サプライチェーンの脆弱性診断を！ 2,000超の不正アクセス検知

サプライチェーンの脆弱性を突いた攻撃の増加が鮮明に

独立行政法人情報処理推進機構（IPA）は2023年4月25日、「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書を公表しました。調査期間中、対象企業に設置したUTM 注1）やEDR 注2）などのセキュリティ装置から2,000を超える不正アクセスを検知、サプライチェーンの弱点を突いた攻撃の増加を裏付けた形です。

本調査は、サプライチェーン全体のサイバーセキュリティ対策強化のために必要な対策や、その実装に向けて有効な業界全体としての取り組みの検討に供する目的のもと実施しました。

外部からの情報窃取や取引先企業への攻撃の足掛かりとしてのサイバー攻撃を受けるおそれが大きいと考えられる経済安全保障上重要となる「半導体」、「自動車部品」、「航空部品」の3分野の中小企業、及び防衛装備庁の紹介企業3者を加えた43者を選定し、①セキュリティ専門家によるヒアリング、 ②対象中小企業等におけるネットワーク環境、およびセキュリティ対策状況について現況調査、 ③メールセキュリティ意識調査を実施しました。

調査期間中（2022年11月～2023年1月）に対象企業に設置したUTMやEDRにより、3か間の調査期間において2,008件もの不正アクセスと疑われる挙動 注3）を検知しました。

注）
1）様々なセキュリティ脅威対策をひとまとめにした統合脅威管理のセキュリティ機器。ルータ配下に専用機器を設置することでネットワークの出入り口を監視し、不正通信を検知・遮断する。
2）エージェントによる自動検知とアナリストによる分析・検知により、マルウェアの振舞いやPC端末の不正な挙動を検知・解析することでプロセス停止やファイル隔離を行う機器。
3）対象企業に設置したUTMとEDRから検知したもの。これらとは別に、スパムメールの受信 31,268件やWAF（ウェブアプリケーションファイヤウォール）による攻撃兆候（例 Webサイト偽造や悪意あるコード挿入、脆弱性のスキャン）の検知 36,185件も検知している。

マルウェア、フィッシングメール、不正アクセスなどの実態が明らかに

IPAは2019年度と2020年度に中小企業におけるセキュリティ対策状況と攻撃の実態把握を目的とした「サイバーセキュリティお助け隊」実証事業 注4）を実施、中小企業において①サイバー攻撃への対策、②セキュリティ対策における人的リソース、③セキュリティ対策への予算割り当て、④セキュリティに対する情報が不足していることが明らかになり、これらを踏まえて、相談窓口、異常の監視、緊急時の対応支援、簡易サイバー保険などの各種サービスをワンパッケージで安価に提供することを要件としてまとめた「サイバーセキュリティお助け隊サービス基準」を2021年2月に策定・公表しています。

2023年5月時点で当該基準を満たしたサービスは30事業者・35サービスあるが、当該サービスを導入した国内企業はようやく1,000社になったとのことです。

セキュリティ対策の強固な企業等は直接攻撃せずに、それ以外のセキュリティ対策が脆弱なサプライチェーン上の企業等を最初の標的とし、そこを踏み台として顧客や上流プロセスの関連企業等、本命の標的を狙う攻撃が増加しています。企業個々だけではなく、業界全体としての対策の取り組みが急務です。

注）
4）サイバーセキュリティお助け隊（令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業）の報告書について

【参考情報】
2023年4月25日付 独立行政法人 情報処理推進機構 HP「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書について
https://www.ipa.go.jp/security/reports/sme/cyberkogeki2022.html

※本記事は、2023年6月1日発行のMS&AD InterRisk Report・ESGトピックス「2,000を超える不正アクセスを検知 サプライチェーンリスクが浮き彫りに、 IPA調査」を再編集したものです。