(出典:Shutterstock)

本連載の第152回と第111回で、欧州サイバーセキュリティー機関(ENISA)(注1)が毎年発表している、通信障害に関する報告書を紹介させていただいたが(注2)、そのENISAが「サプライチェーン攻撃」(Supply Chain Attacks)に関する調査報告書を2021年7月に発表した。これは前述の報告書とは違って単発のものであり、ENISAに設置された特別なワーキンググループによってまとめられたものである(注3)。

タイトルにある「サプライチェーン攻撃」とは、サイバー攻撃の中でも特に、サプライヤーと顧客との取引関係を利用したものをいう。すなわち、侵入したい標的の組織におけるセキュリティー対策がしっかりしていて侵入が難しい場合に、まず対策が比較的甘いサプライヤーに侵入し、サプライヤー経由で標的の組織に侵入するというもので、少なくとも2つの攻撃の組み合わせとなる。

このような攻撃手法は数年前から懸念されていたが、特に2020年から急増しているとのことである。本報告書によると、2021年に発生するサプライチェーン攻撃の件数は、2020年の4倍以上になる可能性があるという。

このような状況を踏まえ、本報告書では2020年1月から2021年7月上旬までに発生したサプライチェーン攻撃を対象として、調査分析された結果がまとめられている。本報告書は下記URLから無償でダウンロードできる。
https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks
(PDF 57ページ/約4.8MB)