サイバー攻撃の影響が業界・社会全体に波及する「サプライチェーン攻撃」の事例が相次いでいる。標的とする企業が活用するサービスや取引先を踏み台とするため、１社だけの取り組みでは不十分。業界・社会全体での意識向上、対策が求められている。（狐塚真子）

「企業間で連鎖するセキュリティーリスクが顕著になった年だ」―。トレンドマイクロの岡本勝之セキュリティエバンジェリストは２０２１年に発生したサイバー攻撃の動向をこう振り返る。

２１年７月には米カセヤのリモートＩＴ管理ソフト「ＶＳＡ」の脆弱（ぜいじゃく）性を悪用したランサムウエア（身代金要求型ウイルス）攻撃が発生。外部企業へＩＴサービスを提供する事業者を経由し、顧客先にも影響が拡大した。同１２月にはＪａｖａベースのログ（履歴）出力ライブラリ「Ａｐａｃｈｅ　Ｌｏｇ４ｊ（アパッチログフォージェイ）」の脆弱性を悪用した攻撃が発生。依然として警戒が続く。

ビジネスのデジタル化により、仮想私設網（ＶＰＮ）やクラウドなど“外部との接点”を狙った攻撃も拡大傾向にある。トレンドマイクロによると、同社が２１年１―８月にランサムウエア攻撃への対応を支援した事案の約７割は、主にＶＰＮ経由で侵入が確認されているウイルスだったという。対策をおろそかにすれば、自社を踏み台に関連会社を攻撃する「サプライチェーン攻撃」が生じる可能性もある。

岡本セキュリティエバンジェリストは「樽の水量は水が漏れている側板で決まる」という「ドベネクの要素樽」を例に挙げ、「数社だけがセキュリティー意識を高めても限界がある。業界・社会全体で対策を考えるべき時だ」と指摘する。

自社の対策には、全ての通信を信用できないものとして検査・認証する「ゼロトラスト」の考え方を基本に、多層防御が必須。多要素認証を突破した場合でも、実際に実行している人物は安全なのか、ログなどを確認し、複数の技術で防御することが必要だ。

他組織の安全性確認も重要性を増す。実際にトレンドマイクロでは委託先の企業を選定する際、「リスク影響評価の実施状況」や「インシデント対応能力」など、セキュリティーの観点からもチェックを行っているという。サプライチェーン全体の安全性を高めるため、「各組織がセキュリティーの説明責任を持つことも重要」（岡本セキュリティエバンジェリスト）となる。