【組織10大脅威】サプライチェーンの弱点を悪用した攻撃【第2位】

IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2023」によると、組織の脅威 第2位は「サプライチェーンの弱点を悪用した攻撃」でした。
前年の3位から2位にランクアップしています。

サプライチェーンの弱点を悪用した攻撃

商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。攻撃者はそのサプライチェーンを悪用し、セキュリティ対策の強固な関連企業・サービス・ソフトウェア等は直接攻撃せずに、それ以外のセキュリティ対策が脆弱なプロセスを最初の標的とし、そこを踏み台として顧客や上流プロセスの関連企業等、本命の標的を攻撃する。また、もう1つのサプライチェーンとして「ソフトウェアサプライチェーン」もある。これはソフトウェア開発のライフサイクルに関与する全てのモノ(コード、ライブラリ、プラグイン、各種ツール等)や人(開発者、運用者等)の繋がりであり、ここを狙った攻撃も行われている。

引用:情報セキュリティ10大脅威 2023

「サプライチェーンの弱点を悪用した攻撃」の手口として以下3件が紹介されています。

1. 調達から販売、業務委託等一連の商流において、セキュリティ対策が甘い組織が攻撃の足がかりとして攻撃される
2. ソフトウェア開発のライフサイクルに関与するモノや人の繋がりを足掛かりとする(ソフトウェアサプライチェーン)攻撃も存在
3. 取引先や業務を委託している外部組織から情報漏えい

(引用:「情報セキュリティ10大脅威 2023」簡易説明資料(スライド形式)17ページ)

これまで「サプライチェーンの弱点を悪用した攻撃」といえば、1の攻撃手法が主に取り上げられてきました。2の攻撃が昨年の組織10大脅威で追加され、今回、新たに3の攻撃が加わっています。

サプライチェーンの弱点を悪用した脅威とは

サプライチェーンの弱点を悪用した攻撃を受けるリスクは、最初に侵入された企業あるいは組織・ソフトウェア・委託された外部組織が意図せず攻撃者に加担してしまう点にあります。攻撃者にとっての”本命”企業に対する攻撃の踏み台となり、知らず知らずのうちに取引先へのマルウェア攻撃の発信源になってしまう可能性もあります。踏み台とされた企業からしてみれば、自身も被害者ではあるものの、攻撃者に侵入を許した、または意図的でないにせよ攻撃者に加担したという事実が不信感を煽り、ビジネスに重大な影響を与えることもあります。

サプライチェーンの弱点を悪用した攻撃への対策

「情報セキュリティ10大脅威 2023」簡易説明資料(スライド形式)13ページ)から、組織の立場、「被害の予防」と「被害を受けた後の対応」をまとめました。

立場 組織(自組織) 組織(自組織の商流に関わる組織)
被害の予防
  • 業務委託や情報管理における規則の徹底
  • 報告体制等の問題発生時の運用規則整備
  • 品物の検証
  • 情報セキュリティの認証取得(ISMS、Pマーク、SOC2、ISMAP等)
  • 公的機関が公開している資料の活用
  • 信頼できる委託先、取引先、サービスの選定
  • 契約内容の確認
  • 取引先や委託先組織の管理
被害を受けた後の対応
  • 組織の方針に従い各所へ報告、相談する
  • 影響調査および原因の追究、対策の強化
  • 被害への補償
  • 組織の方針に従い各所へ報告、相談する

前年の解説に関しては以下をご参照ください。

【組織の脅威3位】サプライチェーン攻撃が世界的に増加傾向【IPA情報セキュリティ10大脅威 2022】

弊社では、「1.調達から販売、業務委託等一連の商流において、セキュリティ対策が甘い組織が攻撃の足がかりとして攻撃される」事例については、以下で解説しています。

標的は中小企業!? サプライチェーン攻撃

「2.ソフトウェア開発のライフサイクルに関与するモノや人の繋がりを足掛かりとする(ソフトウェアサプライチェーン)攻撃」に関しては以下で解説しています。

サプライチェーン上で埋め込まれるバックドア検査の必要性

サプライチェーン攻撃は、最初に攻撃を受けた企業・組織だけでなく、その取引先などにも被害が及びます。自組織だけでなく、取引先や関係企業を守るためにも、十分なセキュリティ体制を整えましょう。

2023-06-07

関連記事 Related Post

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

HOME  ≫ FFRIセキュリティ BLOG  ≫ 2023年  ≫ 2023年6月  ≫ 【組織10大脅威】サプライチェーンの弱点を悪用した攻撃【第2位】

pagetop