サプライチェーン攻撃と脆弱性の関係
サプライチェーン攻撃の多くは、脆弱性を悪用して侵入します。脆弱性とは、ソフトウェアやシステムに存在するセキュリティ上の欠陥のことです。攻撃者は、この欠陥を突いてシステムに侵入し、情報窃取やマルウェア感染を引き起こします。
実際に国内で発生したサプライチェーン攻撃の多くで、脆弱性が悪用されています。
| 事例 | 悪用された脆弱性 | 被害内容 |
|---|---|---|
| トヨタ・小島プレス事件(2022年) | リモートアクセス機器の脆弱性 | トヨタ国内全工場が1日停止 |
| 大阪急性期・総合医療センター(2022年) | VPN機器の脆弱性 | 電子カルテシステム停止、診療制限 |
| 徳島県つるぎ町立半田病院(2021年) | VPN機器の脆弱性 | ランサムウェア感染、約2ヶ月の診療制限 |
| 名古屋港コンテナターミナル(2023年) | VPN機器の脆弱性(推定) | 約3日間のコンテナ搬出入停止 |
特に狙われやすいのが、インターネットに面した機器です。VPN機器、リモートアクセス機器、Webサーバーなどは、外部から直接アクセスできるため、攻撃者にとって格好の標的となります。
- VPN機器の脆弱性
- FortiGate、Pulse Secure(現Ivanti)、Citrix、SonicWallなどのVPN機器で重大な脆弱性が発見されています。テレワークの普及によりVPN利用が増加したことで、攻撃対象としての重要性が増しています。
- リモートアクセス機器の脆弱性
- RDP(リモートデスクトップ)、TeamViewer、AnyDeskなどのリモートアクセスツールも狙われます。認証の弱さや設定不備が悪用されるケースも多いです。
- 古いソフトウェアの脆弱性
- サポートが終了したOSやソフトウェア、更新が放置されたシステムは、既知の脆弱性が修正されないまま残っているため、攻撃に悪用されやすくなります。
国内事例の詳細については、サプライチェーン攻撃の国内事例|トヨタ・病院・名古屋港を詳細解説をご覧ください。
パッチ管理の基本
パッチとは、ソフトウェアの脆弱性を修正するための更新プログラムのことです。パッチを適用することで、脆弱性を悪用した攻撃を防ぐことができます。
パッチ管理とは、どのシステムにどのパッチが必要かを把握し、計画的にパッチを適用するプロセスのことです。サプライチェーン攻撃対策において、パッチ管理は最も基本的かつ重要な対策の一つです。
「脆弱性対策」は、サプライチェーン攻撃を含む多くのサイバー攻撃に対する基本的な防御策です。既知の脆弱性に対するパッチ適用を速やかに行うことが重要です。
— 出典:IPA「情報セキュリティ10大脅威 2025」解説資料
パッチ適用の優先順位
すべてのパッチを即座に適用することは、業務影響やリソースの観点から現実的ではありません。優先順位を付けて対応することが重要です。
| 優先度 | 条件 | 対応目安 |
|---|---|---|
| 最優先(緊急) | CVSSスコア9.0以上、かつ攻撃コードが公開済み | 24〜72時間以内 |
| 高 | CVSSスコア7.0以上、またはインターネット公開機器 | 1週間以内 |
| 中 | CVSSスコア4.0〜6.9、内部システム | 1ヶ月以内 |
| 低 | CVSSスコア4.0未満、影響範囲限定的 | 次回定期メンテナンス時 |
CVSS(Common Vulnerability Scoring System)は、脆弱性の深刻度を0.0〜10.0のスコアで評価する国際的な基準です。スコアが高いほど深刻な脆弱性であり、優先的な対応が必要です。
- 優先度判断のポイント
- CVSSスコアだけでなく、以下の要素も考慮して優先度を判断しましょう。インターネットに面しているか、攻撃コード(Exploit)が公開されているか、実際に攻撃に悪用されている(Known Exploited)か、自社の重要システムに影響するか——これらの要素を総合的に判断します。
緊急パッチへの対応
ゼロデイ脆弱性など、緊急性の高い脆弱性が公表された場合は、通常のパッチ適用プロセスとは異なる対応が必要です。
- 緊急時の判断基準
- ベンダーから「緊急」「重大」として公表されている、CISAのKnown Exploited Vulnerabilities(KEV)カタログに登録されている、攻撃コードが公開され実際の攻撃が確認されている——これらの条件に該当する場合は、緊急対応として扱います。
- 一時的な緩和策の活用
