サプライチェーンのイメージ

サプライチェーン攻撃とは?

サイバー犯罪のイメージ

サイバー犯罪は比較的セキュリティ対策が手薄な中小企業のシステムに侵入をし、それを足がかりにグループの親会社の主幹システムに侵入をし企業の機密情報や顧客情報を窃取するなどの方法で被害が増加してます。

サイバー攻撃は日々巧妙化、多様化し、ビジネスにおけるサプライチェーンは高度化、複雑化しています。これまでのサイバー攻撃は、ターゲットとなる企業を直接狙っていましたが、昨今ではサプライチェーンのなかにある取引先である準大手、中堅企業を足がかりにした不正侵入による被害が増えています。サイバーセキュリティに対するリスクは、業種・業態・事業規模に関係なく、サプライチェーンを構成するすべての事業者が背負わなくてはならないものとなっています。サプライチェーン攻撃とは、このようにサプライチェーンを悪用したサイバー攻撃のことです。

サプライチェーンの解説

サプライチェーンとは製品の原材料・部品の調達から、製造、在庫管理、配送、販売、消費までの全体の一連の流れのことです。昨今のサプライチェーンは、それぞれのプロセスが別々にあるのではなく、全体の効率化に向けて、一連の流れとして管理し、連携する取り組みがされており、これをサプライチェーン・マネジメント(SCM)といいます。

サプライチェーンマネジメントの流れ

一連の流れを管理し各関連する会社が連携をして取り組むことをサプライチェーンマネジメント(SCM)と呼びます

サプライチェーン攻撃の事例

犯罪者のイメージ

主にパソコンやスマホなどのコンピュータなどの電子的手段を用いて、企業が保管している個人情報や営業秘密情報などを盗み出したりサーバを攻撃し企業に被害を与えることをサイバー犯罪(ネット犯罪)と言います。

サプライチェーン攻撃によるセキュリティインシデントのパターンは「インターネット × 不正アクセス」「ITソリューション × 人的ミス」「ITソリューション × 内部不正」の大きく3つに分けられます。
「インターネット × 不正アクセス」はシステムの脆弱性を狙った標的型攻撃やマルウェア感染などで企業の機密情報や個人情報窃取を狙ったもので、システムの脆弱性に向けた直接的な攻撃により不正侵入をすることです。「ITソリューション × 人的ミス」は標的型攻撃メールなどで企業の従業員の人的ミスを誘った攻撃により会社の重要情報を盗み取ることを目的としたもので、間接的にシステム不正侵入のための情報窃取を狙ったものです。「ITソリューション × 内部不正」は企業の従業員、グループ会社の従業員、業務委託をしている関係者などが実行するため、業務アカウントを悪用し企業の重要情報や顧客の個人情報を盗み取り情報漏えい事故が発生します。
それぞれのセキュリティインシデントのパターンと合わせて実際に起ってしまった事故を例に詳しく見ていきましょう。

世界中で起こっているソフトウェアに由来した攻撃

インターネット × 不正アクセス

予め特定のターゲットを絞るのではなく、正規のフリーソフトウェアにマルウェアを忍ばせておき、そのソフトウェアをインストールする際にパソコンがマルウェアに感染させてしまうという不特定多数のユーザに向けた無差別な犯行です。企業の従業員がインストールをすれば会社の顧客情報や個人情報、営業秘密情報を盗み取れる可能性があることを目的としています。マルウェアは放っておくと会社のサーバに保管しているファイルに感染させて社内システムを乗っ取ることも可能です。乗っ取られたシステムは外部のC2サーバにマルウェアによる不正通信で情報を送り込んで会社内部の情報を自動的に盗み取ることも可能です。

マルウェア感染による情報漏えい

  • 保守ベンダーから、マルウェアに感染したフリーソフトウェアに由来する不正通信が検出されたとの報告があった。
  • システム担当が導入していた端末運用管理ソフトウェアにより、フリーソフトウェアをインストールした端末を特定し、
    早急に端末をネットワーク(インターネットに接続)から切り離した。
  • 不正通信は、正規のフリーソフトウェアに埋め込まれたマルウェアによるものであり、フリーソフトウェアを利用していた
    感染端末以外からの不正通信等はないことを確認した。
フリーソフトウェアに由来した攻撃の概要図

