サプライチェーン攻撃は、組織のサプライチェーンにおける脆弱性を標的とし、システムやデータを侵害します。本ガイドでは、サプライチェーン攻撃の性質、潜在的な影響、および予防・軽減策について解説します。
サードパーティベンダーのセキュリティ確保と堅牢なリスク管理手法の導入の重要性について学びましょう。サプライチェーン攻撃を理解することは、組織がデジタル資産を保護し、業務の完全性を維持するために不可欠です。
サプライチェーン攻撃の概要
- サプライチェーン攻撃とは、組織のサプライチェーンの弱点を標的とし、機密情報へのアクセスを得たり、業務を妨害したりするサイバー攻撃の一種です。
- この攻撃は、初期の製品開発・設計段階から製造・流通段階、最終的な設置・保守段階に至るまで、サプライチェーンの様々な段階で実行される可能性があります。
- サプライチェーン攻撃では、正規の製品やサービスに悪意のあるコードやハードウェアを組み込み、サプライチェーンを通じて標的組織に届ける手法がよく用いられます。
- 代表的なサプライチェーン攻撃には、マルウェア注入、偽造、ソフトウェア更新の改ざんなどがあります。
- サプライチェーン攻撃は、機密データの喪失、金銭的損失、評判の毀損など、組織に深刻な影響を及ぼす可能性があります。
- サプライチェーン攻撃から保護するためには、組織はサプライチェーン全体にわたり堅牢なサイバーセキュリティ対策を実装すべきです。これには定期的なリスク評価の実施、安全なコーディング慣行の導入、すべてのソフトウェアおよびハードウェアコンポーネントの完全性の検証が含まれます。
サプライチェーン攻撃とは何かについての簡単な説明
サイバーサプライチェーン攻撃とは、攻撃者が企業のサプライチェーン内の脆弱性を標的とし、その企業のシステムやネットワークへのアクセスを得るサイバー攻撃の一種です。この攻撃は、機密データへのアクセスを得るため、または企業の業務を妨害するために頻繁に利用されます。特定の企業を標的とする場合もあれば、大規模組織のサプライチェーンに属する企業を標的とする場合もある。
デジタル時代におけるサプライチェーン攻撃の増加には、いくつかの要因がある。第一に、グローバルサプライチェーンの拡大により、攻撃者が単一の攻撃で複数の企業を標的にしやすくなった。次に、サプライチェーンにおける第三者ベンダーや請負業者の活用が、攻撃者にとっての侵入経路を増加させている。最後に、テクノロジーへの依存度の高まりとシステムの相互接続性により、攻撃者がマルウェアを拡散させ機密データへのアクセスを得る手段が容易になっている。
サプライチェーン攻撃は、現代のデジタル環境においてますます一般的になりつつある。企業がグローバルなサプライチェーンやサードパーティベンダーへの依存度を高めるにつれ、攻撃者が侵入できる潜在的な経路は増加しています。さらに、テクノロジーの利用拡大とシステムの相互接続性により、攻撃者がマルウェアを拡散させ、機密データへのアクセス権を取得することが容易になりました。その結果、サプライチェーン攻撃は多くの企業や組織にとって深刻な懸念事項となっています。
サプライチェーン攻撃の手口
サプライチェーン攻撃は通常、企業のシステムやネットワークへのアクセスを得るために、そのサプライチェーン内の脆弱性を標的とします。これには以下のような手法が含まれます:
- マルウェア注入:攻撃者は、サードパーティベンダーや請負業者などのサプライチェーンパートナーを通じて、企業のシステムにマルウェアを注入します。このマルウェアは、機密データへのアクセス権を取得したり、企業の業務を妨害したりするために使用される可能性があります。
- フィッシング攻撃: 攻撃者はフィッシング技術を用いて、サプライチェーンパートナーの従業員を騙し、企業システムやネットワークへのアクセス権を付与させます。これは、電子メール、ソーシャルメディア、その他の手段を通じて行われます。
- 偽の更新プログラム:攻撃者は、サプライチェーンを通じて配布される偽のソフトウェア更新プログラムを作成します。これらの更新プログラムは、インストールされると攻撃者に企業システムやネットワークへのアクセス権を与える。
攻撃者が企業システムやネットワークへのアクセス権を獲得すると、機密データの窃取、業務妨害、その他の悪意のある活動を行うことが可能となる。攻撃の具体的な目的は、攻撃者の動機や目標によって異なります。
サプライチェーンにおける5つの主要な課題とは?