- パッチ適用までに時間がかかる場合は、一時的な緩和策(ワークアラウンド)を実施します。該当ポートの遮断、機能の無効化、アクセス制限の強化などが考えられます。ベンダーが緩和策を公開している場合は、それに従いましょう。
ゼロデイ攻撃の詳細については、関連ページをご覧ください。
パッチ適用のリスク管理
パッチ適用自体にもリスクがあります。パッチによって既存システムが動作しなくなる、業務アプリケーションに影響が出るといった可能性があります。
- テスト環境での検証
- 可能であれば、本番環境に適用する前にテスト環境で検証しましょう。特に、基幹システムや業務アプリケーションへの影響を確認することが重要です。
- ロールバック計画
- パッチ適用後に問題が発生した場合に備え、元の状態に戻す(ロールバック)計画を立てておきましょう。バックアップの取得、復旧手順の確認などが含まれます。
- 適用タイミングの調整
- 業務影響を最小限にするため、業務時間外やメンテナンス時間帯にパッチを適用することを検討しましょう。ただし、緊急性の高い脆弱性の場合は、業務影響よりもセキュリティを優先すべき場合もあります。
資産管理による可視化
パッチ管理を効果的に行うためには、まず何を守るべきかを把握する必要があります。自社にどのようなIT資産があり、どのソフトウェアが稼働しているかを把握することが、脆弱性対策の第一歩です。
IT資産の棚卸し
IT資産の棚卸しとは、組織が保有するすべてのIT機器やソフトウェアを把握・管理することです。
| 資産の種類 | 管理項目の例 |
|---|---|
| ハードウェア | PC、サーバー、ネットワーク機器、プリンター、スマートフォン等 |
| ソフトウェア | OS、アプリケーション、ミドルウェア、ファームウェア等 |
| クラウドサービス | SaaS、IaaS、PaaS等の契約・利用状況 |
| ライセンス | ソフトウェアライセンスの保有・割当状況 |
- 資産管理台帳の作成
- IT資産の情報を一元管理するための台帳を作成しましょう。機器名、設置場所、IPアドレス、OS・ソフトウェアのバージョン、管理担当者、導入日などの情報を記録します。エクセルでの管理から始め、規模が大きくなれば専用の資産管理ツールの導入を検討しましょう。
- 定期的な棚卸しの実施
- IT資産は日々変化します。新しい機器の導入、廃棄、ソフトウェアの追加・削除などに対応するため、定期的(四半期ごとなど)に棚卸しを実施しましょう。
シャドーITの発見
シャドーITとは、情報システム部門が把握していない、従業員が独自に利用しているIT機器やサービスのことです。シャドーITは脆弱性管理の対象外となるため、セキュリティ上の大きなリスクとなります。
- シャドーITのリスク
- シャドーITは、パッチ管理やセキュリティ監視の対象外となるため、脆弱性が放置されたり、攻撃を検知できなかったりするリスクがあります。また、情報漏洩やコンプライアンス違反の原因にもなり得ます。
- シャドーITの発見方法
- ネットワークスキャンによる未知のデバイスの発見、クラウドサービスの利用状況監視(CASB)、従業員へのヒアリングなどの方法があります。発見したシャドーITは、正式な管理下に置くか、利用を停止するかを判断しましょう。
シャドーITの詳細については、関連ページをご覧ください。
SBOMとの連携
SBOM(Software Bill of Materials:ソフトウェア部品表)は、ソフトウェアを構成するコンポーネント(ライブラリ、フレームワークなど)の一覧です。
- SBOMの役割
- SBOMを活用することで、自社のソフトウェアにどのようなコンポーネントが含まれているかを把握できます。コンポーネントに脆弱性が発見された場合、影響範囲を迅速に特定し、対応を進めることができます。
- ソフトウェアサプライチェーン攻撃への対応
- サプライチェーン攻撃の一種として、OSSライブラリなどを経由したマルウェア混入があります。SBOMを管理することで、影響を受けるソフトウェアを特定し、迅速に対応できます。
SBOMの詳細については、サプライチェーン攻撃とSBOM|依存関係・脆弱性管理・署名検証をご覧ください。
自動更新の活用
パッチ管理の負荷を軽減するために、自動更新を活用することも有効です。ただし、すべての環境で自動更新が適切とは限りません。メリット・デメリットを理解した上で、適切に活用しましょう。
| 観点 | メリット | デメリット |
|---|---|---|
