セキュリティの
学び場

今回の解説ニュース

海外子会社のネットワーク経由でグループ会社に不正アクセスがあったということです。今回、発生したサイバー攻撃の概要と、サプライチェーンリスクの対策について説明します。今回のインシデントは、個人データが含まれたサーバ等に不正アクセスの痕跡を確認したというものです。

原因はタイ国子会社のネットワークに第三者から不正アクセスがあり、タイ地区からの国際ネットワーク経由で日本におけるグループ各社で利用しているサーバ等にも不正アクセスがあった、いわゆるサプライチェーン攻撃が挙げられています。対策として、対象者に個別に通知を行っています。また、不正アクセス発覚後に、追加攻撃防止のための各種のセキュリティ措置を実施済みということです。再発防止策は今後、改めて情報セキュリティの強化と再発防止に取り組むということです。

発生したサイバー攻撃の概要

今回の不正アクセスは、グループ会社へ直接行われたのではなく、セキュリティが十分ではなかった子会社から、特別なネットワーク経由で行われたことが考えられます。
まず、タイにある子会社へ第三者による不正アクセスがあったことが確認されています。当初は、グループ会社へ直接不正アクセスはできなかったことが考えられるのですが、国内外のグループ会社間で使われている国際ネットワークを経由した場合、個人データが存在するグループ会社のサーバへ不正アクセスができたと考えられます。

今回の不正アクセスは、子会社ネットワークから日本国内のグループ各社への不正アクセスがあったと発表されています。サプライチェーン攻撃では、セキュリティ対策が弱い子会社やサプライヤーなどを踏み台にして、最終的には本社などのターゲットとなる企業に侵入されることが一般的です。よって、典型的なサプライチェーン攻撃と考えられます。

サプライチェーンリスクの対策

サプライチェーン攻撃の被害を防ぐためには、すべての組織でセキュリティ対策が徹底されていることが求められます。

サプライチェーン攻撃は、ターゲットとなる単一の組織だけでなく、取引先やサプライヤーなど、サプライチェーン全体を標的とするので、攻撃対象が広範囲に及びます。また、サプライチェーン攻撃は、セキュリティ対策の弱い、複数の組織を経由してターゲットとなる組織に侵入するため、攻撃の侵入経路を特定することが難しくなります。

対策として、すべての組織でセキュリティ対策を行うことが必要となりますが、セキュリティ対策にはお金がかかることが多いため、現実的には困難です。逆を言えば、社会として誰の手にもセキュリティ対策を届ける必要があり、我々の無償で使えるセキュリティサービスS4のような存在が必要とされます。

お金のある人だけがセキュリティ対策ができる、技術のある人だけがセキュリティに携われるという考え方だと、社会課題であるサプライチェーンリスクは解消されませんので、社会全体で協力し合って、対策を講じていくことが求められます。