企業が直面する可能性のあるサプライチェーン上の課題は数多く存在します。以下に、特に重大な5つの課題を挙げます:
- 可視性と透明性:多くの企業はサプライチェーンの可視性を欠いており、潜在的なリスクの特定や商品・サービスの流れの管理が困難です。
- グローバル化:グローバルサプライチェーンの拡大は、複雑性の増大、リードタイムの長期化、リスク曝露の拡大など、複数の課題をもたらしています。
- 持続可能性:消費者や規制当局が持続可能性に注力する中、企業は環境負荷の低減とサプライチェーンの持続可能性確保に向けた圧力が高まっている。
- セキュリティ:攻撃者が機密データへのアクセスや業務妨害を目的にサプライチェーンを標的とするケースが増加し、サプライチェーンセキュリティへの懸念が高まっている。
- 回復力:サプライチェーンは、自然災害、政治的不安定、その他の事象による混乱に対して脆弱な場合が多い。商品やサービスの流れを維持するためには、サプライチェーンの回復力を確保することが極めて重要である。
最近のサプライチェーン攻撃の事例
近年のサプライチェーン攻撃には多くの事例がある。以下にいくつかの事例を挙げる:
- 2017年、“ペティア”ランサムウェア攻撃がウクライナの会計ソフトウェア会社を標的とし、その後、大手多国籍企業のサプライチェーン上の企業を攻撃するために利用されました。
- 2018年には、“Meltdown」および「Spectre」の脆弱性がコンピュータプロセッサで発見され、攻撃者がこれを利用して機密データにアクセスすることが可能となった。これらの脆弱性は、企業のサプライチェーンで使用されているものを含む、多くのデバイスやシステムに存在していました。
- 2019年、“カスペルスキーサプライチェーン攻撃」は、ロシアのサイバーセキュリティ企業カスペルスキー・ラボのサプライチェーンを標的とした。攻撃者は偽のソフトウェア更新プログラムを使用して同社のシステムにアクセスし、機密データを盗み出した。
- 2020年には、「“SolarWinds”サプライチェーン攻撃が、米国の大手テクノロジー企業のソフトウェア供給網を標的とした。攻撃者は偽のソフトウェア更新プログラムを用いて同社のシステムにアクセスし、機密データを窃取しました。
- 2022年、SentinelLabs は、新たなフィッシングキャンペーンを発見しました。これは、人気のあるオープンソースPythonライブラリリポジトリであるPython Package Index(PyPI)のユーザーをPythonパッケージインデックス(PyPI)は、オープンソースのPythonライブラリを扱う人気リポジトリです。攻撃者は「JuiceLeder」マルウェアの背後にいるグループと同一と見られ、偽のPyPIパッケージを利用してマルウェアを拡散しています。「PyPI Malicious Package」と呼ばれるこのマルウェアは、攻撃者のコマンド&コントロールサーバーと隠蔽された接続を確立し、攻撃者がユーザーのデバイスにアクセスすることを可能にする。この攻撃が注目されるのは、これまで偽アプリダウンロードを通じてユーザーを標的にしてきた「JuiceLeder」グループの戦術転換を示している。同グループは従来、偽アプリダウンロードを介してユーザーを標的としていた。サプライチェーン攻撃を利用したマルウェア拡散は深刻化する懸念事項であり、こうした脅威に対抗するための効果的なエンドポイント保護の必要性を浮き彫りにしています。
macOSデバイスに対するサプライチェーン攻撃の事例はありますか?
