サプライチェーンの弱点狙う攻撃で情報漏洩急増 自社のセキュリティが担保されていても被害
最近は、サイバー攻撃のニュースを聞かない日がほとんどない。中でもとくに「サプライチェーン攻撃」という用語を耳にする機会が増えている。
情報処理推進機構(IPA)が発表する、前年の社会に大きな影響を与えた情報セキュリティの事案を取り上げる10大脅威でも「サプライチェーンの弱点を悪用した攻撃」が2019年に初登場して以降、6年連続でランクインしている。もはやサプライチェーン攻撃が、法人組織に関わる重大な脅威と位置づけられていることは明白だ。
3種類に分類できるサプライチェーン攻撃
ただ、一口にサプライチェーン攻撃と言っても具体的な内容は微妙に異なる。現在、サプライチェーン攻撃と呼ばれている攻撃を、攻撃起点の観点から整理すると3種に分類できる。
1つ目は、ソフトウェアを起点とした攻撃(ソフトウェアサプライチェーン攻撃)。ソフトウェアの開発や配布におけるプロセスを侵害し、正規のソフトウェアに不正コードを埋め込む手法だ。例えば、正規のソフトウェアアップデートにマルウェアを仕込むことで、多くのユーザーに広範囲に影響を及ぼす。
過去の事例では、2020年12月に発生したSolarWinds社製品が侵害された事例がある。国内の事例では、2014年に発生した原発関連施設での事例がその1つと言える。いずれも組織内で使用されていたソフトウェアがサプライチェーン上で侵害されマルウェアの侵入が発生したことが要因となった。
無料会員登録はこちら
ログインはこちら