サプライ チェーン の 弱点 を 悪用 した 攻撃

サプライチェーン攻撃とサプライチェーンセキュリティとは? 解説と対策


近年、大手の企業では情報セキュリティ対策を徹底しており、サイバー犯罪者の攻撃から身を守ることが必須になっています。 サイバー犯罪者側もターゲットとしては価値の高い情報を持つ大手企業を狙いたいのですが、守りが堅く手が出しづらくなっています。 そこで目を付けたのが、大手企業とサプライチェーンを組む中小企業をターゲットとした「サプライチェーン攻撃」という手法です。 中小企業にとって、サプライチェーン攻撃の恐ろしいところは被害者となり得ると同時に加害者にもなり得てしまうところでしょう。 サイバー攻撃が発端となり、ビジネス上の重要なパートナーである企業との関係にダメージを与えることにもなりかねません。 本ページではサプライチェーン攻撃について、概要、事例、対策をご紹介します。 また、サプライチェーン攻撃を始めとした代表的なサイバー攻撃を、まとめて解説した資料もご用意しています。 サプライチェーン攻撃とは サプライチェーンとは まず、「サプライチェーン」という言葉の意味を確認します。 サプライチェーンとは、商品・製品が作られて消費者に届くまでの、原材料の調達、製造、在庫管理、出荷、配送という一連の流れのことです。 日本では製造業や物流業の分野でよく聞くキーワードです。 また、サプライチェーンを管理することで、スムーズなビジネスの流れを作り効率化するシステムをSCM(サプライチェーンマネジメント)システムと呼びます。 例えば、自動車を作って顧客に販売することを考えると、サプライチェーンの中には自動車の部品を作る企業、自動車を組み立てる企業、自動車の販売を行う販売店、自動車の出荷を行う企業などが存在します。 サプライチェーン攻撃の概要 サプライチェーン攻撃とは、商品・製品のサプライチェーンに含まれる中小企業をターゲットにしてサイバー攻撃の入り口を作り、最終的には大手企業への攻撃を行う攻撃方法です。 サプライチェーンを利用した攻撃方法は、様々な手口が存在しており、それらの総称がサプライチェーン攻撃と呼ばれています。 特定の手口があるわけではなく、サプライチェーンという関係を利用していることがその共通項です。 以下のような事例がサプライチェーン攻撃にあたります。 業務委託先に預けたデータを狙った攻撃• Webシステムを業務委託で作成した際の脆弱性を突いた攻撃• グループ企業の社員によるデータの情報漏えい• システムの管理業務委託先によるシステムの悪用• フィッシングによりメールアドレス窃取し、サプライチェーン相手に対する騙り行為 なお、信頼できる製造元のソフトウェアに悪意のあるプログラムを紛れ込ませて、多数の相手を攻撃する方法もサプライチェーン攻撃と呼ばれますが、本項での対象ではないため説明は割愛します。 サプライチェーン攻撃の恐ろしいところ サプライチェーン攻撃の恐ろしいところは、中小企業の立場からすれば、サイバー攻撃の被害者にもなり得ますが、同時に大手企業から見た場合に加害者の一部にもなり得えてしまうことです。 しかも、相手が自社にとって大きな取引先の場合、信頼関係に大きなダメージを与える事にもなりかねません。 また、セキュリティ対策の進んでいない中小企業を狙うサイバー攻撃であることも見逃せないポイントです。 日本の企業の9割は中小企業といわれており、これまではサイバー攻撃の効率的観点から除外されていましたが、サプライチェーン攻撃ではその隙を狙っています。 流出件数が数千人単位ならば数千万円~数億円という損害賠償額となると想定できます。 さらに他企業の機密情報の漏えいの場合は、より大きな損害賠償額となり、数百億円規模の訴訟が提起された事例も存在しています。 参考: サプライチェーン攻撃の事例 実際のサプライチェーン攻撃の事例を、 プロスポーツ法人の関連Webサイトからの個人情報漏えい 2017年、プロスポーツ法人の業務委託先が、再委託したWebシステム開発・運用において、Webサイトの脆弱性 Apache Struts2 を突いた攻撃を受けました。 この攻撃により、クレジットカード情報を含む最大15万人以上の個人情報が流出した可能性があります。 また、関連したクレジットカードの不正利用の被害額が、報告されただけでも378件、約880万円に上ります。 業務委託で構築したWebシステムが脆弱性を突いたサイバー攻撃を受け、委託元から損害賠償を請求 2014年、通信販売用サイトを業務委託にて開発依頼したものの、脆弱性を突いた攻撃(SQL インジェクション攻撃)が行われ、クレジットカード情報を含む消費者の個人情報が略取された問題が発生しました。 その後、業務委託元の企業から個人情報漏えい対応費用や原因究明のための調査費用、売り上げの減少に対する損害賠償として、約1億円の損害賠償請求を受けました。 最終的には、裁判所に約3230万円分が認められ、相殺分を除いた約2260万円の支払い命令を受ける事態にまでなってしまっています。 このように、サプライチェーン攻撃は、委託元、委託先の間でのトラブルの種にもなり、最悪のケースでは裁判沙汰にも繋がりえます。 中小企業がサプライチェーン攻撃を受けた場合のリスクを示す事例といえます。 金融機関ATM管理業務の委託先社員による不正出金 業務委託先や関連企業による内部不正もサプライチェーンによるセキュリティ攻撃の一つに数えられます。 2014年に金融機関のATM管理業務の委託先企業(再委託)の社員が逮捕されました。 この社員はATM管理業務で管理権限を持つ立場であり、それを悪用して個人情報の略取、キャッシュカードの偽装、不正出金を行ったという問題です。 サプライチェーン上の管理の重要性および権限の集中などの問題を浮き上がらせた事例です。 参考: サプライチェーン攻撃に対する公的機関の動向 政府機関(官公庁) 総務省は令和2年版情報通信白書にて、5G時代の新たなセキュリティリスクとしてサプライチェーンリスクをあげています。 IT、デジタル技術の活用による業務の変革により生まれた新たなリスクとしており、企業や国民に向けて注意喚起を行うものです。 さらには、「IoTサプライチェーンのセキュリティ対策セミナー」などの、企業に向けての対策を示す活動も行っています。...

