SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

「脆弱性は攻撃者にとって“魔法の杖”」岡本勝之氏に訊いた、活発化するサプライチェーン攻撃と対策

セキュリティ水準の低さがビジネス機会の損失に直結か

 企業を取り巻くサイバー脅威が巧妙化する中で、サプライチェーンを狙ったサイバー攻撃の被害がしばしばニュースとなり、関心を集めている。また、ランサムウェアやマルウェア「Emotet」、ゼロデイ脆弱性を狙う攻撃なども活発化している。この状況で、企業はどのような考えでサイバーセキュリティ対策を構築していくべきなのか、トレンドマイクロのエバンジェリストである岡本勝之氏に話をうかがった。

「サプライチェーン攻撃」の意味が拡大している

 岡本氏は、1996年の入社以降、25年以上にわたりウイルスの解析や情報収集などを行ってきた。最近ではセキュリティエバンジェリストとして、解析などの経験を生かしたサイバー脅威に関する情報発信を担当している。サプライチェーン攻撃についてうかがうと、岡本氏「最近では、サプライチェーン攻撃の意味が広がっています」と前置きした。

 サプライチェーン攻撃といえば、元々はソフトウェアの開発環境を狙う攻撃を指していた。ソフトウェア開発の上流工程でマルウェアを組み込み、それを使ったユーザーのPCが感染してしまうというものだ。最近では、SolarWinds社への攻撃によって日本を含む世界中で被害が発生したことも記憶に新しい。

トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏
トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

 現在はソフトウェアからサービスへと移行しているが、そこでも同じような形で被害が発生している。サービスを提供する事業者が攻撃を受けて、そのサービスを介して侵入される。これもサプライチェーン攻撃のひとつだ。あまり報道されていないが、実際には日本でもいくつかの被害例があるという。

 そして今、広く言われているサプライチェーン攻撃が、企業間や組織間における業務のつながりを利用して侵入するもの。日本では、本社のガバナンスが十分に効いていない海外拠点などが侵害されてしまうケースが増えているという。本社と海外拠点はネットワークでつながっているため、それを経由して本社に侵入されてしまい被害が拡大する。

複数ある「サプライチェーン攻撃」
複数ある「サプライチェーン攻撃」
[画像クリックで拡大]

 「海外拠点から侵入するパターンは、標的型攻撃でも確認されています。この攻撃は特定の企業や組織の重要情報を狙う高度なもので、背景に国家組織がいるとされています。実際に、トレンドマイクロが調査あるいは対応した事例でも判明しています。また、取引先が攻撃を受けて、そこからなりすましメールが送られてくるような攻撃も、最近ではサプライチェーン攻撃に含まれることも増えました」(岡本氏)

 高く売れる重要情報をもっているのは、大企業やグローバル企業であることが多いだろう。しかし、こうした企業はセキュリティも堅牢に構築しており、侵入することは難しい。そこで攻撃者は、関連会社も含めて一番防御の弱いところを狙っていく。部品の供給元が攻撃されることで、ビジネス全体が影響を受けてしまうリスクは以前から指摘されていたが、それが現実のものになってしまった。

次のページ
侵入に成功すると、その経路を販売するケースも

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

岡本 拓也(編集部)(オカモト タクヤ)

メディア部門 メディア編集部 EnterpriseZine編集を担当

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16608 2022/09/27 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング