商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群をサプライチェーンと呼ぶ。

このサプライチェーンの関係性を悪用し、セキュリティ対策の強固な企業を直接攻撃せずに、その企業が構成するサプライチェーンの中でセキュリティ対策が手薄な関連組織や利用サービスの脆弱性等を最初の標的とし、そこを踏み台として本命の標的である組織を攻撃する手口がある。

関連組織に預けた情報が漏えいしたり、本来の標的である企業が攻撃を受けたりすることで被害が発生する。

攻撃方法

● 取引先や委託先が保有する機密情報を狙う

● ソフトウェア開発元や MSP 等を攻撃し、標的を攻撃するための足掛かりとする

被害例１

2021 年 4 月、国内の光学機器メーカーHOYAの米子会社がランサムウェア攻撃を受け、約 300ギガバイトの財務や顧客情報等が窃取され、ダークウェブ上のウェブサイトに公開されていることが明らかになった。「アストロチーム」と名乗るサイバー犯罪グループが本件の犯行声明を出している。

被害例２

2021 年 9 月、建設コンサルティングのオリエンタルコンサルタンツは 8 月に受けたランサムウェア攻撃により連結業績で約 7 億 5000 万円の特別損失を計上すると発表した。同社に業務を委託していた東京都や千葉県市川市が、貸与していたデータも被害を受けた可能性があると発表している。

対策

● 取引先や委託先の情報セキュリティ対応の確認、監査

● 情報セキュリティの認証取得ISMS、P マーク、SOC2、ISMAP 等を取得し、必要な運用を維持するよう定期的に見直す。