「IT系サプライチェーン攻撃」が発生しているか？

本コラムでも何回にも渡って解説している情報セキュリティの問題や事件。先日また新たな事件が発生し、世の中を騒がせています。今回の”被害者”は日本の超大手SNSだったため、ニュース性が高く、情報漏洩された人の数も多かったため、かなり注目されているところですが、着目するべきはその発端です。

今回の事件は外部の犯罪者によるアタックと考えられていますが、そのターゲットとなったのが「システム運用を委託していた企業の社員のPC」でした。委託されていた会社は、そのSNS企業及びその親会社のクラウドサービス会社の両方の業務を受託していたとのことですが、私の見立てでは、これは「IT系のサプライチェーン攻撃」と呼んでも良いのではないかと思っています。

サプライチェーン攻撃とは、サイバーセキュリティ対策が高度に進んでいる大企業を直接攻撃することは難しいので、その取引先の中小企業を狙い、大企業の情報を奪取したりするなどの犯罪の総称です。サプライチェーンですから、モノの取引網を狙ったもので、日本でも自動車会社系列が狙われる事件が相次いで話題となりました。

もし、今回犯人が日本のＳＮＳを狙うために親会社のシステムをメンテナンスしている業者を狙ったとすれば、これは高度なサプライチェーン攻撃と呼んでも良いと思います。結局これの対策を取ろうとすると、親会社やクラウド側のセキュリティ対策をとる必要に迫られ、かなり大規模なアクションをとらなければならなくなります。

中小企業の場合、これらのアクションを実行に移すことは非常に難しいことだと思いますが、自社のシステムの運営を外部に委託しているのであれば、少なくともその委託先のセキュリティについては自社でも十分な監査や管理をしなければなりません。「ソフトウェアの専門家が大勢いる会社に委託しているのだから自分達は何もすることは無い」という勘違いは間違いのもとです。これらの会社の従業員は当然複数のクライアントの仕事を兼務していますので、一台のＰＣに複数の会社のシステムへのアクセス権が設定されているかもしれません。そうなると、どこか１社を狙うためにこのＰＣを乗っ取られたりした場合、まったく無関係の会社にも被害が及ぶと思っても間違いではないでしょう。

このような関係性については理論的には理解できても、「ではこれをやれば良い」という具体的なアクションには直結させにくいものです。「このような事件もあったのだ」ということを頭に置き、リスクに対して常に気を付けることから始めるのが現実的だと思います。

この事件、まだこれからもっと具体的な事実が明らかになってくることを期待していますが、手口は流行してほしくないものです。