直接標的となっている企業に攻撃するのではなく、その企業のサプライチェーンにある企業を踏み台にして標的となっている企業に攻撃を仕掛ける攻撃。
サプライチェーンとは、製品の企画、開発、製造、資源の調達、在庫管理、物流、販売までの一連の流れのことをいう。
サプライチェーンの中でソフトウェアに関するものをソフトウェアサプライチェーンという。
取引先や委託先の保有する機密情報から標的となる企業の情報を集め、踏み台として使う。
企業システムの運用、監視等を請け負う事業者(MSP)が利用する資産管理ソフトウェア等にウイルスを仕込み、MSPを利用する複数の顧客にウイルスを感染させる。
ソフトウェアやサービスの利用開始時や顧客への提供開始時
またはバージョンアップ時にウイルスに感染させる。
このように外部に対しては強固なセキュリティ対策を行っていても、サプライチェーン上の取引先や導入 しているソフトウェア、サービス等を足掛かりとされることで、攻撃者の侵入を許してしまうおそれがある。
