Webサイトのセキュリティでは「うちのサイトは大丈夫」が一番危ない ── サプライチェーン攻撃から身を守る方法を解説！

こんにちは、ゼノクリース合同会社の齋藤です。このコラム記事では、最新のWebセキュリティに関する内容を紹介し、企業のサイトを守るための考え方と実践方法をご紹介します。

「うちは狙われない」という油断が命取りに

「うちのような中小企業のサイトを、わざわざ攻撃する人なんていないだろう」

そう思っていませんか？この考え方は危険です。

サプライチェーン攻撃とは？

サプライチェーン攻撃とは、企業が製品やサービスを提供する過程で関わる、外部の企業や組織（サプライヤー、パートナー、委託先など）のシステムやネットワークを侵害し、そこを足がかりとして最終的な標的企業への攻撃を仕掛ける手法のことです。従来のサイバー攻撃が、標的企業そのものの脆弱性を直接狙うものであるのに対し、サプライチェーン攻撃は、より間接的かつ巧妙な経路を悪用します。例えば、セキュリティ対策が強固な大企業を直接攻撃するよりも、その大企業と取引のある中小企業を先に侵害し、その信頼関係を利用して大企業内部に侵入する、といった手口が典型的です。

サプライチェーン攻撃自体は以前から存在する手法ですが、AIによってシステムやアプリを作る敷居が大幅に下がったことによって、今後さらにリスクが上がっていくと考えます。 コンプライアンスやセキュリティの体制が整っており、変化のスピードが比較的ゆっくりな大企業を直接狙うのではなく、その取引先である中小企業を「踏み台」にする攻撃を行うというケースが増えていくでしょう。（正面から攻撃しても突破できないので、セキュリティが手薄な取引先を狙う、というような形で）

情報処理推進機構（IPA）の「2024 年度中小企業における情報セキュリティ対策に関する実態調査」報告書についてでも、中小企業が狙われている実態が明らかになっています。

実際に起きている攻撃の手口

事例は他にも多くありますが、ここでは代表的なものを紹介します。私の印象としては、やはりソーシャルエンジニアリングなどの「人が関わるインシデント」が最も怖いです。

ソフトウェアやサービスの脆弱性を悪用した攻撃

多くの企業が利用しているWordPressなどのCMS（コンテンツ管理システム）や、各種プラグイン、ECサイトの外部連携サービスなどは、サプライチェーン攻撃の格好の標的となります。これらのソフトウェアやサービスに脆弱性が見つかると、攻撃者はそれを悪用して、ウェブサイトの改ざん、不正なリダイレクト、情報の窃取、さらにはマルウェアの配布などを行います。WordPressは世界中で広く利用されているため、そのプラグインやテーマの脆弱性が狙われるケースが頻繁に報告されています。

例えば、過去にはWordPressの特定のプラグインに深刻な脆弱性が発見され、それを悪用した攻撃によって、多くのウェブサイトが改ざんされたり、訪問者の情報が流出したりする事態が発生しました。攻撃者は、脆弱性のあるプラグインがインストールされているサイトを自動的にスキャンし、発見次第攻撃を仕掛けるため、パッチが適用されていないサイトは常に危険に晒されています。

取引先になりすました巧妙な詐欺メール

最近のフィッシングメールは非常に巧妙です。実在する取引先の署名やロゴを使い、いつものメールと見分けがつかないほど精巧に作られています。

HTMLメール（単なるテキストではなく、Webサイトのようにデザインされたメール）を使ったフィッシング詐欺も多く見られます。これは、生成AIによってこのようなメールの文面やレイアウトが著しく作りやすくなったことによるところも大きいです。

• 取引先を装ったメールで偽の請求書を送付、振込先を変更させる
• 「緊急」「至急」といった言葉で焦らせ、添付ファイルを開かせる
• 正規のメールの返信に見せかけて、マルウェアを仕込む

などのケースが多く見られます。

今からでもできる！中小企業での各種対策

サプライチェーン攻撃の脅威は理解できたものの、「では、具体的に何をすれば良いのか」と悩む中小企業も少なくないでしょう。しかし、大掛かりな投資や専門知識がなくても、今すぐ始められる効果的な対策はいくつもあります。重要なのは、「できることから着実に」取り組むことです。

基本中の基本！セキュリティ対策の徹底

サプライチェーン攻撃の多くは、基本的なセキュリティ対策の不備を突いてきます。まずは、自社の足元を固めることが最優先です。

 OSやソフトウェアの最新化とセキュリティパッチ適用：

使用しているOS（Windows, macOSなど）やアプリケーション（Webブラウザ、メールソフト、オフィスソフトなど）は常に最新の状態に保ち、提供されるセキュリティパッチは速やかに適用しましょう。特にWordPressなどのCMSは、脆弱性が発見されやすいため、定期的なアップデートが不可欠です。自動更新機能をオンにして活用したり、信頼できるベンダーに運用を委託したりすることも有効です。

