自社も無関係ではない!?大手企業を狙ったサプライチェーン攻撃とは?
2020年に入って早々、某大手企業がサイバー攻撃を受けて機密情報や技術情報が流出した可能性があるというニュースが入ってきました。 情報では、企業の国内外でパソコン120台以上、サイバー40台以上に不正アクセスの痕跡があったとのことで、被害は全社的な規模に及ぶそうです。
ここで重要なのは、「どのようなルートで不正アクセスが発生したか」ということです。
東証一部上場、資本金約1千700億円以上の超大手が、サイバーテロに対する防御策を講じていないはずがなく、むしろ専門的な分野でもある企業です。
それではなぜ、大手企業がサイバー攻撃の被害に遭ってしまったのでしょうか?
それは恐らく「サプライチェーン攻撃」によるものではないかと推測できます。
大手企業を狙った「サプライチェーン攻撃」とは?
「サプライチェーン」とは、原料を調達して商品を製造、物流を通して消費者に渡る一連の流れを言います。 そしてサプライチェーン攻撃とは、上記の「供給の連鎖」の過程を狙ったサイバー攻撃です。
セキュリティが強固な大企業を直接狙うのではなく、セキュリティが甘い関連会社や業務委託先、発注先、仕入先などを先に攻撃し、その企業を踏み台として大企業に侵入したほうが、より効率的に攻撃することが可能だからです。
情報には「中国にある関係会社から始まり、日本国内の拠点に広がった」とあります。
関連会社からのアプローチで国内の社員アカウントを乗っ取り、そこから徐々に権限のある上層のアカウントを乗っ取っていくことで、大量の機密情報を入手・漏洩させることができたのではないでしょうか。
中小・零細企業も他人事ではないサイバー攻撃
今回の件ではセキュリティレベルの低い関連会社が狙われ、そこから大手企業へのサイバー攻撃と発展したと予想できます。 これは決して他人事ではなく、自身の会社でも起こり得る事案です。
特に大手企業や有名企業との取引があるのであれば、会社規模に関係なく自社が攻撃の対象となります。
万が一不正アクセスを許し事態が拡大してしまった場合、自社だけでなく取引先にも影響を及ぼし、多大なる損害や信用問題にも発展する可能性があることを十分に理解しておく必要があります。
サイバー攻撃の被害に遭わないためには?
サイバー攻撃による被害を出さないためには「サイバー攻撃に関する情報の従業員への周知徹底」と「通信制御機器によるアクセス制限」が重要になってきます。
実はサイバー攻撃の被害の過半数は、「誤ってマルウェアを起動した、または不正サイトをクリックした等の人為的ミス」によって引き起こされています。
近年よく耳にする「取引先を装ったスパムメール」は心理的な隙を突いた偽装メールであり、、取引先からのメールだと思って開いた添付ファイルが、実はマルウェアだったということが引き金になっています。 送り主が良く知る取引先であっても、内容に不審な点がある場合は決してクリックはせず、当人に確認を取る等の対処が必要です。
スパムメールの対処方法については、自社に務めている従業員全員に周知させることが一番重要です。
また、OSやソフトウェアの脆弱性(セキュリティホール)等を狙ったゼロデイ攻撃も存在するため、インターネット通信の監視と外部データの取り扱いには十分に気をつけなければなりません。
進化し続けるサイバー攻撃に対しては、外部からの不正アクセスを遮断するUTMや、情報をしっかりと守れるデータサーバーの導入が最適解となります。
『あの時しっかりと対策しておけばよかった・・・』と後悔する前に、サイバー攻撃に対する備えをしっかりと整えましょう。