「サプライチェーン」を狙った攻撃に要注意

IPA(独立行政法人情報処理推進機構)は、2019年1月末に「情報セキュリティ10大脅威2019」を公開しました。この資料は、昨年に発生した社会的に影響が大きかった情報セキュリティにおけるトピックを順位付けしたもので、これまでに当レポートでも何度か紹介してきました。
その後、3月20日にIPAから「簡易説明資料組織編」が追加公開されましたので、その内容も含め「個人」と「組織」にジャンル分けされている中から初めてランクインした脅威についてそれぞれ1件ずつをピックアップしてみたいと思います。

個人向け：メール等を使った脅迫・詐欺の手口による金銭要求（4位）
組織向け：サプライチェーンの弱点を悪用した攻撃の高まり（4位）

個人向けの「メール等を使った脅迫・詐欺の手口による金銭要求」の脅威では、『アダルトサイトを閲覧している姿を撮影した映像をばらまくと脅迫するメールや有料サイトの未納料金を請求するメールを受信し、その内容を信じてしまい仮想通貨等を騙し取られる被害が発生している』と述べられており、昨年急増した俗に言う「セクストーション・スパムメール」を一例として挙げてあります。ちなみに、セクストーションとは、「Sex」（性的な）「Extortion」（恐喝）を組み合わせた造語です。また、ここには記載はありませんが「宅配便業者をかたる偽SMS」も横行しました。

特に注目すべきなのは、組織向けの脅威です。「サプライチェーンの弱点を悪用した攻撃の高まり」の脅威の項では、『商流に関わる複数の組織群をサプライチェーンと呼ぶ。また、組織が特定の業務を外部組織に委託している場合、この外部組織もサプライチェーンの一環となる。業務委託先組織がセキュリティ対策を適切に実施していないと、業務委託元組織への攻撃の足がかりとして狙われる。』と述べられています。

この記述だけでは分かりづらいので、IPAは前述したように、「簡易説明資料組織編」を追加で公開し、「サプライチェーンの弱点を悪用した攻撃の高まり」に関しても24～28ページに記載しています。ここでは、「概要」「要因」「2018年の事例/傾向」「対策」と、バランス良く記述されています。
注目すべき「課題」では、委託元組織の被害の予防策として、以下のように記述されています。

- 業務委託や情報管理における規則の徹底
- 信頼できる委託先組織の選定
- 委託先からの納品物の検証
- 契約内容の確認
- 委託先組織の管理

この中でも、特に予防策として重要なのは「信頼できる委託先組織の選定」だと考えます。但し、この策自体は正解なのですが、具体的なプランに落とそうとした際に手が止まってしまうことも事実です。実は、サプライチェーンリスクは、特に米国では数年前から問題視されており、中でもマネージドサービスプロバイダ（MSP）のリモート管理用のネットワーク経由での攻撃者の侵入が大きな脅威となっています。

そうした中、National Cybersecurity and Communications Integration Center（NCCIC）は、「Alert (TA18-276B) Advanced Persistent Threat Activity Exploiting Managed Service Providers」を公開しています。MSPを選定する際に注意すべき詳細なポイントを、チェックリスト替わりに使用出来るレベルで34項目に渡って記述しています。こうした具体的なサプライチェーンリスクへの予防策にも目を通すことが重要です。

《参考情報》