2018年02月21日
新たな警戒を ~ サプライチェーン型攻撃
セキュリティ・コラム by MM総研所長 中島洋
新たな警戒を ~ サプライチェーン型攻撃
企業の情報セキュリティ責任者として看過できないサイバー攻撃の手口が広がっている。海外の専門家の間で2018年に拡大するのではないかと懸念されている「サプライチェーン型攻撃」である。自分の企業の中のシステムはがっちり守っていても、日常の取引先を装って、あるいは取引情報のルートを伝って侵入してくる攻撃である。
実は、すでにその攻撃は顕著になってきている。昨年、猛威を振るった「ワナクライ」もこの「サプライチェーン型」だった。企業システムにウイルスを侵入させて、重要な情報ファイルに勝手に暗号をかけて閲覧不能にし、暗号開錠情報を渡す代わりに多額の金銭を要求する「ランサムウェア」の一種だが、世界150カ国に広がった規模の大きさで衝撃を与えた。短時間に感染が広がったルートをたどると、まさに取引先ネットワークを利用したものだった。次から次へと企業システムや社会システムを伝って伝染していった。
ビジネスメール詐欺と呼ぶ事件も起きた。日本の大手航空会社、中堅航空会社2社の被害が報告されている。取引先を装った発信元がリース料金の振込先の変更を指示してきた。発信元がいつもの取引先だったので、担当者は指示に従って指定の新口座に送金を行い、大手航空会社は4億円近い詐欺被害にあった。これも普段の取引ルートを使ったサイバー事件である。
ところで、問題はもっと重大なところにあるようだ。かつて「2000年問題」が起きた危機と同様の問題が将来、顕在化しそうなのだ。「2000年問題」では、社内で取り扱う年号データを2ケタから4ケタに修整する作業を終え、ほっとしたシステム担当者に次の問題が襲来した。取引先から来るデータが2ケタでは対応できない。そこでサプライチェーンをさかのぼって取引先すべてに4ケタへの修整を要請し、それを確認する、という作業である。
問題を提起しているのは米国国防総省である。
米国国防総省は取引先に「CUI」(Controlled Unclassified Information=管理すべき重要情報)と呼ばれる情報の保護を義務付けた。それ自体は機密情報には当たらないが、関係しているものを集めてゆけば機密が特定される可能性のあるような情報である。取引先の情報システムの安全性はもちろんだが、納入する部品や製品に義務付けた。
CUIを扱う企業は、サイバー攻撃から守る対策や手順を策定することを求められる。米国の場合は国防総省が決めたルールや規格が取引産業、企業を通じて全産業界のルールや標準に発展してゆくケースが多い。現在は軍関係の航空機や軍装備品が中心だが、いずれは産業界が同様の保護を求めてくる可能性が大である。
特にサイバー攻撃の標的になると大きな影響が出る電気自動車やネット家電製品に係るものは厳格な情報管理が求められてゆくことが予想される。何らかの形で悪用される可能性が考えられるものは、部品レベルに至るまで機密情報が特定されないように断片的情報も保護しなければならない。
情報の保護はサプライチェーン全体で考えてゆかなければ安心できない。どこかに弱い部分があってはいけない。攻撃する側は断片を集めて機密情報を再構成してしまうかもしれない。部分を疎かにしてはいけないのである。サプライチェーンの各部分でデータ保護を徹底しなければいけない。
欧米ではこうして保護基準が厳しくなっている。これに対応できなければ欧米への製品輸出もできなくなるかもしれない。「サプライチェーン型サイバー攻撃」の及ぼす影響範囲は拡大してゆくことが予想される。どのような影響が現れるのか、至急、検討し対策を講じければなるまい。
ZenmuTech からのコメント by CTO 友村清
今までは、企業毎のシステムやネットワークのセキュリティに対する脆弱性を突いたサイバー攻撃への防御でした。企業間ネットワークの発達によって、「サプライチェーン型攻撃」のように企業間のネットワークに参加している企業全体を巻き込んだサイバー攻撃が出現しました。これに対して、大企業のようにすぐに対策をうてる会社はよいですが、中小企業にとってはすぐに対策を打つことができません。国家レベルで、データに関するインフラを見直す必要があります。
データ保護の観点から、その対策のひとつとしては、「情報を守る」という今までのセキュリティの考えから、「情報の無意味化する」という新しいセキュリティの考えの導入することです。「情報の無意味化する」とは、秘密分散技術などを用いて、情報を秘匿・分散化することで、分散化されたものだけでは何の役にも立ちませんが、必要な分散片が集まることで復号化されて役立つ情報になることです。