【出典】内閣サイバーセキュリティセンター(NISC):2017年度 重要インフラにおける補完調査について

このサプライチェーン攻撃の考察と対策

情報漏えい事故までに発展せず「ヒヤリハット」の段階で済んだものの、気が付かずに長い期間放置していたら事故に直結していた事例です。会社から支給され業務で使用しているパソコンには業務で利用することの無いソフトウェアをインストールすることは原則的に禁止されています。デフォルトでインストールされているソフトウェア以外のものを業務で利用したい場合は情報システム部門が推奨しているソフトウェアを利用するか、代用が効かない場合は申請をしてから利用することが一般的です。それに伴い、情報システム部門は推奨していないソフトウェアを利用する際には事前に検証をしておくことも必要です。

プロスポーツのファンクラブ会員を狙ったサイバー攻撃

インターネット × 不正アクセス

Webアプリケーションの脆弱性を狙った攻撃による不正アクセスでデータベースサーバに保管されている個人情報を盗み取る犯行です。Apache Struts2とはWebアプリケーションを開発するためのソフトウェアフレームワークで国内のWebサイトでも多く利用されているものです。公開されていた脆弱性を狙いシステムに不正侵入が可能だったことからWebアプリケーションの脆弱性対策をしていなかったことが原因でした。

Webアプリケーションへの攻撃による個人情報窃取(Apache Struts2 の脆弱性)

  • 男子プロスポーツ法人Aの事案(2017年4月25日業務委託先企業より公表)
  • 最大約150,5000件の個人情報(クレジットカード情報約32,000件含む)が搾取(または閲覧)された可能性
  • カードの不正利用は、379件、約880万円の被害が報告(2017年5月8日時点)
委託先へのサイバー攻撃(男子プロスポーツ法人の事案)の概要図

【出典】情報処理推進機構(IPA):サイバー攻撃はサプライチェーンを狙う ~ サプライチェーンの情報セキュリティ対策 ~

このサプライチェーン攻撃の考察と対策

WebアプリケーションやWebサイトはインターネットに公開されているもので24時間365日どこからでもアクセスができる為、不特定多数の人がいつでも見ることができます。中には悪意のある攻撃者にも発見されることがあり常に危険にさらされていることを認識しなければいけません。ソフトウェアフレームワークであるApache Struts2 の脆弱性は公開されていますので、脆弱性診断をした際に照らし合わせて見ると理解ができ、対策方法も考えることが出来ます。
【参考】独立行政法人情報処理推進機構(IPA)セキュリティセンター:Apache Struts2 の脆弱性対策情報一覧

通信販売用サイトを狙ったサイバー攻撃

インターネット × 不正アクセス

Y社が開発、保守を行っているECサイトの脆弱性を狙った標的型攻撃による顧客情報漏えい事故です。SQLとはデータベース管理システムにおいてデータを検索したり更新する場合に利用される言語のことで、SQLインジェクションとはSQLを悪用したものでありデータベースとWebアプリケーションが連動したECサイトのようなWebサイトにある手法です。脆弱性を放置しておくと個人情報などが盗み出されたり、Webサイトが改ざんされたりします。結果的にX社の資産である顧客の個人情報が漏えいしてしまったため、Y社はX社より損害賠償請求を受けることになりました。

Webアプリケーションへの攻撃による個人情報窃取(SQLインジェクション)

  • Y社が構築したX社の通信販売用サイトが、SQLインジェクションによる不正アクセスを受け、過去に利用した顧客のクレジットカード情報を含む個人情報が流出。
  • ウェブサイトを構築したY社は、X社から個人情報漏えい対応費用や原因究明のための調査費用および売り上げの減少に対して約1億円の損害賠償請求を受けた。(東京地判2014年1月23日判時2221号71頁)
委託先へのサイバー攻撃(通信販売用サイトの事案)の概要図

【出典】情報処理推進機構(IPA):サプライチェーンのセキュリティ脅威に備える ~ 今何がおこっているのか、あなたは何をすればいいのか ~

このサプライチェーン攻撃の考察と対策

SQLインジェクションの脅威はデータベースを直接操作できてしまう点で、個人情報、顧客情報など直接情報を盗まれたり、重要情報の改ざんなどで間接的に情報を盗み取ることが可能です。対策方法はWebアプリケーションのプログラムの問題を解決する方法が有効で脆弱性の原因をつくならい為の「エスケープ処理の実施」や保険的対策として攻撃による影響を低減するために「エラーメッセージを非表示にする」「データベースアカウントの権限見直し」などが挙げられます。また実際に攻撃されているか痕跡を確認するために「iLogScanner」を利用しWebサーバのログから定期的に解析を行うことで自己チェックによる安全性の確認を実施することが出来ます。
【参考】独立行政法人情報処理推進機構(IPA)セキュリティセンター:SQLインジェクション対策について

