基礎セキュリティ

サプライチェーン攻撃 Supply Chain Attack

一言でいうと: 標的企業を直接狙わず、取引先や利用中のソフトウェアを踏み台にする攻撃。

詳しい解説

サプライチェーン攻撃は、セキュリティの堅い標的企業を直接攻撃する代わりに、防御の弱い取引先・子会社・委託先や、企業が利用するソフトウェア・サービスの供給元を侵害し、そこを踏み台に本来の標的へ到達する攻撃です。取引先経由の侵入のほか、ソフトウェアの正規アップデートにマルウェアを仕込む手口、広く使われるオープンソース部品への混入などがあります。IPAの「情報セキュリティ10大脅威」でも組織向け脅威の上位に挙げられ続けています。

なぜ重要か / 企業への影響

中小企業にとっては「自社が踏み台にされて取引先に被害を与える」リスクが重大です。大手取引先からセキュリティ対策状況の報告を求められる場面も増えています。自社の対策に加え、利用ソフトウェアの把握(SBOM)、委託先のセキュリティ確認をサプライチェーン全体で考える必要があります。

関連用語