標的とする企業が活用するサービスや取引先を踏み台にサイバー攻撃を行う「サプライチェーン攻撃」による被害が顕在化している。７月には米カセヤのリモートＩＴ管理ソフトウエア「ＶＳＡ」の脆弱（ぜいじゃく）性を悪用し、同ソフトの利用企業を標的としたランサムウエア（身代金要求型ウイルス）攻撃が発生。影響を受けた企業は最大１５００社と推定される。セキュリティー対策が脆弱な中小企業経由で大企業を狙う手口も増えており、中小企業のセキュリティー対策強化が求められる。（狐塚真子）

トレンドマイクロはサイバー攻撃を受けた事業者のサービスを通じて利用者に被害を及ぼす事例を「サービスサプライチェーン攻撃」と定義する。カセヤへの攻撃事例では、ＶＳＡのオンプレミス（自社保有）製品を利用して直接的な影響を受けた約５０社の企業の多くが外部企業へＩＴサービスを提供していたことから、その顧客先にも影響が拡大したとみられる。

トレンドマイクロの岡本勝之セキュリティエバンジェリストは「攻撃者の侵入後、マルウエア（悪意あるプログラム）感染という最終目的を防ぎ、実害を生まないことが重要だ」と指摘する。エンドポイント（端末）だけでなく、ネットワークやクラウドなど複数の層にわたり、遠隔操作などの不審な動き、脅威を監視する対策が重要になる。

ソフトウエアそのものや、アップデートプログラムに不正コードを仕込む「ソフトウエアサプライチェーン攻撃」に加え、標的組織の関連企業や子会社、取引先などで業務上のつながりを利用して、標的組織への攻撃の踏み台とする「ビジネスサプライチェーン攻撃」も発生している。

同攻撃は情報処理推進機構（ＩＰＡ）が発表した「情報セキュリティ１０大脅威２０２１」でもランクインするなど、注目を集めている。

岡本エバンジェリストは「米国では政府機関と取引する企業に対し、政府が定めたセキュリティー基準に準拠するようガイドラインを設定している。この基準を満たさない企業は取引を行えない。今後、日本国内のあらゆる産業でも同様の考え方を適用する可能性がある」と指摘する。

セキュリティーの脆弱性が取引先企業にも影響を与えるようになる中、中小企業でもセキュリティー対策が必要不可欠になった。ただ、中小企業ではＩＴ人材が不足しているのが実情。社内で専門人材が雇えない場合、セキュリティー対策を運用代行する「マネージドセキュリティーサービス」なども活用し、対策を進めることが求められる。