サプライチェーンの弱点狙う攻撃で情報漏洩急増 自社のセキュリティが担保されていても被害

これを情報セキュリティに当てはめた場合、届けられる製品はソフトウェアやサービスとなる。その意味では、サイバー空間におけるサプライチェーン攻撃とは本来、「ソフトウェアサプライチェーン攻撃」と「サービスサプライチェーン攻撃」の2種を指すものだったと言える。

しかし2019年前後から、委託業者への不正アクセスによる情報漏洩や、海外拠点へのランサムウェア攻撃から端を発したシステム停止など、さまざまなサプライチェーンを巻き込んだインシデントが発生してきたことが、サプライチェーン攻撃の中に、「ビジネスサプライチェーン攻撃」の概念が加わるきっかけとなった。

ビジネスを展開するうえで多くの法人組織は取引先や関連会社とサプライチェーンでつながっている。たとえ自社のセキュリティが担保されていても、サプライチェーンでつながっているどこかの組織でインシデントが発生した場合には、その影響が少なからず自社のビジネスにも及んでしまうのが、サプライチェーンリスクの恐ろしい点だ。

「データサプライチェーンリスク」という新たな概念

このようにサイバーセキュリティにおけるサプライチェーン攻撃の概念が広がる中で、昨今「データサプライチェーンリスク」という新たな概念が注目されている。

業務の委託、請負といった組織間の関係性の中で、業務上の必要性から他組織に渡したデータが漏洩してしまうリスクだ。

データサプライチェーンリスクに関連する2024年の事例としては、情報処理サービス、コンピュータ用紙の製造・販売を展開する企業、イセトーのランサムウェア攻撃の被害がある。

この事例では、イセトーが業務を請け負っていた50以上の委託元組織に情報漏洩の被害が拡大した。委託した情報が漏洩する事例自体は以前から発生しているが、被害の大規模化により再び大きな課題として注視され始めている。