原料調達をして商品製造され、物流網に乗って消費者に届く。この一連のつながりがサプライチェーンだが、このサプライチェーンを悪用したサイバー攻撃を文字通り「サプライチェーン攻撃」と言う。
現在、このように呼ばれる攻撃は2種類ある。まず1つは、IT機器やソフトウェアの製造過程でマルウェアに感染させたり、バックドアを仕込んだりしておく方法。アップデートプログラムやパッチに埋め込んで感染させる方法もあり、2017年には、システムクリーニングツールである CCleaner が改ざんを受け、マルウェアが混入されたことがニュースになった。これは「ソフトウェアサプライチェーン攻撃」とも呼ばれる。
もう1つは、ターゲット企業のグループ会社、業務委託先、発注先、仕入れ先などを攻撃し、それを足がかりにターゲット企業に侵入する方法もサプライチェーン攻撃と呼ばれる。特にセキュリティ対策が強固な大企業は侵入が難しいことから、それよりも小規模で、対策があまり行き届いていない企業を狙うことが多い。
独立行政法人情報処理推進機構(IPA)の「サイバーセキュリティ経営ガイドライン」で、経営者が認識すべき3原則の2番めに「自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」と記載されている。自社のセキュリティ対策の強化だけでなく、サプライチェーンも含めてセキュリティ対策の強化が今求められていることを認識しておこう。
