HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2024年 ≫ 2024年4月 ≫ 【IPA情報セキュリティ10大脅威 2024】サプライチェーン攻撃について解説します【2位】

【IPA情報セキュリティ10大脅威 2024】サプライチェーン攻撃について解説します【2位】

IPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威 2024」によると、組織の脅威第2位は昨年同様「サプライチェーンの弱点を悪用した攻撃」でした。

サプライチェーンの弱点を悪用した攻撃

商品の企画、開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。このような「ビジネス上の繋がり」を悪用した攻撃は、自組織の対策のみでは防ぐことが難しいため、関係組織も含めたセキュリティ対策が必要な脅威と言える。また、ソフトウェア開発のライフサイクルに関与する全てのモノ（ライブラリ、各種ツール等）や人の繋がりをソフトウェアサプライチェーンと呼ぶ。このような「ソフトウェアの繋がり」を悪用した攻撃もまた脅威であり、対策が必要である。

引用：情報セキュリティ10大脅威 2024

サプライチェーン攻撃の手口は、大きく2つの種類に分けられます。
図解とともに解説します。

取引先や委託先が保有する機密情報を狙う

本命となる標的組織よりもセキュリティが脆弱な取引先や委託先、国内外の子会社等を攻撃し、その組織が保有する標的組織の機密情報等を窃取、子会社等への侵入を足がかりに本命企業へと侵入します。

ソフトウェア開発元や MSP（マネージドサービスプロバイダー）等を攻撃し、標的組織を攻撃するための足掛かりとする

過去にはオープンソースの汎用プログラミング言語であるPHPの開発に使われていたサーバーに攻撃者が侵入し、特定のヘッダに対し秘密の文字列が含まれているリクエストを送信すると、任意のPHPコードが実行できるバックドア機能をこっそりと埋め込んだ事例があります。
また、悪意を持った機能を実装するのではなく、任意のコマンドが実行できるような脆弱性を意図的に残しておくという手段もありえます。
※こちらはソフトウェア開発元や MSP（マネージドサービスプロバイダー）等を攻撃し、標的組織を攻撃するための足掛かりとする一例になります。詳しくは、弊社特集ページの「サプライチェーン上で埋め込まれるバックドア検査の必要性」をご確認ください。

サプライチェーン攻撃対策は、自組織だけでは難しく、経営層や自組織に関わる組織と共に協力して行うことになります。
経営層は、被害の予防としてインシデント対応体制を整備し対応する必要があります。
自組織及び、自組織に関わる組織で検討すべき対策と対応は以下の通りになります。

立場	自組織	自組織の商流に関わる組織
被害の予防	情報管理規則の徹底セキュリティ評価サービス（SRS）を用いた自組織のセキュリティ対策状況の把握信頼できる委託先、取引先、サービスの選定契約内容の確認委託先組織の管理納品物の検証	取引先や委託先との連絡プロセスの確立取引先や委託先の情報セキュリティ対応の確認、監査情報セキュリティの認証取得公的機関等が公開している資料の活用
被害を受けた後の対応	インシデント対応体制を整備し対応する被害への補償	適切な報告／連絡／相談を行う