サプライチェーンの弱点狙う攻撃で情報漏洩急増自社のセキュリティが担保されていても被害

岡本勝之 : トレンドマイクロセキュリティエバンジェリスト

2025/01/22 6:00

著者フォロー

フォローした著者の最新記事が公開されると、メールでお知らせします。
無料会員登録はこちら
はこちら

2つ目は、サービスを起点とした攻撃（サービスサプライチェーン攻撃）。法人組織に対してITサービスやシステム管理を提供するマネージドサービスプロバイダ（MSP）などのサービス事業者を侵害し、そのサービスを通じて顧客であるサービス利用者に被害を及ぼす手法だ。

2021年に発生したMSPやIT企業へIT管理ツールを提供しているアメリカのKaseya社製品の脆弱性を悪用した一連の攻撃がある。この事例ではKaseya社の管理ツールを使用してサービス提供していたMSPを経由し、サービス利用者の環境にランサムウェア攻撃で侵入し、最大で1500社ほどの企業がランサムウェアの影響を受けたと報道されている。

ほかにも、2017年に当時過去最大規模と言われた標的型攻撃キャンペーン「Operation Cloud hopper」が挙げられる。この攻撃はMSPサービス事業者を標的とすることで、当該事業者と関係をもつ企業の資産や機密情報を盗み出す意図があり、日本を含むほぼ全世界の企業や組織で、侵害されたMSPを経由した情報窃取の被害が発生した。

3つ目は、業務上関係する他組織を起点とした攻撃（ビジネスサプライチェーン攻撃）。取引先企業や子会社など、業務上信頼されている他組織を経由し、標的企業へ攻撃が到達する手法だ。とくにネットワーク接続している他組織からの侵入は防御が困難なものとなる。

2022年に発生したトヨタ自動車の仕入先で、自動車の内外装部品の生産を行う小島プレスの事例と大阪急性期総合医療センターの事例がある。小島プレスの事例ではその子会社、大阪急性期総合医療センターの事例では入院患者への食事などを委託していた給食事業者から接続していたネットワークを経由してランサムウェア攻撃で侵入した。