事例で学ぶセキュリティインシデント（第13回）対策が脆弱な業務委託先が狙われるサプライチェーン攻撃

公開日：2024.06.17

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　工作機械部品を製造するM社。大阪工場の製造課長が出社後、いつものように生産管理システムを立ち上げようとしたところ、パソコンがなかなか起動しない動作異常のトラブルに見舞われた。本社のIT担当者に連絡したところ「ウイルス感染かもしれません……。そちらに伺いますのでパソコンの電源を切り、社内ネットワークから切り離してください」と告げられ、電話が終わった。そして、IT担当者は工場へ向かう社用車のハンドルを握りながら、サプライチェーンを構成する取引先にウイルス感染が広がっていないことを祈った。

サプライチェーン攻撃が2位にランク

　M社は大手工作機械メーカーのサプライチェーンを構成する1社として、長年、工作機械の部品を製造してきた。サプライチェーンでは、製品の企画・開発から部材の調達、製造、物流、販売、決済まで企業の枠を超えて連携。大手から中堅・中小企業まで、さまざまな企業が自社の技術力や得意分野を生かしながらチェーンの一端を担う。

　そのサプライチェーンを狙った攻撃が深刻になっている。IPA(独立行政法人情報処理推進機構セキュリティセンター)が公表している「情報セキュリティ10大脅威2024」(組織)では、1位の「ランサムウェアによる被害」に続き、「サプライチェーンの弱点を悪用した攻撃」が2位にランクされている。これは攻撃者が標的とする企業・組織のセキュリティ対策が強固で直接的な攻撃が難しくなり、対策が脆弱な企業を踏み台にして間接的に標的の企業を狙うものだ。サイバー攻撃の踏み台となった企業は、サプライチェーンを構成する他の企業にもウイルス感染や機密情報の窃取といった被害を広げるなど、意図せずに加害者となる恐れがある。

　攻撃者はセキュリティ対策が脆弱な企業を狙い、ターゲットとする企業の機密情報を盗み取るケースもある。例えば、顧客企業のWebサイトのコンテンツ制作・運営を担う業務委託先のセキュリティ対策が脆弱だったことから、委託元のWebサイトのシステムが不正アクセスされ、顧客情報が流出。顧客の個人情報がフィッシングサイトやマルウエア攻撃に悪用されるといった事案もある。業務委託先のセキュリティ対策の不備は業務委託元の企業のみならず、顧客にも被害が及ぶことになる。

委託元の要請に応えられない企業は取引停止も…

　サプライチェーン攻撃を防ぐには、各企業によるセキュリティ対策の状況把握と強化はもちろん、信頼できる業務委託先・取引先を選定することだ。信頼できるかどうかを判断材料として、まず業務委託先や取引先の情報管理規則を確認することだ。そして、業務委託先・取引先とのセキュリティの責任範囲を明確化して合意する。加えて、業務委託先が提出する納品物に含まれるソフトウエアに脆弱性がないかの検証や、業務委託先のセキュリティ対策が継続的にきちんとなされているかどうか、情報資産管理の状況を定期的に確認するといった対策が求められる。

　サプライチェーンの委託元が業務委託先・取引先にセキュリティ体制の整備・強化を求める例は少なくない。対策状況を確認するため、定期的にアンケート調査の形式で業務委託先・取引先のセキュリティ状況を尋ねてチェックしたり、委託元の担当者が委託先・取引先を訪問してセキュリティ対策の要件に合っているかどうか目視で確認したりするケースもある。

　ここまでセンシティブになるのも、万一、業務委託先・取引先から委託元企業の機密情報や顧客情報などが流出する事態になれば、業務委託元としての監督責任が問われるからだ。セキュリティインシデント発生時に社会への説明責任を果たす上でも、業務委託先・取引先を含めたセキュリティ体制の強化が求められる。

　逆に言えば、委託元企業からのセキュリティ強化の要請に応えられない委託先企業は、取引の停止、ビジネス機会の逸失といった事態を招きかねない。これがサプライチェーンに参画する企業の懸念事項とも言えるだろう。

添付ファイルに記載されたURLをクリックしてウイルス感染

　M社のIT担当者は大阪工場・製造課長のパソコンを調べ、ウイルス感染したことを確認した。本社・工場ではウイルス対策ソフトを導入しており、このパソコンがいつ、どのように感染したのか、感染経路を調べなければならない。製造課長に思い当たることはないか尋ねたところ、前日に製造設備の新製品の案内がメールで届き、添付ファイルに記載されていたWebサイトのURLをクリックしたという。

　メールを悪用した典型的なサイバー攻撃の手口といえるが、メールの本文や件名、添付ファイル名は業務に関係しているように偽装されていたため、製造課長は何の疑いもなくURLをクリックしてウイルス感染した。

　IT担当者は同社のシステムをサポートしているIT事業者と連絡を取り、ウイルス感染が他のパソコンやサーバー、社内ネットワークに広がっていないかログを確認した。IT事業者がパソコンを調べたところ、感染したウイルスはランサムウエアとは別のタイプでパソコン内のファイルが暗号化されたり、身代金を要求されたりすることはなかった。

　また、製造課長がパソコンの異常に気が付いてIT担当者にすぐ連絡し、社内ネットワークから切り離したため、他のパソコンやサーバーへの感染被害は免れた。IT担当者はウイルス感染のインシデント発生の経緯を経営層と全社員に報告するとともに、トップの判断でインシデントの発生と対応策をサプライチェーンの大手工作機械メーカーに伝えた。そして、社内のセキュリティ対策を再検討。外部からの脅威をネットワークの出入り口で防御するUTM(統合脅威管理)の導入や、端末レベルでウイルスなどの脅威を検知・防御するエンドポイントセキュリティ、社内ネットワーク経由の感染を検知・防御するセキュリティスイッチなどの導入を検討することになった。　

　セキュリティ製品の導入のみならず、メール攻撃などを防ぐには従業員のセキュリティ意識の向上が不可欠になる。今回のインシデントのように、不審なメールを開かないよう改めて徹底するとともに、標的型攻撃メールの訓練を定期的に実施するよう経営層に申し入れた。