サプライチェーン攻撃

概要

セキュリティの堅固な大企業を直接攻撃するのではなく、セキュリティの甘い「関連会社」や「取引先（下請け）」、「利用しているソフトウェア」をまず攻撃し、そこを踏み台にして本丸の大企業に侵入するサイバー攻撃の手法。

事例

• ソフトウェア更新の悪用: 有名なソフトの更新プログラムにウイルスを混入させ、公式アップデートを通じて世界中のユーザーに配布させる（SolarWinds事件などが有名）。
• 子会社経由: 地方の子会社のネットワークに侵入し、そこから専用回線を通じて本社のサーバーへ侵入する。

対策

「自社だけ守ればいい」という時代は終わった。 取引先がセキュリティ対策をしているかチェックしたり、契約書で義務付けたりするなど、サプライチェーン全体での対策が必要となる。