検索
連載

「サプライチェーン攻撃」とは何か? 弱点を発見する方法は? どう対策すべきか?日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか(1)

あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会 代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。

Share
Tweet
LINE
Hatena

日本ハッカー協会 代表理事 杉浦隆幸氏

 2022年11月に開催された「ITmedia Security Week 2022 冬」の「サプライチェーン攻撃だけじゃない、新たな脅威」ゾーンにおいて、日本ハッカー協会 代表理事の杉浦隆幸氏が「サプライチェーン攻撃の実態」をテーマに講演した。これまでもITセキュリティにおけるさまざまな実績に加え、自動車やIoT、果てはドローンをハッキングするなど多岐にわたって活動する“ハッカー”の視点から、今、各所で話題に上がる「サプライチェーン攻撃」に対する解像度を上げるためのヒントを語った。

 本稿では、「サプライチェーン攻撃」という言葉が示すものの本質、そしてその対策をレポートする。

そもそも、サプライチェーン攻撃とは?

 杉浦氏はまず、「サプライチェーン攻撃」の指すものを定義する。サプライチェーン攻撃とは「サプライチェーンの脆弱(ぜいじゃく)な部分を標的にして、組織に損害を与えようとするサイバー攻撃」のことだが、言葉として使われる際、幾つかの意味を持つことがある。

 1つは「サプライヤーが攻撃を受けて影響が出る」といったもの。これは例えば、石油関連施設がサイバー攻撃を受け、その結果として価格が上昇、経営を圧迫するといったものだ。もう1つ、「主にITの世界で語られる『ソフトウェアサプライチェーン』に侵入され、最終製品やサービスに影響が出る」といったものがある。これは例えば製品が利用するライブラリなどが狙われ、完成したソフトウェアにバックドアが組み込まれるようなものを指す。最近ではSBOM(Software Bill Of Materials:ソフトウェア部品表)によって管理することが、その対策として語られることが増えてきた。これらは別物ながら、同じ「サプライチェーン攻撃」という言葉でまとめられることが多い。


2種類ある「サプライチェーン攻撃」(杉浦氏の講演資料から引用)

 加えて、杉浦氏は「日本型サプライチェーン攻撃」というものを解説する。これは、少数のサプライヤーがサイバー攻撃を受け、その結果、事業全体が停止してしまうものを指すが、特に標的を決めて攻撃されるタイプのものではなく、「弱いところを狙う攻撃が偶然当たってしまい、そこから侵入した場所がどこかのサプライヤーだった、というだけの攻撃だ」と杉浦氏は説明する。これを防ぐために、取引先のセキュリティ管理としてサプライチェーンリスクマネジメントが求められている。

 調達から製造、在庫管理、流通、販売、消費の全てのサプライチェーンを管理することは実質不可能なので、影響が大きな部分、特に製造業においては調達部分における管理が重要となる。サプライヤーには、セキュリティ対策が十分かどうかをアンケートで調査するぐらいなのが実情だ。もしくは、サプライヤーを複数用意し、調達を安定させているところもある。それでも代えが利かないサプライヤーもあるだろう。

サプライチェーン攻撃の国内外の事例

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  2. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  3. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  4. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  5. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  6. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  7. Microsoftが注意喚起 「クイックアシスト」を悪用した「テクニカルサポート詐欺」の手口、対策とは
  8. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. 正規通信との区別はほぼ不可能な「偽のMicrosoftメール」に注意、「従来のセキュリティでは認識しにくい」のはなぜ? 対策は?
ページトップに戻る