サプライチェーンの弱点を悪用した攻撃の高まり
サプライチェーンの弱点を悪用した攻撃の高まり
脅威概要
IPA情報セキュリティ10大脅威2019 ランキング第4位
従来のセキュリティ対策では自社の防御をしっかりとすればサイバーリスクを避けられるという意見が少なくなかった。だが、サプライチェーン攻撃では、別の側面が重要になる。
さまざまな企業との取引において脆弱(ぜいじゃく)な組織や企業が攻撃され、そこから自社に対する攻撃が発生する場合がある。いわば企業間の信頼の環を悪用して攻撃が進んで行きます。場合によっては、製品やサービスの利用者である顧客にも被害が及ぶことがあります。
サプライチェーン攻撃の手法は多岐にわたる。大きく2つに分類すると、不正な部品やファームウェアが組み込まれたハードウェアを利用するものと、ソフトウェアの脆弱性などを利用したものに分かれる。
事例
委託先へのサイバー攻撃①
・男子プロスポーツ法人Aの事案(2017年4月25日業務委託先企業より公表)
・最大約15万5千件の個人情報(クレジットカード情報約3万2千件含む)が搾取(または閲覧)された可能性
・カードの不正利用は、379件、約880万円の被害が報告(5月8日時点)
①悪意のある第三者は、法人Aのwebサーバおよびデータベースに、公開された脆弱性Apache Struts2 をついて不正アクセスし個人情報を搾取
②搾取されたクレジットカード情報が不正使用された
対策(自己を守る方法)
- 適切なアクセス権限管理(やりにくくする)
最小限の原則・重要情報へのアクセス制限 - 持ち出し困難化(労力の割に合わない)
コピー制限、社外へのメールやwebの制限など - 視認性の確保(やると見つかる)
監視カメラの設置、ログの記録、定期的な確認 - ルール化と周知徹底(言い訳させない)
秘密情報に対する認識向上、外部記録媒体の持ち出しルールなど - 働きやすい環境の整備(その気にさせない)
信頼関係の維持・向上など、罰則規定の整備サプライチェーンパートナーとの連携が大切
・何が大事なのか、どう守るのかを決める
・セキュリティ対策情況をどう確認するかを決める
例えば、契約、チェックシート、ヒアリング
その他具体的な事例はこちら
