サプライチェーン攻撃とは、ターゲットとなる企業に直接サイバー攻撃を行うのではなく、関連企業や取引先・委託先企業で見つかったセキュリティの弱点に対して攻撃を仕掛け、この企業を踏み台としてターゲット企業に不正侵入を行うサイバー攻撃のことを指す。サプライチェーンの仕組みを悪用して、標的企業のシステムに侵入する攻撃と言える。
攻撃者は、情報窃取やマルウエアの混入、システムの停止・乗っ取りなどを目的としている。
サプライチェーン(供給網)は複数の企業が関わるため、セキュリティ対策のレベルは企業ごとに異なる。自社で十分にセキュリティ対策を行っていても、踏み台となった企業を経由してさまざまな被害を受ける可能性があるのが、サプライチェーン攻撃の特徴である。
独立行政法人情報処理推進機構(IPA)では、2019年よりサプライチェーン攻撃を、「情報セキュリティ10大脅威」に選定している。
自社のセキュリティ対策だけでなく、サプライチェーンのつながりを含めた対策の強化が重要となる。具体的には次のような対策が考えられる。
IPA産業サイバーセキュリティセンター(ICSCoE)が2024年に作成した「実務者のためのサプライチェーンセキュリティ手引書」には、サプライチェーンにおけるサイバーセキュリティの重要性や実務上の対応策についてまとめられている。
参考:IPA「実務者のためのサプライチェーンセキュリティ手引書」
