定義
サプライチェーン攻撃とは、製品やサービスの供給過程(サプライチェーン)に存在する弱点を狙い、間接的に標的を攻撃する手法です。
攻撃対象となるのは最終的な利用者だけでなく、ソフトウェア開発者、ハードウェア製造業者、サービス提供者なども含まれます。
攻撃の特徴
- 直接攻撃ではなく間接攻撃:利用者を直接攻撃せず、取引先や開発元を経由して侵入する
- 信頼を悪用:正規のアップデートや正規の部品にマルウェアを仕込むなど、利用者の「信頼関係」を悪用
- 発見が困難:供給元を経由して侵入するため、セキュリティチェックをすり抜けやすい
代表的な事例
-
ソフトウェア更新の改ざん
SolarWinds社のネットワーク管理ソフト「Orion」にマルウェアが仕込まれ、多数の組織に拡散(2020年)。 -
開発ライブラリの悪用
OSS(オープンソースソフトウェア)のライブラリに悪意あるコードを混入させ、利用プロジェクト全体に被害を及ぼす。 -
ハードウェア汚染
製造過程で不正なチップやファームウェアを仕込む。
攻撃経路の例
- ソフトウェア:アップデート配信サーバやパッケージ管理システムを改ざん
- ハードウェア:製造・物流の過程でマルウェアや不正チップを組み込み
- サービス:委託先ベンダーのアカウント情報が盗まれて不正利用
サプライチェーン攻撃の模式図
-
OSSライブラリ:オープンソースの脆弱なライブラリに悪意あるコードを混入
-
開発元:正規ソフトのアップデートにマルウェアを仕込む
-
サービス提供者:委託先やクラウド業者のアカウントを乗っ取る
-
ユーザー:最終的に感染や情報漏洩の被害を受ける
防止策
- 委託先や取引先のセキュリティ監査を定期的に実施する
- ソフトウェア更新の署名検証(電子署名により改ざん検知)
- ゼロトラストセキュリティの導入(信頼前提をなくし、常に検証)
- 脆弱性情報の定期確認とパッチ適用
- 多層防御:EDR(Endpoint Detection and Response)やSIEMによる監視強化
メリットと課題
-
メリット(防御側)
- 早期にリスクを特定できれば、大規模被害の防止につながる
-
課題
- サプライチェーンの範囲が広いため、すべてを管理するのは困難
- 中小規模の委託先はセキュリティ対策が不十分な場合が多い
まとめ
サプライチェーン攻撃は、
「信頼できるはずの経路」を逆手に取る巧妙な攻撃 であり、
一度侵入を許すと広範囲に被害が拡大する危険性があります。
防御には、技術的な対策だけでなく、取引先を含めた包括的なセキュリティ管理が不可欠です。