個人でできるサプライチェーン攻撃の予防
「サプライチェーン攻撃は企業間の問題だから、自分には関係ない」——そう思っていませんか?実は、個人の行動がサプライチェーン攻撃の成否を左右することがあります。
サプライチェーン攻撃の多くは、一人の従業員がフィッシングメールを開いてしまったり、弱いパスワードを使っていたりすることから始まります。逆に言えば、一人ひとりが基本的なセキュリティ対策を実践することで、攻撃を未然に防いだり、被害を最小限に抑えたりすることができるのです。
- 個人の行動が重要な理由
- - 攻撃の**入口は個人のアカウント**であることが多い - 一人が侵害されると、そこから**組織全体に被害が広がる** - 技術的な対策だけでは**人を騙す攻撃は防げない** - **最後の防衛線は人間の判断力**である
この記事では、組織的な対策ではなく、あなた自身が今日からできる予防策に焦点を当てて解説します。専門知識がなくても実践できる内容ですので、ぜひ日常の習慣に取り入れてください。
パスワード管理の基本
パスワードは、あなたのアカウントを守る最初の防衛線です。しかし、多くの人が弱いパスワードを使ったり、同じパスワードを使い回したりしています。これは、サプライチェーン攻撃の格好の標的になります。
強いパスワードの条件
強いパスワードには、以下の条件を満たすことが推奨されています。
| 条件 | 推奨内容 | 理由 |
|---|---|---|
| 長さ | 12文字以上(できれば16文字以上) | 長いほど総当たり攻撃に強い |
| 文字種 | 大文字・小文字・数字・記号を組み合わせる | パターンの複雑さが増す |
| 予測困難性 | 辞書にある単語や個人情報を避ける | 推測されにくくなる |
| 一意性 | サービスごとに異なるパスワード | 1つ漏洩しても他に影響しない |
- 避けるべきパスワードの例
- - **短すぎる**:「abc123」「pass1234」 - **個人情報**:誕生日、電話番号、ペットの名前 - **よくある単語**:「password」「qwerty」「123456」 - **キーボード配列**:「asdfghjk」「zxcvbnm」 - **会社名や製品名**:推測されやすい
- パスフレーズの活用
- 複数の単語を組み合わせた「パスフレーズ」は、長さを確保しながら覚えやすいという利点があります。例えば「Blue-Mountain-Coffee-2024!」のように、無関係な単語を組み合わせ、記号や数字を加えると強力なパスワードになります。
パスワードの使い回しを避ける
パスワードの使い回しは、最も危険な習慣の一つです。1つのサービスでパスワードが漏洩すると、同じパスワードを使っている他のすべてのサービスが危険にさらされます。
- クレデンシャルスタッフィング攻撃
- 漏洩したID・パスワードの組み合わせを、他のサービスに次々と試す攻撃手法です。多くの人がパスワードを使い回しているため、高い成功率を誇ります。詳しくは「パスワードリスト攻撃」をご覧ください。
過去には、大規模なパスワード漏洩事件が何度も発生しています。あなたのパスワードがすでに漏洩している可能性もあります。「Have I Been Pwned」(https://haveibeenpwned.com/)などのサービスで、自分のメールアドレスが漏洩に含まれていないか確認できます。
パスワードマネージャーの活用
「すべてのサービスで異なる強いパスワードを使う」——これを人間の記憶力だけで実現するのは困難です。そこで役立つのがパスワードマネージャーです。
- パスワードマネージャーとは
- 複数のパスワードを安全に保管し、必要な時に自動入力してくれるツールです。マスターパスワード1つを覚えるだけで、何百ものパスワードを管理できます。
- 主なメリット
- - **強いパスワードを自動生成**:ランダムで複雑なパスワードを作成 - **覚える必要がない**:マスターパスワードだけ覚えればOK - **自動入力**:ログイン時に自動でパスワードを入力 - **複数デバイスで同期**:PC、スマホ、タブレットで共有
- 主な種類
- - **ブラウザ内蔵型**:Chrome、Firefox、Safariなどに内蔵されている機能 - **専用アプリ型**:1Password、Bitwarden、LastPassなどの専用サービス - **企業向け**:組織で一括管理できるエンタープライズ版
定期的な変更は必要か