防衛産業・セキュリティ企業を狙ったサイバー攻撃

ITソリューション × 人的ミス

米国トップレベルの武器製造・軍事サービスを誇り強固なセキュリティ技術を持っている大企業ですが、最終的にはシステムの不正侵入を許してしまった世界的に有名な事故です。攻撃者は綿密な計画により犯行に及んだと言われており、事前に十分な調査のもと戦略的な多段攻撃を仕掛けていました。「RSA SecurID」とは防衛産業の軍需関連情報を保有しているロッキード・マーティン社のシステムに入るためのアカウント情報が入っており、それを利用することでシステムへの侵入が可能となります。「RSA SecurID」の情報を持っているEMC社の人的ミスを誘った標的型攻撃メールによる犯行により「RSA SecurID」の情報窃取が実現できました。

標的型攻撃メールによるシステムへの不正侵入

  • 軍需情報を狙った戦略的な多段攻撃(2011年3月~5月)
  • 2011年3月に米EMC社からのRSA SecurIDに関する情報を窃取
  • 2011年5月に米ロッキード・マーティン社に対して、窃取されたRSA SecurID関連情報を悪用した侵害活動が発生
  • 攻撃者の真の狙いは米ロッキード・マーティン社の軍需関連の情報だったと言われている
ロッキード・マーティンの事例

【出典】情報処理推進機構(IPA):新しいタイプの攻撃」の対策に向けた設計・運用ガイド 改訂第2版

このサプライチェーン攻撃の考察と対策

標的型攻撃メールに添付されていたエクセルファイルをクリックすることでバックドアが作成されEMC社のシステム不正侵入を許し、「RSA SecurID」の情報を盗み取られてしまったことが発端でした。サプライチェーン攻撃の対策は自社の従業員だけではなくグループ会社や業務委託をしている関係者に対しても情報セキュリティに対する意識高揚をするために、標的型攻撃メール訓練サービスなどで人的対策を実施することも必要とされます。どんなに優れた技術を持った企業でも働く従業員一人ひとりがが気をつけなければ、最終的には人的ミスによる情報漏えい事故が発生してしまいます。

グループ企業における内部不正

ITソリューション × 内部不正

業務委託していた大手学習塾グループ会社以外の関係者の犯行による顧客情報漏えい事故です。大手学習塾グループ会社が事故に気がついたのはサービスを利用している顧客からの苦情によるもので、登録していないパソコンソフトウェア販売業者からDM(ダイレクトメール)が届くようになり不審に思った為、お問い合わせをしたところ内部調査を実施し発覚した経緯があります。

顧客情報データベースへの不正侵入

  • 大手学習塾の委託先社員が個人情報約4,858万人を持ち出し、名簿業者3社に売却(2014年10月2日報道)
  • 不正競争防止法違反(営業秘密の複製)容疑で警察に逮捕された
  • 発覚経緯:顧客からの苦情
  • 事故の要因:顧客情報データベースには*アクセス制限機能・情報流出防止機能が用意されていたが、スマートフォンの新しいデータ交換規格に対応していなかった。委託先社員は流出防止機能を解除して犯行に及んでいた。
グループ企業における内部不正の概要図

【出典】情報処理推進機構(IPA):サプライチェーンのセキュリティ脅威に備える 〜今何がおこっているのか、あなたは何をすればいいのか 〜

このサプライチェーン攻撃の考察と対策

業務委託をしていたグループ会社以外の関係者による犯行のため、グループ会社では把握できない点や管理が届かなかった点がありました。関係者であっても、業務で利用する範囲のアカウント権限に留めたりアクセスログを監視するなど、顧客情報が入っているデータベースは厳重な管理が必要とされます。また外部デバイス(USBメモリー)へのデータ書き込みは禁止されていましたが、私物のスマートフォンにデータを複製し顧客情報を持ち出すことに成功したため名簿業者へ売却が可能となりました。デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式であるMTP(Media Transfer Protocol)の使用制限が出来ていなかったことが要因となりました。このように特殊なデータ規格であるスマートフォン経由でデータを持ち出すことが可能となるためMTPによるファイル転送の対策を実施することも必要とされます。

サプライチェーン攻撃の手口

脆弱性をついたハッキングのイメージ

サイバー犯罪を実行する攻撃者はシステムの脆弱性を見つけ侵入し企業や団体の機密情報や個人情報を詐取をします。

サプライチェーンを一連の流れで考えて全体効率化をはかるには、そこに必ずITシステムが存在します。サーバやネットワークなどのインフラや、メールや様々なアプリケーションなどによって情報の伝達や連携がはかられています。サプライチェーンに対するサイバー攻撃のリスクはここにあり、攻撃者はシステムの脆弱性などの穴をみつけて侵入し、最終的に攻撃対象とする企業や団体にたどり着き、個人情報など重要な情報の詐取などを行います。

