サプライチェーン攻撃

昨年末に、あるTV局が放映した関西の中小企業に対するサプライチェーン攻撃のドキュメンタリー番組がありました。その番組の社長のインタビュー中で「まさか私の会社が・・・」「何故、私の会社が・・・」のように自社が攻撃を受けて、大きな損害を出して初めて、情報セキュリティの重要性に気づかれたようです。大企業自身のセキュリティは堅固でもサプライチェーンのセキュリティは防衛力が低い会社もあり、そこから侵入して大企業への突破口になっている報告例も多いようです。
サプライチェーンによる攻撃では、メールによる「標的型攻撃」が大半で、IPA(独立行政法人情報処理推進機構)が2019年1月に公開したレポートの組織編においても、「サプライチェーンの弱点を悪用した攻撃の高まり」が初めて4位にランクインしている状況です。
では、どうやってセキュリティシステムを突破してくるのかというと、ターゲットを特定の組織やユーザー層に絞って行うサイバー攻撃で、そのターゲットに関して知り合いや取引先のふりをして悪意のあるファイルを添付したり、URLリンクを貼り付けたメールを送信し、それを開けるとマルウエアに感染させる攻撃です。
対策は、費用をかければ多くの対策はあると思いますが、先ず、最初に心がけることは
・自分に関係のないメールは開かない!
・宛名のないメールは疑え!
・「脅迫」や「直ぐに」「漏れている」などの文言があるメールに注意!
を心がけて頂き、被害をなくしましょう!

研究員 西村保廣