FFRI Security BLOG

【組織の脅威3位】サプライチェーン攻撃が世界的に増加傾向【IPA情報セキュリティ10大脅威 2022】

IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2022」によると、組織の脅威 第3位は「サプライチェーンの弱点を悪用した攻撃」でした。
前年の4位から3位にランクアップしています。

サプライチェーンの弱点を悪用した攻撃

商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃せずに、その企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織や利用サービスの脆弱性等を最初の標的とし、そこを踏み台として本命の標的である組織を攻撃する手口がある。関連組織に預けた情報が漏えいしたり、本来の標的である企業が攻撃を受けたりすることで被害が発生する。

出典:情報セキュリティ10大脅威 2022

サイバー攻撃対策はBCP(Business Continuity Plan:事業継続計画)の一環として捉えることができます。その理由として、サイバー攻撃によって自社ビジネスに必要な仕入れやビジネスの根幹である製品・サービスを提供できない事態、すなわちサプライチェーンの停止や断絶が起こりうる可能性があるからです。
最近では、国内の自動車部品メーカーがサイバー攻撃の被害に遭い、その影響でサプライチェーンに上にある大手自動車メーカーが操業を一時停止するなど、被害が取引先にまで及ぶ事案も発生しています。BCPの策定と運用は経営課題であり、サイバー攻撃対策を経営課題として認識することが、ビジネスに必要不可欠な時代になってきています。

上記の例として挙げた事案は、サプライチェーンを意識したものであったかは判然としていませんが、一般論としてサプライチェーン攻撃の手口は、標的企業の取引先や子会社への侵入を足がかりに、本命企業へ侵入する代表的な手口の他に、「取引先や委託先が保有する機密情報を狙う」手口と「ソフトウェア開発元や MSP(マネージドサービスプロバイダ) 等を攻撃し、標的を攻撃するための足掛かりとする」といった手口があります。

「取引先や委託先が保有する機密情報を狙う」手口は、標的の組織よりもセキュリティが脆弱な取引先や委託先等を攻撃し、その組織が委託業務において保有していた標的組織の機密情報等を窃取します。
もう一方の「ソフトウェア開発元や MSP 等を攻撃し、標的を攻撃するための足掛かりとする」手口は、標的企業が利用するソフトウェアの開発元やサービス提供元が利用するOSS(オープンソースソフトウェア)やMSPが自社開発したソフトウェアにウイルスやバックドアを仕込みます。そのうえで、開発元などが提供するアップデートに上記のウイルスやバックドアを含んだソフトウェアを配布、それを適用したユーザーはウイルスに感染し、結果として攻撃者からの侵入を許してしまいます。OSS(オープンソースソフトウェア)とはソースコードが公開されたソフトウェアプログラムのことです。誰でもソフトウェアの改良や再配布が行え、かつ無償で利用できます。サイバー攻撃者はOSSの利点を悪用し、攻撃の足がかりとしています。
こういった手口は、ベンダーから正規の手順で提供されたアップデートのため、脅威に気が付きにくいといった特徴があります。
IPAによると、OSS(オープンソースソフトウェア)をターゲットとしたサプライチェーン攻撃が、2021 年は 前年比 650%増の1 万 2,000 件となり、世界的に攻撃が急増しているということです。

では、このような攻撃をいかに未然に防ぐかと考えたときにAV/NGAV(Anti Virus/Next Generation Anti Virus)という選択があります。AVは、Windows Defenderに代表される一般的なウイルス対策ソフトです。NGAVは、弊社のFFRI yaraiのようなシグニチャやパターンファイルに依存しないエンドポイントセキュリティ製品です。
エンドポイントは、マルウェアが動作を開始する場所です。マルウェアが動作を開始した瞬間を捉えることができ、その場で確認できるので、効果的かつ確実にマルウェアを検知・防御できるポイントです。
FFRIセキュリティでは、「今さら聞けないエンドポイントセキュリティ」と題してウェビナーを作成しています。エンドポイントセキュリティの種別について詳しく解説しています。メールマガジンを一度登録いただくとリソースセンター全体が閲覧できますのでぜひご登録ください。

FFRIリソースセンター

投稿日:2022-05-11

FFRI yarai 3.5.0

関連記事 Related Post

次世代エンドポイントセキュリティ Next-generation endpoint security

特集 Special Contents

お問い合わせ Contact Us

メールマガジン Mail Magazine

エンジニアブログ For Engineer

最近の記事 Recent Post

人気の記事 Popular Post

アーカイブ Achive

pagetop