インターネット経由で販売の役割をするECサイト運営会社を例にして考察

委託元と下請け企業の関連図とサイバー攻撃の侵入経路の例

2次請け企業がECサイト運営会社の例です。攻撃者はセキュリティ対策が手薄な2次請け企業、3次請け企業を攻撃し、それを足がかりに内部に侵入します。目的となる取引先の大企業に侵入をし機密情報や個人情報を窃取します。

例えばECサイト運営会社で考えてみましょう。サイバー攻撃によってクレジットカード情報、住所や名前の個人情報の漏えいからポイント不正利用や個人情報リストを転売する事故が起こってしまった場合、実際問題として一時的なサイトの閉鎖を余儀なくされ売上の減少につながるだけでなく、社会的に信用を失い、ブランドイメージは失墜してしまいます。ECサイトそのものがセキュリティ対策をしっかりとしていたとしても、複雑に構成されたシステムやサプライチェーンのなかに一つでも穴があれば、そこからすべてが崩れ去るというリスクをかかえています。
もちろんECサイトそのものは、個人情報を扱うとともに、クレジットカード等による決済がおこなわれるため、万全のセキュリティ対策を施す必要があります。新規にWebサイトを構築したときはもちろん、定期的にWebサイトの脆弱性診断を行うことで、セキュリティの入り口対策をし、攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防がなければなりません。定期的なツール診断の実施が有効ですが、大量の個人情報を取り扱っているECサイトでは、実際にユーザがアクセスする場合と同じ環境で、ツール診断ではカバーしきれないセッション管理系の手動診断も合わせて実施することが求められます。

Webアプリケーションへの攻撃

ECサイトのデータベースを狙った攻撃による個人情報窃取(SQLインジェクション)

SQL(Structured Query Language)とは、データベース管理システム(DBMS)においてデータを検索したり更新する場合に利用される言語のことで、SQLインジェクションとは、データベースと連動したWebアプリケーションへの攻撃手法です。脆弱性のひとつであり、これが悪用されるとデータベースにある個人情報などが盗み出されたり、改ざんされたりします。

SQLインジェクション

Webアプリケーションの脆弱性を攻撃し不正なSQL文を入力することでデータベースを改ざんしデータ窃取を行います。
【参考】独立行政法人情報処理推進機構(IPA)セキュリティセンター:SQLインジェクション対策について

セッションハイジャックによる攻撃者がユーザのなりすまし(クロスサイトスクリプティング)

クロスサイトスクリプティング(XSS)とは、ユーザが入力した情報を表示するようなWebアプリケーションの脆弱性を利用した攻撃手法です。脆弱性のあるサイトにスクリプトが埋め込まれるところから攻撃が始まり、掲示板サイトやTwitterのような、ユーザからの入力内容をWebページに表示するWebアプリケーション(「インタラクティブ(相互作用、双方向)」サイト)において、Webサイトの脆弱性を利用した攻撃手法を指します。攻撃者は入力内容に、スクリプト付のリンクを貼ることや対象となるページにアクセスするとスクリプトが動作する等の罠を仕掛けます。被害者となるユーザが誤って罠を実行する(リンクをクリックすることやページにアクセスする等)と、セキュリティ的に問題のある別のウェブサイト(クロスサイト)に対し、脆弱性を利用した悪意を持った実行内容(スクリプト)が含まれた通信が実行されます。その結果、偽ページに誘導され個人情報などの重要情報の入力を促すフォームが立ち上がったりする場合があります。またCookie(ブラウザから取得できるユーザのコンピュータ上の情報)を取得する作りとなっている場合があり悪意のあるスクリプトが実行されると個人情報の窃取やマルウェア感染によるユーザのセッションハイジャックで、なりすましに利用されてしまう被害も発生してしまいます。

クロスサイトスクリプティング(XSS)の攻撃型は「格納型」「反射型」の2種類に分けられます。「格納型」は対象となるWebサイトを直接攻撃するもので悪意のあるスクリプトをHTMLに埋め込ませてユーザがアクセスするとスクリプトが実行され偽サイトのページに誘導され個人情報を入力する偽会員登録フォームが立ち上がったりします。「反射型は」2つのサイトを利用し、掲示板サイトで罠リンクをクリックしてしまうと脆弱性のあるサイトで予め仕掛けてあるスクリプトが実行され、ユーザのパソコンで脆弱性のサイトのスクリプトからのレスポンスとして表示されます。どちらのタイプも偽サイトに誘導するため攻撃であるため、ユーザは偽サイトのフォームに気が付かず入力をし送信をしてしまうと、攻撃者に個人情報が送信されてしまい会員情報を悪用されてしまいます。
【参考】独立行政法人情報処理推進機構 (IPA)セキュリティセンター:AppGoatを利用した集合教育補助資料 〜 クロスサイトスクリプティング編 〜

