サプライチェーン攻撃はこうした一連の流れの中のどこかに対して侵入し、本命である大企業に対して攻撃を行うことを指します。直接的に本命企業の侵入経路を探して攻撃するのではなく、サプライチェーン全体を侵入経路と捉え、そのどこかにあるセキュリティホールから侵入して最終的に本命に到達することを目的としているのが特徴です。

情報の重要性が高まり大手企業が情報セキュリティ対策に対して莫大なコストをかけた結果、攻撃側が時間と手間やリスクを考慮してこの方法を選択するようになっています。

こうした慣習のため、取引先の中小企業に侵入してしまえば取引先とのやり取りに偽装することで大手企業に入り込みやすくなってしまうのです。

上記の経緯により、中小企業が狙われやすくなっていると言えるのです。

サプライチェーン攻撃の目的の多くは大手企業につながる情報の窃取であるため、メールサーバへの侵入やマルウェア感染を目的としたメール、フィッシングなどが考えられます。

ターゲットの選定は会社のコーポレートサイトなどにある取引実績から行い、ドメインや問い合わせ用のアドレス、プレスリリースの連絡先を足掛かりに攻撃するためのリストを作成します。

このリストを基に、マルウェアなどを添付した標的型攻撃や脆弱性を狙ったサーバへの攻撃が行われることになります。

マルウェアには情報を盗み出すものが使われ、本命となるターゲット企業の窓口を探し出します。メールのやり取りなどからセキュリティレベル（意識）の低いポイントや相手を特定し、攻撃方法を検討していくのです。

サーバのアドレスやログイン情報がメール内に記載されていれば、それだけで攻撃の難易度が格段に下がります。ケースによっては侵入した中小企業の担当者のアカウントからマルウェア感染したメールをターゲット企業に送り、バックドアを仕掛けるようなケースも存在します。

ターゲットの選定やリストの作成については、公知の情報を用いたり、そこから展開してアドレスのルールを推定するなどの方法で準備されるため、攻撃に対するこの段階での対応は非常に難しいのが現状です。

サプライチェーン攻撃は最終目的が大手企業であるため、被害が自社のみにとどまらないのが特徴です。

結果として取引先への損害が発生することが多く、賠償を求められたり取引自体を打ち切られたりする可能性が非常に高くなってきます。

そもそも一定以上のセキュリティレベルを維持していないと取引自体を行うことができなくなるケースも考えられるため、事前のセキュリティ投資を行わなければ売上の機会損失にもつながっていく可能性も出てきます。

セキュリティレベルを高めることこそが今後の売上の維持や拡大に際して重要な要素になることを意識しておく必要があります。