サプライチェーンセキュリティに対処するために必要な心構え
サプライチェーンセキュリティを検討する際、多くの企業・組織はいわゆる「境界防御」に注力しがちだが、西川氏はその限界を指摘する。
「たとえばメールを用いた攻撃の場合、境界だけをちゃんと守っていれば大丈夫とは言えません。メールはビジネスにとって必要不可欠なツールであり、その経路を境界防御で完全に塞いでしまうことは困難ですから、ユーザーはどうしてもメール経由の脅威にさらされ続けることになります」(西川氏)
また同氏は、「近年ますますサイバー攻撃が多様化している状況も考慮する必要がある」と述べる。攻撃する側が用いる技術も、守る側が守るべき対象も極めて多様化しているため、サプライチェーン全体を網羅したセキュリティ対策を講じることは年々難しくなってきているのだ。
ちなみに、情報処理推進機構(IPA)が2025年1月に発表した「情報セキュリティ10大脅威 2025」では、「サプライチェーンや委託先を狙った攻撃」が2位にランクインしている。これを見て、「やはりサプライチェーン攻撃の脅威は高いんだな」と短絡的にとらえるだけでは、真のリスクを見落とす危険性があると同氏は指摘した。
「たとえば、4位の『内部不正による情報漏えい等』や9位の『ビジネスメール詐欺』、10位の『不注意による情報漏えい等』などは、一見するとそれぞれが独立した脅威に見えますが、実際には互いに密接に絡み合っており、サプライチェーンセキュリティにとっても重要なファクターになり得ます。したがって、サプライチェーン攻撃の脅威に対応するためには、様々な攻撃の間に存在する関連性を見出して、バランスよく取り組んでいく必要があります」(西川氏)
サービスプロダクト推進本部 営業推進部 セキュリティソリューション課 西川礁太氏
見落としがちな「人の脆弱性」もバランスよく対処を
西川氏は近年注目すべきセキュリティ脅威の一例として、「サポート詐欺」と「RDP構成ファイルによるフィッシング攻撃」の2つを挙げる。
サポート詐欺は、インターネット閲覧中に突然偽のエラー画面や警告音でユーザーの不安を煽り、サポート窓口を装った電話番号に連絡させて遠隔操作ソフトのインストールなどに誘導する侵入手法だ。このときにダウンロードされるソフトそのものは正規のリモート管理ソフトウェアである場合が多く、アンチウイルスなどで検知できないものも多いため近年被害が多発しているという。
もう一つの事例は、2024年に米国のCISA(Cybersecurity and Infrastructure Security Agency)が注意喚起した「RDP構成ファイルによるフィッシング攻撃」だ。攻撃者は「.rdp」という拡張子が付いたRDP構成ファイルをフィッシングメールに添付してばら撒き、これを受信したユーザーがファイルを開くと攻撃者のサーバーへ自動的に接続され、端末情報が窃取されたりマルウェアがダウンロード・展開されたりしてしまう。
この脅威の要因を紐解いてみると、実は2種類の脆弱性が存在することが分かる。1つ目は、.rdpという拡張子が付いた不審なファイルがユーザーのメールボックスに届いてしまい、かつそれを実行できてしまう環境に関する脆弱性、つまり「技術の脆弱性」だ。そしてもう1つの脆弱性が、.rdpという拡張子が付いた不審なファイルを、ユーザーがやすやすと開いて実行してしまうという人の行為そのもの、つまり「人の脆弱性」だ。
このように多くのセキュリティ脅威には、「技術の脆弱性」と「人の脆弱性」の2つの側面がある。では、一体どちらの対策を優先させるべきなのか。西川氏は「答えは極めてシンプルで、両方にバランスよく対処していく必要があります」と指摘する。
「技術の脆弱性に対処するために不審なファイルをブロックする仕組みを導入すれば、一時的にはリスクを回避できますが、将来別の種類のファイルを使った攻撃を受けた際に柔軟に対処できません。一方、不審なファイルを開かないようユーザーに教育を施して人の脆弱性に対処しても、年々巧妙化するフィッシングメールをユーザーが100%ブロックできる保証はありません。よって、常に両方の脆弱性に対処していくことが必要なのです」(西川氏)
