サプライヤーを複数用意し、調達を安定させているところもある。それでも代えが利かないサプライヤーもあるだろう。

サプライチェーン攻撃の国内外の事例