相次いで報じられるサイバー攻撃を踏まえ、多くの企業が技術や組織、従業員教育などさまざまな側面から自社のセキュリティ対策強化に取り組んでいるでしょう。しかし、一つ大きな死角が残っています。サプライチェーンを構成する取引先やグループ企業です。

当たり前ですが、自社だけで事業に必要なすべての原材料や部品、あるいはそれらを管理するシステムや人的リソースをそろえられるような企業など存在しません。市場の中で何らかの形でほかの企業に依存し、関わり合うことによってはじめてビジネスは成り立ちます。

特にデジタル化が進む現在では、メールやクラウドサービス、ソフトウェアを介して取引先とつながることで、より効率的な業務が実現されています。昔ながらの閉域網でつながっていることも少なくないでしょう。ですが、もしその一角をなす企業や拠点のどこかのセキュリティが甘ければ、そこから侵害を受け、自社にも大きな被害が及んでしまいます。

実際にこの数年、取引先がまず狙われ、その余波を受けて自社システムもランサムウェアに感染したり、業務に大きな影響を受けてしまう「サプライチェーン攻撃」が発生したりしています。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 組織編」では、2019年以降6年連続で「サプライチェーンの弱点を悪用した攻撃」が上位にランクインしているほどです。

さまざまなレベルで展開される「サプライチェーン攻撃」

サプライチェーン攻撃とは文字通り、サプライチェーンのつながりに着目した攻撃手法といえるでしょう。

これまでもしばしば「セキュリティは弱いところから破られる」と言われてきました。サプライチェーン攻撃はその原則を、企業内だけでなくサプライチェーン全体に適用したものといえるかもしれません。

セキュリティ対策を一通り済ませた企業に正面から押し入ろうと試みるのではなく、そことつながりを持ち、比較的対策の行き届いていない中堅・中小企業を侵害して踏み台に使ったり、取引を通して蓄積された「信頼」を悪用したりして、被害をもたらしています。

ここで言うサプライチェーンとは、原材料や部品供給でつながる厳密な意味での調達網だけにとどまらず、広く企業間のつながりと捉えることができます。

古くは、空調システムを経由して侵害を許し、最大で6000万件以上の個人情報漏洩につながった米Target社の事例に始まり、サプライチェーンを悪用した攻撃はたびたび報告されてきましたが、つながり方によって、さまざまな種類のサプライチェーン攻撃が行われています。

例えば、普段の業務で利用しているPCやスマートフォンなどのハードウェアに悪意ある部品を仕込まれる「ハードウェアサプライチェーン攻撃」は検知も対応も難しく、国の安全保障にも影響を及ぼしかねないと指摘されています。

また、業務やシステム管理に利用するアプリケーションやソフトウェア、さらにはそこに組み込まれているオープンソースソフトウェア(OSS)やライブラリなどにバックドアなどを組み込んで悪用する「ソフトウェアサプライチェーン攻撃」も、SolarWindsをはじめ多数の攻撃例が報告されています。

ほかにも、運用管理サービスなどを提供するマネージドサービスを提供する企業を侵害して多くの企業に影響を与える「サービスサプライチェーン攻撃」が発生しているなど、最近ではVPNアプライアンスの脆弱性を突いて取引のためのネットワークやメンテナンス用回線越し侵害するケースなど、さまざまなレベルで侵害が起こっています。

これを受け、非常に広い裾野のサプライチェーンを持つ自動車業界をはじめ、サプライチェーンセキュリティ強化に向けて独自のセキュリティガイドラインを定める動きも始まっています。

ビジネス上のつながりを悪用して多大な被害を引き起こすメール詐欺

こうしたサプライチェーン攻撃において、ビジネス上のつながりを悪用した攻撃、いわばビジネスサプライチェーン攻撃で最も頻繁に用いられる手段が「メール」です。

メールはサイバー攻撃全般でも悪用されてきましたが、特にサプライチェーン攻撃では、「普段やりとりしている会社」「見知った名前」をかたることで受信者をだまし、添付ファイルに仕込んだマルウェアを実行させたり、悪意あるサイトに誘導したりする手法として用いられてきました。いわゆる「フィッシングメール」「なりすましメール」です。

数年前に国内でも猛威を振るった「Emotet」は、サプライチェーンのつながりを用いたフィッシングメールの典型例でしょう。感染するとメールの内容やアドレスなどを盗み取り、メールスレッドへの返信形式を装って本来のやりとりの中に割り込むことで相手に不審を抱かせず、多くの企業に感染を広げていきました。

また、Emotetのようにマルウェアや脆弱性を悪用せずに被害をもたらす手法もあります。それが「ビジネスメール詐欺」(BEC)やメールアカウントを乗っ取る「メールアカウント侵害」(EAC)です。

これらの詐欺では、ダークウェブで流通している認証情報を流用したり、マルウェアなど何らかの手段でメールアカウントを乗っ取ったりして、サプライチェーンの中でのやりとり、例えば調達や支払いに関するメールのやりとりを盗み見ます。その上で相手になりすましてしばらくやりとりを重ね、信頼を得た段階で「振込先の口座が変更になりました」といった話で被害者をだまして多額の金銭を盗み取るのです。ビジネスサプライチェーンに相乗りしているという意味で、これも広義のサプライチェーン攻撃に含まれると言っていいでしょう。

実は、フィッシングメールやビジネスメール詐欺、メールアカウント侵害といったメール詐欺による被害額は想像以上に甚大です。報道ではランサムウェアによる被害が目立ち、もちろん業務停止など影響は軽視できるものではありませんが、メール詐欺が直接もたらす被害は、FBIの調査によると年間約3360億円に上るほど大きくなっています(出典:FBIInternet Crime Report 2021)。

例えば海外では、プエルトリコ政府がBECの被害に遭い約40億円に上る金銭的被害を受けたケースがあります。また日本でも、大手新聞の海外子会社、自動車関連企業の海外子会社などで数十億円規模の被害が発生しました。

こうしたフィッシングメールやメール詐欺では、直接的に多額の金銭を詐取するだけでなく、認証に用いるクレデンシャル情報まで盗み取られることもあります。こうして盗み取られた認証情報は、より価値の高い情報を手に入れるため、ネットワーク侵害など別の攻撃やメール詐欺に芋づる式に悪用されていきます。

2023年、ビジネスメール詐欺の増加率が最も高かったのは日本

では、なぜ私たちはこうしたメールに引っかかってしまうのでしょうか。

ビジネスサプライチェーンの信頼を悪用するメール詐欺では、悪意ある添付ファイルやURLを用いないものも少なくありません。このため、既存のメールフィルタリングやウイルス対策ソフトをすり抜けてしまうことがあります。AIや機械学習技術の進展によって改善は期待できますが、やはり最後の防波堤はユーザーのリテラシーとなるでしょう。

しかし詐欺メールは、本来のやりとりをコピーしてもっともらしい文面を記してします。その上、送信元もなりすましされていることが多く、いくら注意を払ったとしても「絶対にだまされないようにする」のは不可能です。

  • ビジネスメール詐欺の着弾が最も増えたのは日本

プルーフポイントの調査「State of the Phish 2024」によると、2022年と比較して2023年にビジネスメール詐欺の増加率が最も高かったのは日本でした。以下、韓国、アラブ首長国連邦(UAE)が続いており、これまで言語バリアで守られていた国における、ビジネスメール詐欺の増加が目立ちます。生成AIの登場により、攻撃者が言語の壁を越えて、ビジネスメール詐欺を働くことが可能になったことが背景にあるといえるでしょう。