macOSはWindowsより安全だと主張する人もいますが、当社の経験では、攻撃者がAppleのオペレーティングシステムをこれまで以上に標的にしているのが実情です。ただし、完全に安全なOSは存在せず、macOSもWindowsも保護を維持するには定期的な更新とセキュリティパッチが必要です。macOSデバイスを標的としたサプライチェーン攻撃の事例は複数存在します。以下にいくつか例を挙げます:
- 2018年、アプリ開発者のサプライチェーンにおいて「MacDownloader」マルウェアが発見されました。このマルウェアはアプリの偽更新を通じて配布され、攻撃者にユーザーのmacOSデバイスへのアクセス権を付与しました。
- 2019年、ソフトウェア企業のサプライチェーンにおいて「Shlayer」マルウェアが発見されました。このマルウェアはソフトウェアの偽更新を通じて配布され、攻撃者がユーザーのmacOSデバイスにアクセスすることを可能にしました。
- 2020年には、“XCSSET”マルウェアが中国の人気アプリストアのサプライチェーン内で発見されました。このマルウェアはアプリストア上の複数のアプリを通じて配布され、攻撃者がユーザーのmacOSデバイスにアクセスすることを可能にしました。
- 2022年、SentinelLabsはmacOSデバイスを標的とした新たなサプライチェーン攻撃を発見した。この攻撃では「“Pymafka」は、人気のあるオープンソースPythonライブラリの偽更新を通じて配布されます。インストールされると、マルウェアは攻撃者のコマンドアンドコントロールサーバーとの隠蔽された接続を確立し、攻撃者がユーザーのデバイスにアクセスすることを可能にします。この攻撃は、攻撃者がユーザーのデバイスにアクセスすることを可能にする隠蔽されたビーコンを使用している点で注目に値します。コマンドアンドコントロールサーバーとの隠蔽された接続を確立し、攻撃者がユーザーのデバイスにアクセスすることを可能にします。この攻撃は、隠蔽された接続を確立するために難読化されたビーコンを使用している点が注目され、検出を困難にしています。この種の攻撃における難読化されたビーコンの使用は、macOS攻撃における新たな潮流を示しており、これらの脅威から防御するための効果的なエンドポイント保護の必要性を浮き彫りにしています。
これらはmacOSデバイスを標的としたサプライチェーン攻撃のほんの一例です。macOSデバイスの利用が拡大し続ける中、今後この種の攻撃はさらに増加するでしょう。
Linuxデバイスを標的としたサプライチェーン攻撃の事例はありますか?
はい、Linuxデバイスを標的としたサプライチェーン攻撃の事例は複数存在します。以下にいくつかの例を示します:
- 2019年、コンテンツ管理システム「Drupal」に「Drupalgeddon2」脆弱性が発見されました。この脆弱性はサプライチェーン攻撃で悪用され、攻撃者は脆弱なウェブサイトを介してユーザーのLinuxデバイスにアクセスすることが可能となりました。
- 2020年には、Windows Serverオペレーティングシステムに「“ゼロロゴン”脆弱性が発見されました。この脆弱性はサプライチェーン攻撃で悪用され、攻撃者が脆弱なネットワークを介してユーザーの Linux デバイスにアクセスすることを可能にした。
- 2021 年、Linux ディストリビューションのサプライチェーンで「Bashware」マルウェアが発見された。このマルウェアはディストリビューションへの偽の更新を通じて配布され、攻撃者がユーザーのLinuxデバイスにアクセスすることを可能にしました。
これらはLinuxデバイスを標的としたサプライチェーン攻撃の一例に過ぎません。Linuxの使用が拡大するにつれ、今後この種の攻撃が増加する可能性が高いでしょう。
サプライチェーン攻撃の影響