かつては「パスワードは定期的に変更すべき」と言われていましたが、最新の考え方では、漏洩が疑われる場合のみ変更すればよいとされています。
定期的なパスワード変更を強制すると、ユーザーは覚えやすい弱いパスワードを選んだり、末尾の数字を増やすだけの変更をしたりする傾向がある。
— 出典:NIST SP 800-63B(米国国立標準技術研究所)
ただし、以下の場合はすぐにパスワードを変更してください。
- パスワードが漏洩した可能性がある場合
- 不正アクセスの兆候がある場合
- 退職者がパスワードを知っている場合
- フィッシングサイトにパスワードを入力してしまった場合
多要素認証(MFA)の設定
パスワードだけでは、アカウントを十分に守ることができません。多要素認証(MFA:Multi-Factor Authentication)を設定することで、セキュリティを大幅に強化できます。
MFAとは何か
MFAとは、ログイン時に複数の認証要素を組み合わせる仕組みです。パスワード(知識)に加えて、スマートフォン(所持)や指紋(生体)などを使うことで、パスワードが漏洩しても不正ログインを防げます。
- 認証の3要素
- - **知識要素**(知っているもの):パスワード、PIN、秘密の質問 - **所持要素**(持っているもの):スマートフォン、ハードウェアキー、ICカード - **生体要素**(自分自身):指紋、顔、虹彩、声紋
MFAでは、これらの異なる要素を2つ以上組み合わせます。「パスワード+スマホの認証アプリ」が最も一般的な組み合わせです。
MFAの種類
| 種類 | 仕組み | セキュリティ強度 | 利便性 |
|---|---|---|---|
| SMS認証 | 携帯電話にコードを送信 | 中 | 高 |
| 認証アプリ | アプリでワンタイムコードを生成 | 高 | 高 |
| ハードウェアキー | USBやNFCでデバイスに接続 | 最高 | 中 |
| 生体認証 | 指紋や顔で認証 | 高 | 高 |
| メール認証 | メールにコードを送信 | 低〜中 | 高 |
推奨度は「認証アプリ」または「ハードウェアキー」です。SMS認証は手軽ですが、SIMスワップ攻撃などで突破される可能性があります。
- 主な認証アプリ
- - Google Authenticator - Microsoft Authenticator - Authy - 1Password(パスワードマネージャーとの統合)
MFAを設定すべきアカウント
すべてのアカウントにMFAを設定することが理想ですが、優先順位をつけるなら以下の順番で設定しましょう。
- 最優先で設定すべきアカウント
- 1. **業務メール**:他のサービスのパスワードリセットに使われる 2. **クラウドサービス**(Microsoft 365、Google Workspaceなど):業務データが集中 3. **金融サービス**(銀行、証券、決済):金銭的被害に直結 4. **SNS**(特にLinkedIn):ビジネス情報の収集に悪用される 5. **パスワードマネージャー**:すべてのパスワードを管理している
MFAの落とし穴
MFAは強力な対策ですが、完璧ではありません。攻撃者はMFAを突破するための手法も開発しています。
- SIMスワップ攻撃
- 攻撃者が携帯電話会社を騙し、被害者の電話番号を攻撃者のSIMカードに移行させる攻撃です。SMS認証のコードが攻撃者に届いてしまいます。詳しくは「SIMスワップ」をご覧ください。
- MFA疲労攻撃(プッシュ爆撃)
- プッシュ通知型のMFAを使っている場合、攻撃者が繰り返しログインを試み、被害者に大量の認証リクエストを送りつけます。うんざりした被害者が誤って「承認」をタップしてしまうことを狙う攻撃です。
- リアルタイムフィッシング
- 偽のログインページでパスワードとMFAコードを入力させ、リアルタイムで正規サイトにログインする高度な攻撃です。
これらの攻撃を防ぐためには、認証アプリやハードウェアキーを使用し、不審な認証リクエストには応じないことが重要です。詳しくは「多要素認証バイパス」をご覧ください。
日常のセキュリティ習慣
パスワードやMFAの設定に加えて、日常的なセキュリティ習慣を身につけることが重要です。以下の習慣を日常に取り入れましょう。
OSとソフトウェアのアップデート
OSやソフトウェアのアップデートには、セキュリティの脆弱性を修正するパッチが含まれています。アップデートを怠ると、既知の脆弱性を悪用した攻撃にさらされます。
- アップデートが重要な理由
