サプライチェーンのセキュリティというと、「大企業が考える話」「IT企業の話」と思われがちです。しかし実際には、中小企業こそが狙われやすい立場にあります。
しかもその理由は、「規模が小さいから」ではありません。
本記事では、攻撃者がなぜ中小企業を入口として使うのか、その具体的な手口を交えながら解説します。
攻撃者の本当の目的は「その先」にある
多くの場合、攻撃者の最終目的は中小企業そのものではありません。
狙っているのは、その取引先にいる大企業の情報やシステムです。
中小企業は、
・大企業と日常的にやり取りをしている
・業務上、内部情報の一部を持っている
・システム的につながっている
という特徴があります。
攻撃者から見ると、中小企業は正面玄関ではなく、裏口に近い存在なのです。
大企業の情報をすでに持っているという強み
中小企業は、取引の過程で次のような情報を自然に保有しています。
・担当者の氏名やメールアドレス
・過去のメールの文面や言い回し
・発注書、請求書、見積書
・業務マニュアルや資料の一部
これらは日常業務では当たり前の情報ですが、攻撃者にとっては非常に価値があります。
なぜなら、「本物そっくりの連絡」を作れる材料になるからです。
ゼロから調査するより、すでに信頼関係のある情報を使える方が、成功率は格段に上がります。
VPN接続が侵入口になることもある
中小企業が大企業のシステムにVPNで接続しているケースは珍しくありません。
VPNは本来、安全な仕組みですが、運用次第でリスクにもなります。
例えば、
・IDとパスワードだけで接続している
・長期間パスワードを変更していない
・退職者や異動者のアカウントが残っている
この状態で中小企業の端末がウイルスに感染すると、
攻撃者は正規の取引先として大企業のネットワークに入れる可能性があります。
これは、関係者用の入館証を使って、そのままオフィスに入られてしまうようなものです。
中小企業のドメインを使ったフィッシングの威力
非常に被害が大きいのが、メールを使った攻撃です。
もし中小企業のメールシステムが乗っ取られると、
・実在する会社
・実在するメールアドレス
・過去のやり取りと同じ流れ
でメールを送ることができます。
受け取る側の大企業から見ると、
「いつもの取引先からの連絡」
にしか見えません。
怪しいURLや添付ファイルであっても、思わず開いてしまうのは無理もありません。
これは技術の問題ではなく、信頼を利用した攻撃です。
メール以外にも使われる侵入手段
攻撃はメールだけに限りません。
ファイル共有サービスの悪用
オンラインストレージや共有フォルダに、不正なファイルを置かれるケースもあります。
「いつもの場所」だからこそ、警戒心が下がります。
ソフトウェア更新を装った攻撃
業務ソフトやツールの更新に不正なプログラムが混入し、
「正規のアップデート」をしただけで感染することもあります。
請求書・支払い業務を狙う手口
振込先変更の連絡を装い、金銭をだまし取るケースも後を絶ちません。
実在の取引先からのメールであれば、疑うのは非常に困難です。
電話と組み合わせた攻撃
事前に電話で信用させ、その直後にメールを送る手法もあります。
人は「一度話した相手」を信じやすいものです。
なぜこの手口が使われ続けるのか
理由はシンプルです。
成功率が高いからです。
・侵入しやすい
・発覚しにくい
・影響範囲が広い
攻撃者にとって、中小企業は「最も効率のよい入口」になりやすいのです。
中小企業に求められる考え方
重要なのは、「完璧なセキュリティ」を目指すことではありません。
・自社が誰とつながっているか
・自社が入口になる可能性はないか
この視点を持つだけで、
・アカウント管理
・接続ルール
・取引先との約束事
に対する意識が変わります。
攻撃者は、面倒そうな相手を避ける傾向があります。
基本的な対策をしているだけでも、「狙われにくい会社」になることは可能です。
まとめ
サプライチェーン攻撃において、中小企業が狙われるのは偶然ではありません。
情報、接続、信頼という「業務に欠かせない要素」が、そのまま攻撃経路になるからです。
「うちは小さいから関係ない」ではなく、
「うちは誰かの重要な取引先かもしれない」
そう考えることが、最初の、そして最も重要なセキュリティ対策です。
地味ですが、気づくことからすべては始まります。
ミタスサポート事務所代表。富山県で中小企業向けに経営とIT支援を行っています。
中小企業診断士/ITストラテジスト/情報処理安全確保支援士。
確かな知識と実務経験を元に、役立つ情報を随時発信中。
小さな事業者向けに小回りの利くITサービスやサイバーセキュリティ対策に力を注いでいます。
