ENISAがサプライチェーン攻撃に関するレポートを発表、今後も悪化・増加の一途と予測

▼ ニュースのポイント
①ENISAが最新サプライチェーン攻撃の脅威状況に関する分析レポートを公開した。
②66％の攻撃者がサプライヤーコードを狙っていた。
③今後も複雑化と悪化の一途が予測され、多元的保護対策が必要と訴えている。

最新24件の攻撃事例を分析

　欧州ネットワーク・情報セキュリティ機関（European Network and Information Security Agency・ENISA）は現地時間の7月29日、最近の24件の攻撃事例を分析したレポート「Threat Landscape for Supply Chain Attacks」（サプライチェーン攻撃に関する脅威の状況）をまとめ、公開を開始した。

　それによると、攻撃者の主要な関心はサプライヤーへと移っており、従来のような組織ごとの一元的セキュリティ保護では、いかにその強化策をとっても不十分だとされている。

　サプライチェーン攻撃は、1社または複数のサプライヤーへの攻撃と、最終ターゲットとなる顧客企業、親会社などへの攻撃で構成され、目的達成までに数カ月を要することも珍しくない。通常、攻撃者にとっての標的は絞られているものの、直接そこを狙うことなく、取引先や業務委託先など、組まれたエコシステムの中の比較的手薄なところから着手する。

　きわめて複雑でコストもかかるが、高度な技術をもって事前に綿密な計画を立て、実行されているとみられる。潜伏期間が長く、発見されぬままに影響が広がってしまう場合もあり、幅広く膨大なターゲットへと与えられる攻撃影響の可能性は無限大と言っても過言ではないことから、昨今の攻撃スタイルとして一般的になってきている。

多元的な協調行動で対策する必要性が増加

　ENISAの分析によると、調査対象となった攻撃事例の約66％で、攻撃者はサプライヤーのコードに着目し、そこを標的とすることで組織への侵入を図っていた。

　また、分析されたサプライチェーン攻撃の66％で、サプライヤーはどのように侵害されたか把握していないか、つながる顧客や組織へ被害の報告を行っていなかったという。一方で、被害を受けた顧客のうち、攻撃の発生原因を知らなかったのは9％未満で、サプライヤーとの間には、サイバーセキュリティのインシデント報告に関する深刻な成熟度ギャップがあることも判明した。

　対象となった攻撃事例の約58％において、標的とされた資産は、個人が識別できるパーソナルな詳細データ（PIIデータ）や知的財産を含む顧客企業のデータが主なものとなっていた。62％では攻撃手法としてマルウェアが用いられている。

　攻撃に用いられたコードやエクスプロイト、マルウェアは、多くのケースで高度なものではないものの、計画性や実行方法が高度で複雑だったともされた。24件のうち11件は、既知のAPT（Advanced Persistent Threat）グループによって実行されたとの指摘もなされている。

　2021年にはサプライチェーン攻撃が昨年に比べ、4倍になるとも予測されており、早急に対応が必要な状況となっている。攻撃が発生した場合に生じるシステムのダウンタイムや金銭的損失、風評被害など、昨今の連鎖する被害や影響が甚大化していることからも必要性の高さは明らかだろう。

　サプライヤーへの攻撃影響は広範囲に及ぶ可能性があり、対象企業から機密情報が流出して国家の安全が脅かされたり、地政学的影響が生じたりするリスクもあることから、ENISAは現状に強い懸念を示している。

　レポートでは、サプライチェーンのサイバーセキュリティリスクを管理し、サプライヤーとの関係を適切に管理するため、具体的な提言も顧客側、サプライヤー側のそれぞれに対してなされている。

　EUレベルでの連携も呼びかけられ、これまで以上に多元的なセキュリティへの取り組みが必要となっている。

（画像はプレスリリースより）


▼外部リンク

ENISA　プレスリリース
https://www.enisa.europa.eu/news/enisa-news/

▼ 組織概要
ENISAは欧州連合（EU）の専門機関の1つで、EU内におけるネットワークと情報セキュリティ環境の改善を目的として活動している。市民や企業、公共組織のため、好ましいネットワークと情報セキュリティ文化を発展させ、EU内の市場機能を円滑に機能させることも使命としている。

組織名：European Network and Information Security Agency
Executive Director：Juhan Lepassaar
本部所在地：ギリシャ・イラクリオン