- - 発見された脆弱性が修正される - 攻撃者は公開された脆弱性情報をすぐに悪用する - 「Nデイ攻撃」(パッチ公開後の攻撃)が増加している
- 自動更新の設定
- - **Windows**:設定 → Windows Update → 自動更新をオン - **macOS**:システム環境設定 → ソフトウェア・アップデート → 自動アップデートをオン - **スマートフォン**:設定からOSとアプリの自動更新を有効化
業務用PCでは、IT部門が更新を管理している場合があります。その場合は、IT部門の指示に従い、更新通知が来たら速やかに適用してください。
不審なリンク・添付ファイルへの対応
サプライチェーン攻撃の多くは、フィッシングメールから始まります。不審なリンクや添付ファイルには細心の注意を払いましょう。
- 基本原則
- - **少しでも疑わしいと思ったら開かない** - 送信者が信頼できる相手でも、内容に違和感があれば確認する - **確認は電話など別の手段で**(メールへの返信は危険)
- 注意すべきサイン
- - 緊急性を煽る文面(「今すぐ」「至急」) - 普段と異なる依頼内容 - 文法や敬語の不自然さ - 送信者アドレスの微妙な違い
フィッシング対策の詳細は「サプライチェーン攻撃とフィッシング」をご覧ください。
報告の習慣
「おかしいな」と思ったら報告する——この習慣が組織全体を守ります。
- 報告すべき事象
- - 不審なメールを受け取った - 誤って添付ファイルを開いてしまった - 見慣れないログイン通知が来た - PCの動作がおかしい - 不審な電話やSMSを受けた
- 報告先
- - 情報システム部門 - セキュリティ担当者 - 上司(情シスがいない場合)
報告しても怒られない文化が重要です。報告を躊躇させる雰囲気があると、被害の発見が遅れ、拡大してしまいます。
SNSでの情報発信の注意
SNSでの何気ない投稿が、攻撃者に悪用されることがあります。
- 避けるべき投稿
- - 会社の内部情報(プロジェクト名、取引先名など) - オフィスの様子がわかる写真(セキュリティバッジ、画面が写っているなど) - 出張や休暇の予定(「〇〇さんは今不在」という情報になる) - 業務で使っているツールやシステムの情報
攻撃者はソーシャルエンジニアリングのために、SNSから情報を収集します。LinkedInのプロフィールから組織構造を把握し、標的型攻撃に利用するケースもあります。
テレワーク時の注意点
テレワークでは、オフィスとは異なるセキュリティリスクがあります。自宅や外出先での作業時に注意すべきポイントを解説します。
自宅ネットワークのセキュリティ
自宅のネットワーク機器(ルーターなど)は、オフィスのように専門家が管理しているわけではありません。基本的なセキュリティ設定を確認しましょう。
- ルーターのパスワード変更
- ルーターの管理画面にアクセスするためのパスワードが初期設定のままになっていませんか?「admin/admin」「admin/password」などの初期パスワードは、攻撃者にも知られています。必ず変更してください。
- ファームウェアの更新
- ルーターのファームウェア(内部ソフトウェア)にも脆弱性が発見されることがあります。定期的に更新を確認し、最新の状態に保ちましょう。
- Wi-Fiの暗号化設定
- Wi-Fiの暗号化方式は**WPA3**または**WPA2**を使用してください。古い**WEP**は簡単に解読されるため、使用してはいけません。
公衆Wi-Fiのリスク
カフェやホテル、空港などの公衆Wi-Fiには、セキュリティ上のリスクがあります。
- 主なリスク
- - **盗聴**:暗号化されていない通信が傍受される - **偽のWi-Fi**:正規のアクセスポイントに似た名前の偽Wi-Fiに接続させられる - **中間者攻撃**:通信を傍受・改ざんされる
- 対策
- - **VPNを使用する**:会社が提供するVPNがあれば必ず使用 - **機密情報は扱わない**:公衆Wi-Fi接続時は機密データへのアクセスを避ける - **自動接続をオフに**:知らないWi-Fiに自動接続しない設定にする
偽Wi-Fiについては「偽Wi-Fi(Evil Twin)」をご覧ください。
画面の覗き見(ショルダーハック)対策
電車やカフェなど、周囲に人がいる場所でPCを使う場合、画面を覗き見られるリスクがあります。
- 対策
