サプライチェーン攻撃 【supply chain attack】
概要
サプライチェーン攻撃(supply chain attack)とは、サイバー攻撃の手法の一つで、標的とする企業などの取引先や製品の納入元を狙い、そこを踏み台にして攻撃を行うこと。サプライチェーンとは複数の企業などが製品やサービス、部品、材料などを供給する/されるという関係で繋がった供給の流れのことで、製造業における「原材料メーカー→部品メーカー→完成品メーカー→販売店」などの構造がよく知られる。
サプライチェーン攻撃はこの供給の流れの中に位置する情報セキュリティ対策の脆弱な企業などのシステムを侵害し、そこを踏み台に供給先や関連先に攻撃を加える手法である。取引先のみに開放されているシステム上の窓口やアクセス権限などを用いる手法と、ソフトウェア製品などにマルウェアやバックドアなどを仕込んで導入させる手法がある。
取引先のシステムを踏み台にする手法は大手メーカーや系列企業などを標的とする攻撃で見られる手法で、セキュリティ対策の甘い中小企業のシステムに侵入し、遠隔操作やマルウェアなどでシステム上の繋がりを持つ大手企業や系列企業群を攻撃する。日本でも大手自動車メーカーが操業停止に追い込まれる被害事例が知られている。
ソフトウェアに悪意のあるプログラムを混入させる手法はオープンソースソフトウェアやセキュリティ対策ソフト(の開発元)などが狙われ、汚染されていると気付かずに導入した組織のシステムを内部から侵害する。ドイツの産業機器大手ジーメンスの製品にマルウェアが混入させられ、気付かずに導入・運用していたイランの核施設が稼働不能に陥ったとされる「Stuxnet」(スタックスネット)事件がよく知られる。
(2023.10.22更新)
関連用語
他の辞典による解説 (外部サイト)
- imidas 時事用語事典 「サプライチェーン攻撃」
- JPNIC インターネット用語1分解説 「サプライチェーン攻撃」
- SOMPO CYBER SECURITY サイバーセキュリティ用語集 「サプライチェーン攻撃」
- Fortinet サイバー用語集 「サプライチェーン攻撃」
- ESETマルウェア情報局 キーワード事典 「サプライチェーン攻撃」
- 東京海上日動 Tokyo Cyber Port 用語集 「サプライチェーン攻撃」
- Proofpoint サイバーセキュリティ用語集 「サプライチェーン攻撃」
- サイバー攻撃大辞典 「サプライチェーン攻撃」
- NECソリューションイノベータ セキュリティ用語集 「サプライチェーン攻撃」
- NRIセキュア セキュリティ用語解説 「サプライチェーン攻撃」
共有ボタンをタップ