サイト不正改ざんによるクレジットカード情報の詐取(クロスサイトリクエストフォージェリ)

クロスサイトリクエストフォージェリ(CSRF)とは、Webアプリケーションに存在する脆弱性によって、会員サイトなどにログインした利用者がフォームなどに書き込みをした場合、本来の目的とは違う処理が行われる攻撃手法です。偽サイトに誘導させる悪意のあるスクリプトを正規のサイトに埋め込み、偽サイトに誘導させ、そのフォームにクレジットカードの情報を入れると犯罪者が情報詐取する手法です。

クロスサイトリクエストフォージェリ(CSRF)

クロスサイトリクエストフォージェリ(CSRF)は会員サイト(ログインが必要なサイト)などで利用される手法です。
偽サイトを見分けるにはブラウザのURLが表示されている箇所を確認し、ドメインが異なるサイトのページであれば要注意です。
【参考】独立行政法人情報処理推進機構 (IPA)セキュリティセンター:AppGoatを利用した集合教育補助資料 〜 クロスサイトリクエストフォージェリ編 〜

サーバへの攻撃

攻撃目標であるサーバに対して大量のデータを送り付ける攻撃(DoS攻撃)

DoS攻撃とは、Denial of Service Attackのことで、Webサーバに対して、大量なデータを送りつけることで、高負荷に耐えられずサイトをダウンさせることを目的にした攻撃です。古典的なものにF5アタックと呼ばれるものがあります。F5を押すことでhttpリクエストを要求できるため攻撃対象に大きな負荷をかけ、アプリケーションそのものをダウンさせることできます。

DoS攻撃

DoS攻撃を受けてサーバダウンしてしまったWebサイトにアクセスをすると「HTTP 503」のService Unavailable(「サービス利用不可」)というエラーが出てしまいます。
その他にも5xx系のエラーが出てしまった場合は、原因はサーバ側にありますので何らかのサーバエラーのためWebサイトに接続できなくなってしまいます。
【参考】独立行政法人情報処理推進機構 (IPA):サービス運用妨害 (DoS)

サーバの脆弱性をついた侵入により間接的に本来のターゲットを攻撃(DDoS攻撃)

DDoS攻撃とは、Distributed Denial of Service attackのことで、DoS攻撃との違いはトロイの木馬などのマルウェアを使って複数のマシンを乗っ取ったうえで、攻撃をしかけることで、DoS攻撃よりもさらに大きな負荷をかけることができます。また攻撃者は踏み台にされているだけで意図しているわけでなく、また対象が分散しているので、攻撃者の特定は難しくなります。

DDoS攻撃

DDoS攻撃は複数のコンピュータ機器の脆弱性をついてマルウェアなどを使用し乗っ取り、標的となるサーバを攻撃するものです。乗っ取られた機器は踏み台とされるため、攻撃したことにすら気が付かないことが多いです。
【参考】独立行政法人情報処理推進機構 (IPA):情報セキュリティ10大脅威 2019 サービス妨害攻撃によるサービスの停止

攻撃者によるリモートハッキング(不正侵入)

攻撃者は攻撃目標の選定、偵察などを計画を練り、攻撃用サーバや攻撃メールを準備します。図を見て順を追って行くと、①の標的型メール送付でシステム内の機器に対してマルウェア感染をさせます。メールを開封したりメール内のリンクをクリックすることでパソコンがウイルス感染をし攻撃者が②のバックドアという見えない仕掛けをつくります。バックドアを手がかりにパソコンの端末情報やネットワーク構成把握をし③内部調査潜入で、サーバ不正ログインや管理サーバ乗っ取りで他端末への攻撃範囲拡大をしていきます。攻撃用サーバと不正通信をすることで、ID、パスワードがあるアカウント情報や顧客情報などの④情報搾取を行います。

スマートフォンアプリへの攻撃

アプリのプログラムを解読し偽造したコピーアプリを配布(リバースエンジニアリングによる不正改ざん)

