サプライチェーン攻撃

サプライチェーン攻撃とは、自社を直接狙うのではなく、取引先・外注先・ソフトウェアベンダーなど「つながりのある第三者」の脆弱性を突いて侵入するサイバー攻撃の手口です。たとえば、中小の部品メーカーのシステムに侵入し、そこを踏み台として大手自動車メーカーの社内ネットワークへ不正アクセスするケースが典型例です。セキュリティ対策が手薄な取引先を「裏口」として悪用するため、被害を受ける本命企業は自社では何も悪いことをしていなくても被害に遭います。

近年はAIを活用した攻撃ツールが普及し、攻撃者は標的となる組織を自動的に絞り込めるようになっています。規模が小さいからといって安心はできず、大企業との取引実績がある中小企業ほど狙われやすい状況です。具体的な侵入経路としては、取引先が提供する業務システムへの不正なコード埋め込み、共有クラウドサービスの乗っ取り、メール経由のマルウェア拡散などがあります。

対策としては、取引先のセキュリティ水準を契約時に確認すること、外部業者に付与するシステムアクセス権限を必要最小限に絞ること、ソフトウェアは公式ルート以外から入手しないことが重要です。「信頼できる相手からの接続だから安全」という思い込みを捨て、すべての接続を疑う姿勢が現代のセキュリティの基本です。