SBOM普及の本格化~ソフトウェアサプライチェーンの構造的な課題と解決策~


しかし、急速なICT環境の整備は、業務継続を優先したことにより、セキュリティ対策が十分とは言えない可能性あります。 委託元はインシデント対応体制や手順が整備されていない組織が2割以上という結果が出ています 図7。 (1)調査方法 リサーチ会社を利用した郵送アンケートとウェブアンケートの併用 (2)調査対象 リサーチ会社の登録企業データベースから抽出した企業 (3)調査期間 事前調査:2020年11月18日~12月11日 (4)調査項目 テレワークの実施状況、ルールの策定状況、テレワークの実施に伴う業務委託に関する不安など (5)設問数 委託先 IT 企業:45問 委託元企業:44問 (6)有効回答者数 505社 委託先(IT企業)・大規模(101人以上):139社 委託先(IT企業)・中小規模(100人以下):148社 委託元・大規模(301人以上):112社 委託元・中小規模(300人以上):106社 (7)実施者 報告書のダウンロード.。 調査の結果明らかになった主なポイントは次のとおりです。 「情報セキュリティ10大脅威2021」では「サプライチェーンの弱点を悪用した攻撃」が3年連続で4位、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初登場で3位になり、脅威が大きくなっていることが伺えます.こうしたICT環境の変化について、特にITシステム・サービスの業務委託におけるセキュリティの取り決めに与える影響を調査する目的で、個人および企業・組織へのアンケート調査を行いました。

「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」:IPA 独立行政法人 情報処理推進機構


サプライチェーン攻撃と対策のポイント|大塚商会" title="弱点 サプライ 悪用 攻撃 チェーン した を の">
「格納型」は対象となるWebサイトを直接攻撃するもので悪意のあるスクリプトをHTMLに埋め込ませてユーザがアクセスするとスクリプトが実行され偽サイトのページに誘導され個人情報を入力する偽会員登録フォームが立ち上がったりします。 また実際に攻撃されているか痕跡を確認するために「iLogScanner」を利用しWebサーバのログから定期的に解析を行うことで自己チェックによる安全性の確認を実施することが出来ます。 システム運用の大まかな定義は24時間365日、問題なくシステムを稼働させるための業務です。 目的となる取引先の大企業に侵入をし機密情報や個人情報を窃取します。 「RSA SecurID」の情報を持っているEMC社の人的ミスを誘った標的型攻撃メールによる犯行により「RSA SecurID」の情報窃取が実現できました。

サプライチェーンの弱点を悪用した攻撃「サプライチェーン攻撃」とは?


Cortex XDR Prevent & Cortex XDR Pro(旧Traps)とは、日々巧妙化する既知・未知問わないマルウェア・ファイルレス攻撃・エクスプロイト攻撃などを防ぐNGAV機能と、万が一マルウェア感染してしまったとしても検知と対処(EDR)機能も持ったエンドポイントセキュリティ製品です。 ビジネス活動は一社だけで完結しません。 公的機関が公開しているガイドラインの活用 委託先組織の対策・対応• セキュリティの認証取得(ISMS、Pマーク、SOC2など)• 公的機関が公開しているガイドラインの活用 攻撃者に踏み台にされないためにはどうしたらよいでしょうか。 業務の外部委託を検討する際は、委託先組織がセキュリティの認証取得を取得しているかどうかなど確認し、契約中は定期的にセキュリティ対策の実施状況を確認してみることをおすすめします。 脆弱性対策機能のあるエンドポイントセキュリティ対策の導入をご検討の場合、お気軽にJBサービスへご相談ください。

サプライチェーン攻撃とは?中小企業を入り口に大手企業を狙うサイバー攻撃を詳しく解説


中小企業はセキュリティ対策にコストをかけられず、サイバー攻撃に脆弱であるケースが多いためです。 第22条(委託先の監督)は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と規定しています。 サプライチェーン攻撃の仕組みを知り、委託先の企業と連携し、緊密なセキュリティ対策を行う重要性が増しています。 本稿では、サプライチェーン攻撃の特徴や脅威、対策方法について、実際の被害事例をもとに解説します。

オススメ

このスレッドは過去ログ倉庫に格納されています

サッカー 日程 2022クロック ワーク ナイト 遊戯王ジル サンダー t シャツ 偽物 見分け 方

オススメ

このスレッドは過去ログ倉庫に格納されています

サンリオ 展 横浜シャープ クリスタル マスク 口コミスモルビ 新生児