| 対応速度 | 最新パッチを迅速に適用 | 検証なしで適用される |
| 運用負荷 | 手動適用の作業を削減 | 問題発生時の対応が必要 |
| 業務影響 | 脆弱性放置のリスク軽減 | 予期せぬタイミングで再起動 |
自動更新が有効なケース
- クライアントPC
- 従業員が使用するPCは、Windows Updateなどの自動更新を有効にすることをお勧めします。多数のPCを手動で更新するのは現実的ではなく、更新漏れのリスクもあります。業務時間外(夜間や週末)に自動更新を実行するよう設定しましょう。
- ブラウザ・一般的なソフトウェア
- Chrome、Firefox、Edge、Adobe Readerなどのブラウザや一般的なソフトウェアは、自動更新を有効にしましょう。これらのソフトウェアは脆弱性が頻繁に発見され、攻撃の対象になりやすいです。
- クラウドサービス
- SaaSなどのクラウドサービスは、サービス提供者側で自動的にパッチが適用されます。利用者側での対応は不要ですが、サービス提供者のセキュリティ体制を確認することは重要です。
慎重な対応が必要なケース
- 基幹システム・業務システム
- 業務に直結するシステムは、パッチ適用による動作不良のリスクが大きいため、自動更新ではなく**計画的な手動適用**をお勧めします。テスト環境での検証を行った上で、メンテナンス時間帯に適用しましょう。
- サーバー
- サーバーへのパッチ適用は、再起動を伴う場合があり、サービス停止につながる可能性があります。適用タイミングを計画し、ロールバック手順を準備した上で実施しましょう。
- ネットワーク機器
- ルーター、ファイアウォール、VPN機器などのネットワーク機器は、ファームウェア更新により設定がリセットされたり、互換性問題が発生したりする可能性があります。変更管理プロセスに従って慎重に対応しましょう。
脆弱性情報の収集
パッチを適用すべき脆弱性を把握するためには、脆弱性情報を継続的に収集する必要があります。
- JVN(Japan Vulnerability Notes)
- IPAとJPCERT/CCが共同で運営する、日本国内向けの脆弱性情報ポータルサイトです。日本語で脆弱性情報が公開されており、国内で広く使用されているソフトウェアの脆弱性情報も掲載されています。メールでの通知サービスもあります。
- CVE(Common Vulnerabilities and Exposures)
- 米国MITRE社が管理する、脆弱性の共通識別子です。世界中の脆弱性情報が登録されており、「CVE-2024-XXXX」のような形式で識別されます。NVD(National Vulnerability Database)と連携しており、CVSSスコアも確認できます。
- ベンダーのセキュリティアドバイザリ
- Microsoft、Adobe、Cisco、Fortinetなど、各ベンダーは自社製品の脆弱性情報をセキュリティアドバイザリとして公開しています。自社で使用している製品のベンダーのアドバイザリを定期的に確認しましょう。
- IPA・JPCERT/CCの注意喚起
- IPAやJPCERT/CCは、特に影響の大きい脆弱性について注意喚起を発表しています。緊急性の高い脆弱性情報をいち早く入手できます。
| 情報源 | 特徴 | 確認頻度の目安 |
|---|---|---|
| JVN | 日本語、国内向け | 週1回以上 |
| NVD/CVE | 世界標準、網羅的 | 週1回以上 |
| ベンダーアドバイザリ | 製品別、詳細 | リリース時(月次程度) |
| IPA/JPCERT/CC注意喚起 | 緊急性の高いもの | 随時(RSS等で購読) |
- 情報収集の体制づくり
- 脆弱性情報は日々大量に公開されるため、自社に関係する情報を効率的に抽出する仕組みが必要です。使用しているソフトウェアのリストを作成し、関連する脆弱性情報を絞り込んで収集しましょう。RSS、メール通知、脆弱性管理ツールなどを活用すると効率的です。
VPN機器の脆弱性対策
サプライチェーン攻撃で特に狙われやすいのがVPN機器です。テレワークの普及によりVPN利用が増加したことで、攻撃対象としての重要性が増しています。
| 製品名 | 主な脆弱性(例) | 影響 |
|---|---|---|
| FortiGate(Fortinet) | CVE-2018-13379, CVE-2022-42475等 | 認証バイパス、リモートコード実行 |