- - **プライバシーフィルターを使用**:斜めからは画面が見えなくなるフィルムを貼る - **背後に注意**:壁を背にして座る、後ろに人が立てない席を選ぶ - **機密情報は開かない**:公共の場所では機密性の高い情報を扱わない
詳しくは「覗き見・端末盗難」をご覧ください。
セキュリティ習慣チェックリスト
ここまでの内容を踏まえて、自分のセキュリティ習慣をチェックしてみましょう。
| チェック項目 | 確認 |
|---|---|
| パスワードは12文字以上で、大文字・小文字・数字・記号を含んでいる | □ |
| サービスごとに異なるパスワードを使っている | □ |
| パスワードマネージャーを活用している | □ |
| 業務メールやクラウドサービスにMFAを設定している | □ |
| MFAには認証アプリまたはハードウェアキーを使用している | □ |
| OSとソフトウェアは常に最新の状態に保っている | □ |
| 不審なメールは開かず、別の手段で確認する習慣がある | □ |
| 「おかしいな」と思ったら報告する習慣がある | □ |
| SNSに業務関連の情報を投稿しないようにしている | □ |
| 自宅ルーターのパスワードを初期設定から変更している | □ |
| 公衆Wi-Fi使用時はVPNを使用し、機密情報を扱わない | □ |
| 公共の場所では画面の覗き見に注意している | □ |
すべてにチェックが入らなくても、一つずつ改善していけば大丈夫です。組織向けのより詳細なチェックリストは「サプライチェーン攻撃対策チェックリスト」をご覧ください。
関連する攻撃手法
個人の予防策で防げる可能性のある攻撃手法を紹介します。
| 攻撃手法 | 予防に有効な対策 |
|---|---|
| フィッシング詐欺 | 不審なメールを開かない、報告の習慣 |
| パスワードリスト攻撃 | パスワードの使い回しを避ける |
| 総当たり攻撃 | 強いパスワード、MFAの設定 |
| ソーシャルエンジニアリング | SNSでの情報発信の注意、確認の習慣 |
| マルウェア感染 | OSの更新、不審な添付ファイルを開かない |
| 不正アクセス | 強いパスワード、MFA、VPNの使用 |
| SIMスワップ | 認証アプリの使用(SMS認証を避ける) |
よくある質問
- Q: パスワードマネージャーは安全ですか?
- A: 適切に使用すれば、パスワードを覚えて使い回すよりもはるかに安全です。パスワードマネージャー自体は強力な暗号化でデータを保護しており、マスターパスワードが十分に強ければ、第三者がアクセスすることは困難です。ただし、マスターパスワードの管理と、パスワードマネージャー自体のMFA設定は必須です。
- Q: MFAを設定していれば安全ですか?
- A: MFAはセキュリティを大幅に向上させますが、完璧ではありません。SIMスワップ攻撃、MFA疲労攻撃、リアルタイムフィッシングなど、MFAを突破する手法も存在します。MFAは「ないよりはるかに良い」ものですが、他の対策(不審なリクエストに応じない、認証アプリを使うなど)と組み合わせることが重要です。
- Q: 会社のセキュリティルールが面倒なのですが?
- A: セキュリティルールが面倒に感じることはよくあります。しかし、それらのルールは過去の事故や攻撃の教訓から作られていることが多いです。ルールの理由がわからない場合は、情シス部門に聞いてみてください。理由を理解すると、納得して守れるようになります。また、本当に業務に支障があるルールは、改善を提案することも大切です。
まとめ
サプライチェーン攻撃の予防について、個人でできる対策を振り返りましょう。
- パスワードは12文字以上で、サービスごとに異なるものを使用し、パスワードマネージャーで管理しましょう
- MFA(多要素認証)を重要なアカウントに設定し、可能なら認証アプリを使用しましょう
- OSとソフトウェアは常に最新に保ち、自動更新を有効にしましょう
- 不審なメールは開かない、確認は別の手段で行い、おかしいと思ったら報告しましょう
- テレワーク時は自宅ネットワークのセキュリティ、公衆Wi-Fiのリスク、画面の覗き見に注意しましょう
- 一人ひとりの行動が、サプライチェーン全体のセキュリティを左右します
組織向けのチェックリストは「サプライチェーン攻撃対策チェックリスト」を、基礎知識カテゴリ全体については「サプライチェーン攻撃の基礎知識」をご覧ください。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
更新履歴
- 初稿公開