サプライチェーン攻撃の影響は、標的となった企業だけでなく、そのサプライチェーンに関わるあらゆる企業にとって重大なものとなり得ます。サプライチェーン攻撃による可能性のある影響には以下が含まれます:
- 機密データの損失:サプライチェーン攻撃により、顧客情報、財務データ、知的財産などの機密データが盗まれる可能性があります。これは企業の評判を損ない、財務的損失につながる恐れがあります。
- 業務の混乱:サプライチェーン攻撃は企業の業務を混乱させ、生産性や収益の損失を招きます。これはサプライチェーン全体に波及効果をもたらし、他の企業にも影響を及ぼします。
- 評判の毀損:サプライチェーン攻撃は企業の評判を損ない、顧客やパートナーの獲得を困難にします。これは企業の事業に長期的な影響を及ぼす可能性があります。
- 法的・規制上の影響:サプライチェーン攻撃は、機密データの保護不備に対する罰金や制裁など、法的・規制上の影響を招くこともあります。これにより、企業の評判と財務状態がさらに損なわれる可能性があります。
Conclusion
サプライチェーン攻撃はますます一般的かつ高度化しており、攻撃者は企業のサプライチェーンの脆弱性を標的にして機密データへのアクセスを得たり、業務を妨害したりしています。これらの攻撃は、標的となった企業だけでなく、そのサプライチェーンに関わる他の企業にも重大な影響を及ぼす可能性があります。こうした脅威から身を守るためには、エンドポイント保護、高度な脅威検知、継続的な監視を含む包括的なサイバーセキュリティ対策を採用する必要があります。さらに、企業は自社のサプライチェーンにおける潜在的な脆弱性を積極的に特定し、対処しなければなりません。これらの対策を講じることで、企業はサプライチェーン攻撃から身を守り、脅威の影響を最小限に抑えることができます。
SentinelOneが支援できる主な方法は以下の通りです:
- エンドポイント保護:SentinelOneのSingulary XDRは、マルウェアやその他の悪意のあるソフトウェアが企業システムにインストールされるのを防止します。これにより、攻撃者がサプライチェーンを通じて企業システムに足場を築くのを防ぐことができます。
- 高度な脅威の検出:SentinelOne の Singulary XDR の高度な脅威検出テクノロジーは、サプライチェーン攻撃が被害をもたらす前にそれを特定し、阻止するのに役立ちます。これにはマルウェアの検知、フィッシング攻撃の特定、その他の手法が含まれます。
- 継続的監視:SentinelOne の Singulary XDR には継続的な監視機能が含まれており、発生中の潜在的なサプライチェーン攻撃を特定するのに役立ちます。これにより企業は迅速に対応し、攻撃の影響を最小限に抑えることが可能となります。
総括すると、SentinelOneのソリューションは包括的なエンドポイント保護、高度な脅威検知、継続的監視を提供することで、サプライチェーン攻撃からの防御を支援します。
"サプライチェーン攻撃に関するよくある質問
サプライチェーン攻撃は、ソフトウェアライブラリ、ビルドツール、サービスプロバイダーなどの信頼されたサードパーティ製コンポーネントを標的とし、最終顧客への侵入を図ります。組織を直接攻撃する代わりに、攻撃者はベンダー製品や更新プログラムに悪意のあるコードやバックドアを埋め込みます。被害者がこれらの侵害された資産をインストールまたは実行すると、隠されたマルウェアが実行され、攻撃者は正当なソフトウェアを装ってアクセス権を得ます。
"2020年には、SolarWinds Orionプラットフォームの更新プログラムがトロイの木馬化され、18,000以上の顧客と米国政府機関に影響を与えました。2017年には、ウクライナのMeDocソフトウェアへの悪意のあるアップデートを介してNotPetyaが拡散し、グローバルネットワークを機能不全に陥らせました。