| Pulse Secure(現Ivanti) | CVE-2019-11510, CVE-2021-22893等 | 認証情報窃取、リモートコード実行 |
| Citrix ADC/Gateway | CVE-2019-19781, CVE-2023-4966等 | リモートコード実行、セッションハイジャック |
| SonicWall | CVE-2021-20016等 | SQLインジェクション、認証バイパス |
- ファームウェアの更新
- VPN機器のファームウェアを最新版に保つことが最も重要です。ベンダーのセキュリティアドバイザリを定期的に確認し、重大な脆弱性が公表された場合は速やかにファームウェアを更新しましょう。
- 不要な機能の無効化
- VPN機器には様々な機能が搭載されていますが、使用しない機能は無効化しましょう。攻撃対象となる面(アタックサーフェス)を減らすことで、リスクを軽減できます。
- 認証の強化
- VPN接続には、パスワードだけでなく**多要素認証(MFA)**を導入しましょう。パスワードが漏洩しても、MFAにより不正アクセスを防ぐことができます。また、初期パスワードの変更、強力なパスワードポリシーの適用も重要です。
- ログ監視
- VPN機器のログを監視し、不審なアクセスを検知できる体制を整えましょう。通常と異なる時間帯のアクセス、大量のログイン失敗、異常な通信量などに注意します。
- 緊急時の対応計画
- VPN機器に重大な脆弱性が発見された場合の対応計画を事前に策定しておきましょう。パッチ適用の手順、一時的な緩和策、代替手段(VPNを停止した場合の業務継続方法)などを含めます。
中小企業向けの脆弱性対策
中小企業では、セキュリティ専任者がいない、予算が限られているなどの制約があります。限られたリソースでも実施できる脆弱性対策を紹介します。
- 自動更新の積極的活用
- 中小企業では、パッチ管理の専任者を置くことが難しい場合が多いです。クライアントPC、ブラウザ、一般的なソフトウェアについては、自動更新を積極的に活用しましょう。リスクよりもメリットが大きいケースがほとんどです。
- クラウドサービスへの移行
- オンプレミスのシステムをクラウドサービス(SaaS等)に移行することで、パッチ管理の負荷を軽減できます。クラウドサービスでは、サービス提供者側でパッチ管理が行われます。ただし、設定管理は利用者の責任となるため、注意が必要です。
- 外部サービスの活用
- 脆弱性管理を外部に委託することも選択肢の一つです。マネージドセキュリティサービス(MSS)や、脆弱性診断サービスを活用することで、専門知識がなくても脆弱性対策を進められます。
- 優先度の絞り込み
- すべての脆弱性に対応することは困難です。インターネットに面した機器(VPN機器、Webサーバーなど)と、重要度の高い脆弱性(CVSSスコア7.0以上など)に優先的に対応しましょう。
中小企業向けの詳細情報については、中小企業のサプライチェーン攻撃対策|最低限から始める防御をご覧ください。
関連する攻撃手法
脆弱性を悪用する攻撃手法は多岐にわたります。以下の攻撃手法についても理解を深めることで、より効果的な対策が可能になります。
- ゼロデイ攻撃
- パッチが公開される前の脆弱性を悪用する攻撃です。パッチ適用では防げないため、検知・監視体制の強化や、緩和策の迅速な適用が重要になります。
- VPN脆弱性悪用
- VPN機器の脆弱性を突いて侵入する攻撃です。サプライチェーン攻撃の入口として最も多く使用されている手法の一つです。ファームウェア更新と認証強化が重要です。
- ランサムウェア
- 脆弱性を悪用して侵入し、データを暗号化して身代金を要求する攻撃です。脆弱性対策とバックアップの両方が重要です。
- 不正アクセス
- 脆弱性を悪用して認証を突破し、システムに侵入する攻撃です。パッチ適用と認証強化(MFA等)で対策します。
- マルウェア感染
- 脆弱性を悪用してマルウェアをインストールする攻撃です。ブラウザやOffice製品などの脆弱性が悪用されることが多いです。
- 標的型攻撃(APT)
- 特定の組織を標的とした持続的な攻撃です。ゼロデイ脆弱性が使用されることもあり、多層的な防御が必要です。
- Nデイ攻撃
- パッチが公開された後、まだ適用されていないシステムを狙う攻撃です。パッチ公開後は攻撃が急増するため、迅速な適用が重要です。
脆弱性管理の全般的な情報については、脆弱性管理・パッチ運用もご覧ください。
よくある質問
- Q: パッチ適用で業務が止まるリスクは?
