Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

サプライチェーン攻撃をいかに防ぐか

 日経新聞の2月11日記事にサプライチェーン攻撃が取り上げられていました。

www.nikkei.com

サプライチェーン攻撃と聞くと、私がまず真っ先に思い浮かべるのが、Targetと、日本年金機構の事件です。Targetはベンダーネットワークへの空調会社のクレデンシャルが盗まれて内部ネットワークに侵入され、日本年金機構は地方職員がマルウェアに感染し、その後東京本部職員もマルウェア感染というケースでした。

 

参考:

d.hatena.ne.jp

本社サーバはしっかりセキュリティ対策が打たれても、ガードが甘い子会社や関連会社が狙われたらどうなるのか?そうした思想が多くの企業と連携している企業には必要となってきています。

とは言えサプライチェーの下位にある企業ではお金も人材も無いかも知れません。場合によってはITスキルの無い従業員が親会社ネットワークに入る重要なIDとパスを持っているかも知れませんし、そうでなくてもビジネスメールが盗まれてしまうと、親会社従業員に対する、より精度の高いフィッシングメール(APT攻撃)の文面を作らせてしまう事になるかも知れません。それがサプライチェーン(下位)を攻められると怖いところです。

 

サプライチェーン攻撃の怖さが想像がつかない方も多いかも知れません。例えばこんな風に考えてみたら想像つくでしょうか。

セキュリティが甘い地方空港Aで『爆弾を作れる化合物1』を機内に持込み、同じくセキュリティの甘い地方空港Bで別な人が『爆弾を作れる化合物2』を機内に持ち込みます。2人が、羽田空港で合流し『化合物1』と『化合物2』から『爆弾』を作り、羽田空港一番人が多い所で爆発させ大きなテロ被害を出させます

勘が良い方は気づかれたと思いますが、地方空港Aに2人を揃えられれば”爆発”は実現します。ですが被害は地方空港Aの小規模な範囲でしかありません。テロリストの目的が『被害を出す』事だとすれば、羽田空港の方が”大きな成果”が残せます。ですが羽田空港に最初から2人を揃えてしまった場合、高度なセキュリティにひっかかってしまうリスクも大きいと言えます。地方空港ABが日本国内、ルートによっては全世界と繋がっている訳ですから最初の持込が成功していれば、日本の地方空港からスタートして、海外の空港でも大きな被害を出させる事もできるかも知れません。

これが弱い(下位の)サプライチェーンから、上位の大手企業を狙う手法だとすれば、個人情報や金融資産だけでなく、設計図、新製品情報、カタログ値、製品戦略、原価等々の重要なビジネス情報すら脅威に晒されているといえるかも知れません。

 

それでは、サプライチェーン攻撃をどう防いでいくべきなのか、エンドポイント対策などは当たり前として、まずはお金のかからないところでは教育だと思います。フィッシングメールは未だ多くの企業に大量にばら撒かれていると思いますが、リンク情報を踏む、あるいは添付ファイルを開いてしまう従業員を絶滅させるのは非常に難しい事です。例えば注意力散漫な状態(徹夜明け)であれば私も大丈夫とは・・・とても言えそうにありません。それでも教育によって、従業員がひっかかる率は軽減できますし、マルウェアに感染してもすぐ対処できれば、被害を最小限にする事ができるでしょう。

そうした対策の上で考えられるのは、、、やはり親会社、子会社、、といったサプライチェーン企業の信頼を信じない事かも知れません。相手が偽装・詐称している可能性を考えて、例えば証明書をお互いにセットする。ビジネスの根幹であるサプライチェーンを守るためなのですから、欧米企業並みに相手を(盲目的に)信じないセキュリティ思想が必要なのではないでしょうか。

 

参考:

foxsecurity.hatenablog.com

 

三次下請けのイラスト

 

更新履歴

  • 2018年2月17日 PM(予約投稿)