 強固なパスワード設定と多要素認証（MFA）の導入：

IDとパスワードだけでなく、スマートフォンアプリや生体認証などを組み合わせる多要素認証（MFA）の導入は、不正ログイン対策として非常に有効です。従業員全員への徹底はもちろん、パスキー（Passkeys）のような認証技術の使用も検討する価値があります。

 不審なメール・サイトへの注意喚起と従業員教育：

フィッシング詐欺の巧妙化に対応するためには、従業員一人ひとりのセキュリティ意識向上が不可欠です。不審なメールの添付ファイルを開かない、安易にURLをクリックしない、といった基本的なルールを周知徹底し、もし可能であれば定期的な訓練（標的型攻撃メール訓練など）を実施しましょう。

取引先との連携を強化する

サプライチェーン攻撃は、自社だけでなく取引先を含めたサプライチェーン全体のセキュリティレベルに依存します。そのため、取引先との連携強化は避けて通れません。

セキュリティ要件の明確化と共有：

新規取引を開始する際や契約更新時に、秘密保持契約（NDA）や業務委託契約書（基本・個別の両方）だけでなく、セキュリティに関する取り決め（セキュリティポリシーの遵守、脆弱性情報の共有、インシデント発生時の対応など）を明確に交わすことがおすすめです。可能であれば、定期的に取引先のセキュリティ状況を確認する機会を設けることも有効です。

情報共有と協力体制の構築：

自社でセキュリティインシデントが発生した場合、それが取引先に影響を及ぼす可能性がないか速やかに判断し、必要に応じて情報共有を行いましょう。また、取引先でインシデントが発生した際には、協力して対応できるような体制を事前に構築しておくことが望ましいです。（逆に、自社が他社に業務を委託する場合は、このことまで踏まえて契約ややり取りをしておくことがおすすめです）

万が一に備えるインシデント対応計画

どれだけ対策を講じても、サイバー攻撃のリスクをゼロにすることはできません。前述の通り、サイバーセキュリティをきちんと固めていたとしても、人が関わるリスクは人間が運営している企業にとってはゼロにできないものです。

重要なのは、万が一インシデントが発生した際に、被害を最小限に抑え、迅速に復旧できる体制を整えておくことです。

連絡体制の確立：

インシデント発生時に、誰が、いつ、誰に、どのように連絡するかを事前に決めておきましょう。社内関係者だけでなく、取引先、顧客、警察、IPAなどの外部機関への連絡フローも明確にしておく必要があります。

 専門家への相談：

自社だけでサイバー攻撃の調査や復旧を行うのは非常に困難です。セキュリティベンダーや専門機関への相談窓口を事前に把握し、いざという時にすぐに支援を求められるように準備しておきましょう。とはいえ予算が限られているという企業にとっては、後述のプライム・ストラテジーのサービスもおすすめです。

プライム・ストラテジーのサービスの活用

プライム・ストラテジーでは、中小企業でも手軽に利用できるセキュリティサービスを提供しています。

簡易脆弱性診断: WordPressサイトの脆弱性を3万円（税抜き）/1サイト（WordPress）という、企業にとっては比較的安価にチェックすることができます。まずは現状を把握することから始めましょう。

KUSANAGIマネージドサービス: 月間3万ページビュー未満のサイト（1サイト）10万円～ / 月という価格帯で、Web運用の手離れを実現する大きなステップを踏むことができます。

KUSANAGI Security Edition: 前述のサービスの、より高度なセキュリティ機能を備えたバージョンです。WAF（Webアプリケーションファイアウォール）など、様々な対策を統一的に行うことができます。（というのも、「WAFはこのサービス、マルウェア対策はこのサービス」というように、サービスを組み合わせて使うと、セキュリティ対策が漏れてしまったり、重複してしまったり、管理が大変だったりと、課題が出てしまう場合が多いです）

まとめ

セキュリティ対策は、単なる「守り」のコストではありません。それは、事業を継続し、企業の信頼性を維持し、ひいては競争力を高めるための「経営戦略」そのものです。中小企業も、この認識を強く持ち、積極的に情報収集を行い、自社の状況に合わせた対策を講じる必要があります。

ぜひ、この機会に自社のセキュリティ体制を見直し、安心できるデジタル環境を構築しましょう！