2024-01-31 サプライチェーン攻撃
サプライチェーン攻撃(Supply Chain Attack)とは、企業や組織のサプライチェーンを狙ったサイバー攻撃、あるいはソフトウェア・サプライチェーンを狙ったサイバー攻撃を意味する用語です。
前者においては、標的とした企業や機関を狙うために、サプライチェーン上の末端にある中小企業や委託業者などを標的にします。これは、中小規模の組織が通常セキュリティ対策において脆弱である点をついた戦術です。
後者においては、ソフトウェアに含まれるオープンソースソフトウェアやライブラリなどの脆弱性を攻撃することにより、広範に及ぶ被害を発生させます。現代のソフトウェア開発は多数の公開ライブラリやオープンソースソフトウェアを組み合わせることによって行われるため、特定製品やシステムがどのようなコンポーネントを利用しているか把握が難しく、攻撃者に利を与えることになります。
最近はOSSの文脈で後者の意味でのサプライチェーン攻撃が話題になることが多い。