モバイルアプリは、小売、銀行、旅行、ファーストフードなど様々な業種で利用が広がっています。特に昨今はモバイル端末を使ったキャッシュレス決済が注目を集めています。モバイルデバイスの利用用途が拡大し、個人情報や現金同様の支払い機能を有することによって、サイバー犯罪の対象としてハッキングの脅威は高まり、モバイルアプリに絡んだ不正利用や不正アプリによる被害が増加し続けています。リバースエンジニアリングとは、ソフトウェアやアプリの構造や仕組みを分析して明らかにすることですが、これを悪用して偽造アプリなどを作成したり、脆弱性を悪用したりする犯罪が近年多発しています。

スマートフォンアプリへの攻撃

不正リバースエンジニアリングを防止するためにはソースコードの難読化や暗号化が必要になります。AndoroidアプリのJava実行バイナリは逆コンパイルで元ソースコードを取り出すことが可能です。Android APKファイル、Manifast.xml、Assets & libの.datファイルなどはアプリの基本設定ファイルであるため、難読化や暗号化をし解読できないようにする必要があります。
【参考】独立行政法人情報処理推進機構 (IPA):Androidアプリケーションの脆弱性発生ポイントとその傾向(株式会社ユビテック ソフト評価・検証室)

標的型攻撃

大企業の場合は対策が手薄な中小企業を攻撃し侵入(標的型攻撃メール)

標的型攻撃とは、機密情報を盗み取るなどの明確な目的をもってターゲットを絞り、特定の個人や組織を狙った攻撃です。情報漏えいの最大の脅威は、標的型攻撃メールによる情報流出であり、被害の件数、流出する個人情報も増加しています。標的型攻撃メールとは、企業や官公庁など、特定の組織に対して、メールやWebサイトを利用してPCをウイルス感染させて、遠隔操作によって、組織内のサーバにアクセスして企業情報や個人情報を盗み取る攻撃です。標的型攻撃メールは同一企業、組織内の複数名に送付され、そのなかの一人でも開封すれば情報窃取につながる可能性があり、情報漏えいのリスクを低減させるためには、大企業から中小企業までサプライチェーンのなかで人的対策をとる必要があります。

標的型攻撃メール

攻撃者は委託元や1次請け企業はセキュリティが強固なため侵入しにくいことから、2次請け企業、3次請け企業に向けて標的型攻撃メールを送信します。その中で1人でも開封してしまったり、添付ファイルをクリックしたり、メール内のURLをクリックしたりすることで、従業員のパソコンにマルウェアなどのウイルス感染させたりし、企業のサーバに不正アクセスをし機密情報を窃取します。中には委託元や1次請け企業のシステムに不正侵入するためのセキュリティ情報もあり、利用して委託元や1次請け企業が管理をしている顧客の個人情報のデータベースに不正侵入ことも考えられます。

サプライチェーン攻撃の対策方法

サプライチェーン攻撃のあらゆる手口から守るためには、攻撃の対象となる部分に着目をしセキュリティ対策を実施する必要があります。それぞれ対象となる箇所のWebアプリケーション対策、サーバ対策、スマートフォンアプリ対策、人的対策の4つに分けて見ていきましょう。

Webアプリケーションのセキュリティ対策

「Webアプリケーション脆弱性診断」「脆弱性手動診断サービス」は脆弱性を洗い出し対策を実施することでリスクを未然に回避することが出来ます。「Web改ざん検知」は万が一、改ざんが発見された場合はメンテナンス画面に切り替わりWebサイトやWebアプリケーションが長時間、危険な状態になることを防止できます。

Webアプリケーション脆弱性診断

WebSiteScan

【年間2回チケットプラン】198,000 円(診断2回)〜
【年間回数無制限プラン】300,000 円/年(診断回数無制限)

セキュリティ診断・脆弱性手動診断サービス

WebSiteScan Pro

【手動診断プラン】50,000 円(1遷移)〜

Web改ざん検知

GRED Web改ざんチェックCloud

【基本ライセンス費用】30,000 円/月
 (解析回数:4回/日、URL数:1,000、ホスト数:1FQDN)
【ホスト追加ライセンス費用】10,000円/月(1ホスト追加)
【URL追加ライセンス費用】10,000円/月(1,000URL追加)

ユースケース(Webアプリケーション脆弱性診断)

