サプライチェーン攻撃とは

最近になってサプライチェーン攻撃という単語をよく聞くようになりました。

サプライチェーン攻撃には2種類あり、それぞれの内容やサプライチェーン攻撃の被害についてまとめます。

・ソフトウェアサプライチェーン攻撃

IT機器やソフトの製造段階や更新する段階でマルウェアやバックドアを仕込む攻撃のこと。

・関連組織を狙ったサプライチェーン攻撃

また、大企業のセキュリティを崩すことは難しいことから、対策があまりされていない業務委託先や発注先の会社を攻撃し、大企業に侵入するのもサプライチェーン攻撃と呼ばれる。攻撃の対象は1時請け企業だけでなく、2次請け、n次請け企業を含む。

・サプライチェーン攻撃の被害例1

2017年8月ごろにPC最適化無料ツールである「CCleaner」にマルウェアが混入された状態で配布されました。

CCleanerは正規のダウンロードサーバで配布されていたことから配布元に対するサプライチェーン攻撃だと考えられます。

200万台のPCに不正なアップデートファイルが配信されたとされています。

・サプライチェーン攻撃の被害例2

2017年6月にウクライナのソフトウェアベンダー、MeDocが提供している税務会計ソフトの更新プログラムが悪意を持つ第三者に改ざんされた事例です。ベンダーが行う正規のアップデートだったので分かりづらく、被害はヨーロッパ全土に広がりました。

ABOUTこの記事をかいた人

のっくん

理系院卒で大企業の研究所に就職。 趣味はプログラミング、レアジョブ英会話、筋トレ、旅行。 Twitter:@yamagablog