- A: パッチ適用により、システムが動作しなくなるリスクはゼロではありません。しかし、脆弱性を放置するリスクの方がはるかに大きいです。リスクを軽減するためには、テスト環境での検証、ロールバック計画の準備、業務影響の少ない時間帯での適用などの対策を講じましょう。クライアントPCや一般的なソフトウェアでは、業務影響が生じるケースは稀です。
- Q: すべてのパッチを即座に適用すべきですか?
- A: すべてを即座に適用する必要はありません。優先順位を付けて対応しましょう。インターネットに面した機器(VPN機器など)の重大な脆弱性は最優先、内部システムの軽微な脆弱性は定期メンテナンス時でも可、といった判断が必要です。ただし、攻撃が確認されている脆弱性や、CISAのKEVカタログに登録された脆弱性は、緊急対応が必要です。
- Q: 脆弱性情報を毎日チェックする必要がありますか?
- A: 毎日チェックすることが理想ですが、リソースが限られている場合は週1回程度でも構いません。ただし、IPAやJPCERT/CCの緊急注意喚起は、RSSやメール通知で随時受け取れるようにしておきましょう。自社で使用している製品に関する重大な脆弱性情報は、見逃さないようにすることが重要です。
- Q: VPN機器の脆弱性対策で最も重要なことは?
- A: 最も重要なのは**ファームウェアを最新版に保つこと**です。VPN機器の脆弱性は、サプライチェーン攻撃やランサムウェア攻撃の入口として頻繁に悪用されています。ベンダーのセキュリティアドバイザリを定期的に確認し、重大な脆弱性が公表された場合は速やかに対応しましょう。併せて、MFAの導入、ログ監視、不要な機能の無効化も重要です。
- Q: 脆弱性管理ツールは導入すべきですか?
- A: 組織の規模や管理対象の数によります。数十台程度であればエクセル管理でも対応可能ですが、数百台以上の機器を管理する場合は、脆弱性管理ツールの導入を検討しましょう。ツールを導入することで、資産の可視化、脆弱性スキャン、パッチ適用状況の管理などを効率化できます。中小企業向けには、クラウド型の低コストなサービスもあります。
まとめ
サプライチェーン攻撃を防ぐ脆弱性対策について解説しました。要点を整理します。
- サプライチェーン攻撃の多くは脆弱性を悪用して侵入する
- 特にVPN機器の脆弱性が狙われやすい
- パッチ管理は優先順位を付けて計画的に実施
- 資産管理による可視化が脆弱性対策の第一歩
- 自動更新はクライアントPCや一般ソフトウェアで活用
- 脆弱性情報はJVN、CVE、ベンダーアドバイザリから収集
- 中小企業は自動更新とクラウド移行を積極的に活用
次のステップとして、サプライチェーン攻撃の検知と監視|ログ・EDR・SIEM・脅威情報共有を解説で、検知・監視体制の構築方法を確認しましょう。
対策カテゴリの全体像は、サプライチェーン攻撃の対策|自社で実践すべき防御策を解説をご覧ください。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
- 基礎知識を学ぶ
- 事例・動向を知る
- 自社の対策を始める(現在のカテゴリ)
- 取引先管理を強化する
役職・立場別に探す
業種別に探す
人気のページ
更新履歴
- 初稿公開