当社で提供する脆弱性診断の具体例の一部で、様々なWebサイト/Webアプリケーションのタイプやシステム構成に分けて考え実施します。

サーバのセキュリティ対策

「ペネトレーションテスト」ではシステム全体の観点で不正侵入の可能性がある弱点を把握を把握するために、あらゆる技術を用いて疑似攻撃を行い、万が一不正侵入をされた場合でも実地訓練を行うことで不正侵入後の対処を知るために人的対策まで行います。またペネトレーションテストは様々な攻撃を想定したユースケースで仮説(シナリオ)を作成し実施するため具体的なテスト内容の結果をもとに対策を実施することができます。システム内に潜む脆弱性や弱点があると分かった段階で「プラットフォーム脆弱性診断」でサーバOSなどのプラットフォーム層に潜む脆弱性を洗い出し、レポートをもとに脆弱性の対策を実施することでリスクを未然に回避することができます。また「Webアプリケーションファイアウォール」はインターネット上の「盾」となり、外部からのサーバへの攻撃を防御をし継続的なセキュリティ対策が実施できます。

ペネトレーションテスト

外部/内部、PCI DSS向け、組込みシステム向け

【外部/内部ペネトレーションテスト(Blackbox 型/シナリオ型)】2,100,000円〜
【PCIDSS 向けペネトレーションテスト(ネットワーク、アプリケーション)】2,100,000円〜

プラットフォーム脆弱性診断

SiteScan 2.0

【年間1回チケットプラン】70,000 円(1IP)〜
【年間回数無制限プラン】216,000 円/年(3IP)〜

Webアプリケーションファイアウォール

Scutum

【初期費用】98,000円(1FQDN)〜
【月額費用】29,800円(1FQDN)〜

ユースケース(ペネトレーションテスト)

当社で提供するペネトレーションテストの具体例の一部で、様々なシナリオを元に実践的なテストを実施します。

スマートフォンアプリのセキュリティ対策

「モバイルアプリ向け脆弱性診断サービス」「モバイルアプリ向け脆弱性手動診断サービス」はスマートフォンアプリの脆弱性を洗い出し対策を実施することで、ハッキングからの不正利用や個人情報漏えいのリスクを未然に防止することが出来ます。「次世代型モバイルアプリ保護サービス」はソースコードの難読化やバイナリ暗号化を行うことで、リバースエンジニアリングによる不正改ざんを防止し継続的なセキュリティ対策を実施することが出来ます。

モバイルアプリ向け脆弱性診断サービス

AppChecker

【ツール診断(AndroidまたはiOS)】300,000 円(1App/ID/回)
【ツール診断・追加ロール(AndroidまたはiOS)】150,000 円(1App/ID/回)

モバイルアプリ向け脆弱性手動診断サービス

AppChecker Pro

【手動診断(AndroidまたはiOS)】1,000,000 円/式〜
【報告会 + フォローアップ】160,000 円/式

次世代型モバイルアプリ保護サービス

AppProtect

【アプリ保護サービス(AndroidまたはiOS)】60,000 円/月/式〜

ユースケース

当社で提供するモバイルアプリ向け脆弱性手動診断サービスや次世代型モバイル保護サービスの具体例の一部で、様々な攻撃手法に分けて考え実施します。

標的型攻撃対策(人的対策)

「標的型攻撃メール訓練サービス」は悪意のある迷惑メール(スパムメール)を誤って開封し添付ファイルを開いたり、メール内のリンクを踏んでしまい、パソコンやスマートフォンがウイルスに感染してしまうことを事前に防止するために、メール訓練によって従業員のセキュリティに対しての意識を高める訓練を実施することが出来ます。

標的型攻撃メール訓練サービス

Security Blanket MT

【SaaS型】440,000 円/回〜
【オンプレミス型】1,800,000 円〜(ライセンス無制限、機器リース)

サプライチェーン攻撃の対策に関する
セキュリティサービスの費用

アイティーエムは、お客様のニーズに合わせて選べる複数のセキュリティサービスをご用意しています。ぜひお気軽にご相談ください。各サービスの詳細は表の下のボタンより価格表ページにジャンプします。

脆弱性診断サービス・モバイルアプリ保護サービスの価格例

ツール 手動
Webサイト/Webアプリケーション脆弱性診断 WebSiteScan
【年間2回チケットプラン】
198,000 円(診断2回)〜

【年間回数無制限プラン】
300,000 円/年
(診断回数無制限)
WebSiteScan Pro
【手動診断プラン】
50,000 円(1遷移)〜
スマートフォン用サイト脆弱性診断 WebSiteScan
【年間2回チケットプラン】
198,000 円(診断2回)〜

【年間回数無制限プラン】
300,000 円/年
(診断回数無制限)
WebSiteScan Pro
【手動診断プラン】
50,000 円(1遷移)〜
OS・ネットワーク・ミドルウェア脆弱性診断 SiteScan 2.0
【年間1回チケットプラン】
70,000 円(1IP)〜

