サプライチェーンが狙われている。この事実は日本企業も真剣に考える必要があるかも知れません。
www.sankei.com
米紙ウォールストリート・ジャーナル(電子版)は14日、中国のハッカーが過去約1年半にわたって米海軍の請負業者のコンピューターシステムに侵入し、艦船の保守点検データやミサイル整備計画など、多種多様な情報を盗み出していると伝えた。米軍そのものではなく、サイバー攻撃への防護体制が弱い請負業者を狙うという手口に対し、海軍はサイバー対策の全面的な再点検を強いられているとしている。
同紙によると今年6月、東部ロードアイランド州ニューポートにある「海軍水中戦闘センター」(NUWC)の契約業者がサイバー攻撃を受け、潜水艦搭載用の超音速対艦ミサイルの秘密開発計画が盗み出されたことが判明。ほかにも先端技術開発に携わる米軍研究施設が設置されている複数の大学が標的にされたことが分かったとしている。
(産経新聞記事より引用)
◆キタきつねの所感
最近、色々な所で重要インフラや製造業などのサプライチェーンが危ないと言われ始めていますが、改めてそれを感じる記事でした。
元記事は、WSJだったようですが、国家レベルでのサイバー攻撃(キャンペーン)によって、米国においても米軍の全部門で再点検が必要と書かれています。これがどういった意味を成すのか?日本の防衛産業だけでなく、重要インフラ関連企業は特に自問すべき段階に来ていると言えそうです。
米海軍、中国系ハッカーの標的に 契約業者システムに不正侵入 - WSJ
WSJ記事では直接、米軍と書いている訳ではないのですが、つい先日も中国系ハッカーの記事が出ていました。
jp.reuters.com
2人の米当局者によると、クラウドホッパーは中国公安省に関係があるハッカーが仕掛けていると考えられており、中国が広範な米企業について大量のデータを集めることを可能にしてきた。ターゲットとなっているのは、大規模な独立系データ管理会社や、米企業や政府機関の代わりにデータを管理するクラウドサービス会社・・・
(WSJ記事より引用)
この記事でも良く読むと、サプライチェーンが狙われている事がわかります。データ管理会社、クラウドサービス会社、同じ視点で日本の企業・サプライチェーンに当てはめた場合、重要な情報が漏洩してしまう可能性がありそうなポイントだと思います。
日本では、防衛省がSP800-171を取引企業に求めていく方針が打ち出されていますが、数年かけてサプライチェーン全体のセキュリティを強化していく計画となっています。
www.nikkei.com
一方で今回攻撃を受けていた対象である米軍は、2016年10月に通達を出し、米国防総省の取引サプライヤーは2017年12月31日までにSP800-171順守を義務化しています。つまり、こうしたサプライチェーンを守る取り組みを進めている米軍でも、国家レベルのサイバー攻撃からサプライチェーンが守れてないのが現状なのだと思います。
攻撃側はこうしたサプライチェーン全体を見据えて、対策が遅れているサプライチェーンの末端、あるいは取引サプライヤーではないけれども重要な情報を持ち、セキュリティ対策が甘い大学等の共同研究期間を狙って攻撃をかけている、そんな傾向が現れている様に思えます。
少し古い記事ですが2016年には、防衛医大が(踏み台として)狙われた事件もありました。
www.sankei.com
米海軍は、今回の中国系ハッカーの攻撃を受けてサイバー攻撃に対する脆弱性を総点検する事になったとWSJは報じています。セキュリティ対策では基本中の基本かも知れませんが、特に準備が整ってないサプライチェーンも含めた形で定期的なアセスメントを実施し、リスクを可視化していく事が必要なのだと思います。
更新履歴