2013年に発生したTargetの侵害は、HVACベンダーの認証情報の盗難から始まり、POSシステムにマルウェアが侵入し、4,000万枚のカード情報が流出しました。Stuxnetは感染した産業用コントローラーを介して拡散し、イランのウラン濃縮遠心分離機を破壊した。
信頼関係と広く普及したソフトウェアを悪用し、攻撃者に高価値ターゲットへの「一対多」経路を提供します。侵害された更新プログラムは正規ベンダーから配信されるため、通常の防御策を迂回し、数か月間検出されないまま潜伏し続ける可能性があります。
波及効果により、単一の侵害が業界全体や重要インフラに連鎖的に広がり、単一組織への直接攻撃をはるかに超える影響を拡大させます。
"攻撃者は開発段階(ソースコードやコンパイラへのバックドア挿入)、ビルドおよびCI/CDパイプライン(ビルドサーバーや署名鍵の侵害)、配布段階(インストールパッケージや更新サーバーの改ざん)、さらにはデプロイ後(パッチ適用プロセスやサードパーティ統合の感染)においても攻撃を仕掛ける可能性があります。コードやコンポーネントが関係者の間で移動するあらゆる段階が脆弱です。
"攻撃者はまずベンダー環境に初期アクセスを獲得します(盗まれた認証情報やパッチ未適用の脆弱性を経由することが多い)。次にソフトウェアコンポーネントや更新チャネルに悪意のあるコードを埋め込みます。ベンダーが更新を公開すると、改変されたパッケージがペイロードをすべての下流顧客に運ぶ。
攻撃者はコンパイラなどの開発ツールを侵害し、すべてのビルドを密かに感染させる場合もある。
"サプライチェーン攻撃で用いられる一般的な手法は以下の通りです:
- トロイの木馬化された更新プログラム:ソフトウェアパッチやインストーラーにマルウェアを注入する手法。
- コンパイラ攻撃:ビルドツールを改ざんし、コンパイルされたすべてのバイナリに隠されたペイロードを含める手法。
- サードパーティライブラリの改ざん:オープンソース依存関係に悪意のある関数を挿入する。
- 認証情報の窃取:ベンダーの管理者キーやコード署名キーを乗っ取り、悪意のあるリリースを承認させる。
すべてのアプリケーションについて最新のソフトウェア部品表(SBOM)を維持する。ベンダーのセキュリティ評価を厳格に実施し、ハードウェア保証付きキーによるコード署名を求める。ビルド成果物に対する自動チェックを実行し、既知の脆弱性について依存関係をスキャンし、ビルドインフラを一般ネットワークから隔離する。ランタイム監視を導入し、マルウェアが侵入した場合でも異常な動作を検知できるようにする。
"NIST SP 800-161はサプライヤーのセキュリティリスク管理に関する指針を提供します。ソフトウェア供給チェーン保証(SCCA)フレームワークとSLSA(ソフトウェアアーティファクトの供給チェーンレベル)はビルド完全性のベンチマークを設定します。SBOM生成のためのSPDX、エンドツーエンドのビルド検証のためのin-toto、OWASP Dependency-Checkなどのツールは、リスクのある依存関係の検出を自動化します。
"サプライチェーンはベンダー、インテグレーター、顧客を結びつけます。侵害の兆候、SBOMデータ、脅威インテリジェンスを共有することで、すべての関係者が異常をより迅速に発見できます。脆弱性の開示を調整し、インシデント対応を共同で行うことで、侵入後の活動時間を短縮できます。
連携がなければ、各組織が他の組織が脅威を検知すると想定する間に隙間が生じ、脆弱なリンクが露呈したままになります。
"SentinelOneはサプライチェーン攻撃を直接防止できるとは明言していません。しかし自律型サイバーセキュリティ機能により、AIで悪意ある行動を検知し侵害されたエンドポイントを特定できます。悪意のあるファイルやプロセスを特定し、業務時間外の異常な活動を検知し、サプライチェーン全体での感染を防ぐことで被害範囲を限定できます。
全体として、SentinelOneは継続的な脅威監視、高度な脅威検知、エンドポイント保護を提供することで、サプライチェーン攻撃の防止に貢献できます。
"