ここ1~2年の間、IT関連サービスを提供する会社のソリューションがサイバー攻撃者に乗っ取られるというインシデントが世界中で多発している。このため、当該サービスを利用するユーザーが情報漏洩やシステムダウンの被害に遭い、大きな問題となっている。
日本においては、ソリトンシステムズが提供するファイル共有ストレージサービスがサイバー攻撃によって脆弱性を突かれるという事件が発生した。2021年4月、ユーザーであった内閣府が、保存していたファイルを不正に操作される状態になっていたと公表したことで発覚した。また2021年5月には、富士通が提供するプロジェクト情報共有ツールが第三者からの不正アクセスを受け、顧客から預かった情報の一部が不正に窃取されたと同社が明らかにした。
海外に目を向けると、米SolarWinds社が提供するシステム管理ツールにバックドアが仕掛けられていることが2020年に発覚。このツールは世界中で数十万のユーザーに利用されており、米国連邦政府機関のほか、地方や州政府機関を含む1万8000以上の公的および民間組織が影響を受けた。さらに2021年7月には、ITネットワークとデバイスをリモートから管理するために使用される米Kaseya社のソフトウエアが脆弱性を突く攻撃を受け、ランサムウエアに感染。このシステムツールを利用する1000を超えるユーザー企業がシステムダウンに追い込まれた。
真のサプライチェーン攻撃とは?
サイバー攻撃者は、こうしたサービス提供会社(MSP:Managed Service Provider)を執拗に狙う「MSP攻撃」を増やしている。攻撃者から見ると、ITサービスを提供するMPSを攻略した後に多くのユーザー企業を攻撃できるからだ。サービスを利用するユーザーからすると、サプライヤーであるMSP経由で攻撃を受けることになる「サプライチェーン攻撃」が増えてきていると言える。
これまでは、商流にある組織のうち、取引先企業や子会社などセキュリティの脆弱な組織を最初のターゲットとし、最終的に本社のシステムを狙う攻撃のことを「サプライチェーン攻撃」と呼んでいた(図1)。現在、このような攻撃は「アイランドホップ攻撃」(島巡り攻撃)と呼ばれている。
