サプライチェーン攻撃は「大企業だけの話」ではありません

― 時代劇にたとえるサイバー攻撃の話 ―

「サイバー攻撃」と聞くと、大企業や官公庁が狙われるもの、というイメージを持つ方も多いかもしれません。

しかし実際には、攻撃者は必ずしも最初から“本命”を直接攻撃しているわけではなく、取引先や委託先を経由して侵入する「サプライチェーン攻撃」が増えています。

この構図をイメージしやすくするため、私たちは生成AI技術を活用し、時代劇風の動画を制作しました。

刺客の狙いは「呉服屋」ではない

動画の中では、刺客が呉服屋へ侵入します。

しかし、目的は呉服屋から金品を盗むことではありません。

刺客の本当の狙いは、その先にある「本丸」です。

では、なぜ直接本丸を攻めないのでしょうか。

それは、本丸の警備が厳重だからです。

そこで刺客は、本丸へ日常的に出入りしている呉服屋に目を付けます。

そして、呉服屋が納品する着物に細工を施し、“怪しまれずに”本丸へ入り込もうとします。

これは現代の「サプライチェーン攻撃」に近い構図です

現代の企業でも、同じような攻撃が発生しています。

攻撃者は、セキュリティ対策が厳重な大企業を正面から狙うのではなく、

• 取引先

• 委託先

• 保守会社

• 関連会社

などを経由して侵入を試みることがあります。

つまり、「本命」へ近づくために、その周囲の企業が利用されるのです。

動画の中の“呉服屋”は、こうした取引先企業をイメージしています。

狙われるのは「お金」だけではありません

ここで重要なのは、攻撃者の目的が、必ずしも呉服屋そのものではないという点です。

動画でも、刺客は呉服屋の商品や金品を盗んでいません。代わりに、“納品される着物”へ細工を施しています。

これは現代で言えば、

• ソフトウェアへの不正な改ざん

• ファイルへのマルウェア混入

• アカウントの悪用

• 正規の通信を装った侵入

などに近いイメージです。

つまり、取引先との「信頼関係」そのものが悪用されてしまうのです。

「うちは中小企業だから関係ない」とは言えない時代に

サプライチェーン攻撃では、「どれだけ有名な企業か」よりも、「本命につながる経路になれるか」が狙われるポイントになります。

そのため、中小企業であっても、

• 大企業と取引がある

• 業務システムがつながっている

• データ共有を行っている

などのように何かしらつながる経路がある場合には、攻撃の入口として利用される可能性があります。

この動画で伝えたかったこと

今回の動画では、「中小企業が狙われる」という恐怖を伝えたいわけではありません。

そうではなく、

という、サプライチェーン攻撃の特徴を、イメージとして理解していただくことを目的にしています。

時代劇の世界では“呉服屋の着物”でしたが、現代ではそれがIT資産やシステム、アカウントに置き換わっています。

だからこそ、企業規模に関係なく、自社もサプライチェーンの一部であるという視点が、これからますます重要になっています。

“信頼される経路”を守るために

サプライチェーン攻撃では、「信頼されている経路」が悪用されることがあります。

コンステラセキュリティジャパンでは、そうしたリスクへの基本対策として、中小・中堅企業向けに「CSJ プロテクティブDNS」を提供しています。

専門機器を必要とせず導入でき、危険なサイトへのアクセス遮断やランサムウェア対策を支援するサービスです。

詳細は下記をご覧ください。