【年間回数無制限プラン】
216,000 円/年(3IP)
WebSiteScan Pro
【手動診断プラン】
50,000 円(1遷移)〜
モバイルアプリ脆弱性診断 AppChecker
【ツール診断】
300,000円(1App/ID/回)
AppChecker Pro
【手動診断】
1,000,000円〜(1式)
Web API脆弱性診断 AppChecker
【ツール診断】
300,000円(1App/ID/回)
AppChecker Pro
【手動診断】
1,000,000円〜(1式)
モバイルアプリ保護 AppProtect
【アプリ保護】
60,000円(1App/月/式)

Web改ざん検知の価格例

種別 概要 単位 サービス価格
初期費用 月額費用
基本ライセンス 1,000URLまで/1日4回解析 1FQDN 30,000円
ホスト追加 1FQDN 10,000円
URL追加 1,000URL 10,000円

標的型攻撃メール訓練サービスの価格例

種別 概要 単位 サービス価格
初期費用 月額費用
SaaS型 基本料金 1式 300,000円
送信アカウント ~100アカウント 1回 140,000円
2回 200,000円
送信アカウント ~500アカウント 1回 210,000円
2回 300,000円
送信アカウント ~1000アカウント 1回 280,000円
2回 400,000円
送信アカウント ~2000アカウント 1回 350,000円
2回 500,000円
オンプレミス型 卓上タイプ(機器リース) 1台 1,800,000円
ラックマウントタイプ(機器リース) 1台 2,200,000円
次年度ライセンス更新 1台/年 360,000円

対象サービス

セキュリティ診断・脆弱性診断サービス

SiteScanシリーズ

お客さまのネットワーク/サーバー、Webアプリケーションの脆弱性を洗い出し、攻撃者からの悪意のある攻撃や情報漏えい事故などのリスクを未然に回避するためのセキュリティ診断サービスです。他社が設計・構築したシステムでも診断可能ですので、システムの懸念点を抱えているお客さまに広くご提供可能です。お客さまが抱えている課題に合わせて、 SiteScan2.0WebSiteScanWebSiteScanProの3つのシリーズよりお選びいただけます。

Webアプリケーションファイアウォール

Scutum

外部からの通常のインターネットからの正常な通信上は何も影響はありません。一方内部からの運用上の管理等はSaaS型サービスなので何も意識をすることなくシステムをご利用いただけます。
Scutumは外部からの標的型攻撃などの危険な不正アクセス、内部からのウイルス拡散等による情報漏えい事故を未然に防止します。

Web改ざん検知

GRED Web改ざんチェック Cloud

JavaScript の変化を見ることにより改ざん検知する「スクリプト変化検知エンジン」、HTML 内の 特定タグsrc 属性や href 属性変化を検知する「リンクタグエンジン」を実装。

標的型攻撃メール訓練サービス

Security Blanket MT

悪意のある迷惑メール(スパムメール)を誤って開封し添付ファイルを開いたり、メール内のリンクを踏んでしまい、パソコンやスマートフォンがウイルスに感染してしまうことを事前に防止をするメールトレーニングサービスです。

モバイルアプリ向けセキュリティサービス

Appchecker/AppChecker Pro/AppProtect

モバイルアプリは、小売、銀行、旅行、ファストフードなど様々な業種で利用が広がっています。特に昨今はモバイル端末を使ったキャッシュレス決済が注目を集めています。モバイルデバイスの利用用途が拡大し、個人情報や現金同様の支払い機能を有することによって、サイバー犯罪の対象としてハッキングの脅威は高まり、モバイルアプリに絡んだ不正利用や不正アプリによる被害が増加し続けています。
アイティーエムは、モバイルデバイスの新たなる領域への拡大と、それに伴うモバイルアプリへの求められる強固なセキュリティ対策としてモバイルアプリ向けセキュリティサービスを提供します。

ペネトレーションテスト

外部/内部、PCI DSS向け(ネットワーク、アプリケーション)、組込みシステム向け

ペネトレーションテストはネットワークに接続されているシステムに対して様々な技術を駆使して侵入を試みることでシステムにセキュリティ上の脆弱性が存在するか、また見つかった脆弱性が悪用されてしまう危険性があるかなどをテストをします。 当社が提供するペネトレーションテストは「外部/内部ペネトレーションテスト」と「PCIDSS 向けペネトレーションテスト(ネットワーク、アプリケーション)」と「組込みシステムに対するペネトレーションテスト」があります。

利用例(お客様の課題)

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30