ブログ

Selphish Threat Intelligence – 受信者の信頼を犯用する「サプライチェーン攻撃」

2025-03-28 ブログ, 脅威インテリジェンス

自社のセキュリティ対策に力を入れることは当然ですが、それだけで安心できる時代ではありません。取引先や委託先、子会社・親会社といった「つながり」のある組織が狙われることで、結果的に自社にも被害が及ぶ――これが「サプライチェーン攻撃」の本質です。

目標の企業を直接攻撃するのではなく、比較的セキュリティが不十分と考えられる関連組織を突破口として利用し、信頼関係を武器に侵入を図る。こうした巧妙な手口が拡大しています。

サプライチェーン攻撃の特徴

企業間の信頼関係を悪用

従来のフィッシングメールは、一見して不審に見えるものも多いですが、サプライチェーン攻撃では、「見積もりの確認」や「返信待ちの催促」など、一見わからない普段通りの業務メールのような内容で送信されます。 それも、実在する会社や仕事パートナーを模倣して、相手を信頼させようとするのが特徴です。

例えば、取引先の管理者を模倣し、流出した資料や社内情報を悪用して「決算書の内容確認」や「新規支払先アカウントの案内」といった内容のメールを送り、正規のメールのように見せかけます。

攻撃の次のステップは「再利用」

このように経理系統に入り込んだ攻撃者は、以下のような操作を行います:

  • まず、取引先や委託先の従業員が使用している実在のメールアカウントを乗っ取ります。これにより、正規のアドレスからメールを送ることができるため、受信側に疑念を抱かせにくくなります。
  • 次に、乗っ取ったアカウントを利用して他の取引先やパートナー企業に攻撃メールを送信します。信頼できる送信元からの連絡のため、開封率や対応率が高まります。
  • さらに、過去のやりとりを含む実際のメールスレッドに返信する「Re:」形式でメールを送ることで、「会話の続き」のように見せかけ、警戒心を低下させます。

このようにして信頼関係を維持したまま、別の標的への攻撃をスムーズに展開していくのです。

実際のサプライチェーン攻撃の事例

  • 教育関連企業B社(日本、2023年):委託先のパソコンがマルウェアに感染し、そこから本社システムへの侵入が発生。40万件を超える個人情報が流出しました。この事件では外部の業務委託先が入口となっており、委託先のセキュリティ管理の重要性が浮き彫りとなりました。
  • 製造業T社(日本・グローバル、2022年):海外を含む複数の子会社やサプライヤーが標的となり、メールアカウントの乗っ取りや偽の請求書送付などが発生。日本の本社だけでなく、海外法人を巻き込んだ広域的な被害となりました。取引先からの信頼を逆手に取った攻撃で、グローバル規模のリスクが顕在化しました。
  • 非営利団体S社(欧州、2017年):支払い先の銀行口座を変更するよう指示するBEC(ビジネスメール詐欺)型のメールを受け取り、1億円相当の金銭的被害を受けました。攻撃者は支援先団体を装い、綿密に偽装された請求書とメールで送金を誘導しました。

これらの攻撃はいずれも「信頼できる相手からのメール」であることを装っており、受信者が怪しむことなく被害を受けています。

サプライチェーン攻撃の対策

サプライチェーン攻撃は、見た目には正規の業務メールと見分けがつかないほど巧妙です。だからこそ、技術的対策に加えて、人と組織の備えが欠かせません。

まずは、従業員の気づく力を育てること。最終的にメールを開くかどうかを判断するのは人です。攻撃メール訓練などを取り入れ、違和感を覚えたら立ち止まる感覚を日頃から養っておきましょう。

次に、取引先や委託先との連携です。セキュリティに関する期待や対応方針を事前に共有し、何かあった時にすぐ相談できる関係性を築いておくこと。インシデント時の連携体制や、情報共有ルールも明確にしておくと安心です。

また、自社のセキュリティルールを周囲と共有することで、攻撃の広がりを防ぐきっかけにもなります。

Selphishのメール訓練サービスで「信頼を悪用する攻撃」に備える

サプライチェーン攻撃のように、取引先や委託先との「信頼関係」を悪用する手口は特に、どれほど技術的な防御を強化しても完全には防ぎきれません。不審なメールを見抜き適切に対応する力は、最終的に従業員一人ひとりの「気づき」にかかっているのです。

神戸デジタル・ラボが提供するSelphish(セルフィッシュ)は、実際の攻撃手口を再現したフィッシングメール訓練を通じて、従業員のセキュリティ意識と判断力を高めるメール訓練サービスです。

標的型攻撃、偽装請求書、乗っ取られたメールアカウントからの送信など、現実に即した訓練シナリオを実施することで、従業員は「信頼できそうなメール」の中に潜む違和感に気づく習慣を身につけていきます。また、訓練結果は管理画面で可視化され、組織全体の弱点把握や教育効果の確認も可能です。

「取引先が多いからこそリスクが高い」──そんな課題に応えるために、Selphishは継続的な訓練とフィードバックを通じて、組織の「人的セキュリティ」を強化していきます。

まとめ

サプライチェーン攻撃は、信頼関係を逆手にセキュリティ対策をすり抜ける、極めて厄介な脅威です。現代において、自社の防御だけでは不十分であり、社員一人ひとりの判断力と関係各社との緊密な連携が不可欠です。

日常業務の中で「違和感」に気づける感覚を養うためには、実践的な訓練と教育が必要不可欠です。

Selphishを活用し、技術・プロセス・人材の各側面から「信頼」を守る包括的な体制を構築していきましょう。

メール訓練のノウハウと
効果的な進め方教えます

これを読めば全てがわかる!メール訓練でお持ちのお悩みや疑問について開設しています。

資料には以下のことを紹介しています。

  • メール訓練サービスの選び方
  • メール訓練の選び方
  • サービスの必要性とその効果
  • メール訓練の効果的な実施フロー

ぜひお役立てください。

お役立ち資料をダウンロード

カテゴリー: ブログ, 脅威インテリジェンス

Selphishを使ってみる

無料でお試しはこちら

ページの先頭へ