ハッカーは、あなたが思うほど勤勉ではありません。彼らは最小限の労力で大きな成果を得ようとします。その秘訣は標的の選び方にあります。ランサムウェア・アズ・ア・サービス(RaaS)モデルは、彼らがサイバー犯罪の効率を最大化する典型例です。サプライチェーン攻撃はその後まもなく考案され、世界中のインフラを機能不全に陥れるほどに蔓延しました。ジョー・バイデン前米大統領でさえ驚愕し、政府機関に対し大統領令を発令、国内全体のサプライチェーンサイバーセキュリティ基準の改革を命じざるを得なかった。
しかし、この話題はこれくらいにしておこう。サプライチェーン攻撃の特異性とは?なぜこれほど危険なのか?なぜ警戒すべきなのか?どう防ぐのか?これらの疑問に答えられない方は読み進めてください。すぐに解説します。
サプライチェーン攻撃とは?
サプライチェーン攻撃とは、組織のサプライチェーン内の弱点を狙うサイバーセキュリティ攻撃です。サプライチェーンは、技術、人材、資源、製品、ユーザー、組織活動を統合したものです。組織を結びつけ、これらの構成要素が企業の活動を支えています。
既存のワークフローに突然の混乱が生じたり、事業に損害を与えたりする事態は、サプライチェーンの脅威である可能性があります。サプライチェーン攻撃は、サプライチェーン内の脆弱性を探り、ベンダーの脆弱なセキュリティ態勢を悪用する機会を模索します。ベンダーは共有データを扱うため、ベンダーが侵害されると、ユーザーやベンダーに関連するすべての人も影響を受けます。
サプライチェーンが拡大すると、ネットワークも拡大します。そのため、攻撃が発生すると複数の標的が創出され侵害されることになります。
サプライチェーン攻撃の仕組みとは?
サプライチェーン攻撃は信頼関係を破壊することで機能します。企業自体を直接標的とするのではなく、組織が取引するサプライヤーやベンダーを狙います。ソフトウェアベースのサプライチェーン攻撃では、最新のライブラリ、アップデート、コンポーネントに悪意のあるコードを注入し、セキュリティ証明書やビルドツールを侵害することがあります。ハードウェアベースのサプライチェーン攻撃では、マルウェアやスパイコンポーネントを注入することで、製造および流通プロセスを妨害することがあります。ビルドパイプラインの脆弱性、アクセストークン、ハードコードされたシークレットなどの弱点を悪用するケースもあります。権限昇格を行い、ネットワーク横断的な横移動を試みる可能性があります。
SolarWindsサプライチェーン攻撃は、こうした脅威の典型例です。攻撃者は企業のビルドサーバーにアクセスし、更新プログラムにバックドアを注入しました。別の事例では、攻撃者がマネージドサービスプロバイダーを侵害し、複数の組織をランサムウェアに感染させたケースがあります。サプライチェーン攻撃を検出するには?単一の手法や技術だけではサプライチェーン攻撃を検出することはできません。組織は、これらの脅威を検知・軽減する能力を強化するために、異なるアプローチを組み合わせ、最新のAI脅威検知技術を活用する必要があります。
継続的な監視、グローバルな脅威インテリジェンス、そして積極的なセキュリティ態勢——これらはサプライチェーン攻撃に対する防御において不可欠な要素です。
ネットワークのリアルタイム可視化、継続的なネットワークトラフィック監視、そしてセキュリティチームがこれらのインシデントやその他の不審な活動に迅速に対応するために必要な設備を整えることが極めて重要です。
サプライチェーン攻撃を検知する方法としては、以下のようなものがあります。
依存関係管理の欠陥を悪用する攻撃もあります。攻撃者は、内部モジュールと同一または類似の名前で、より高いバージョン番号を持つパッケージを登録できます。開発者がこれらの外部パッケージを無意識にプルすると、悪意のあるコードがソフトウェアに導入されます。外部リポジトリが慎重に管理・監視されていない場合、日常的なパッケージ管理さえも脆弱なリンクとなり得ます。
攻撃者はコード署名に使用される秘密鍵を入手できます。これらの鍵で悪意のあるソフトウェアにデジタル署名を行い、信頼性があるように見せかけることが可能です。これにより、従来の署名証明書が提供する保証が損なわれます。コード署名証明書などの信頼メカニズムは、その秘密鍵を保護するプロセスの安全性に依存しています。
最新のネットワーク検知・対応(NDR)システムは、通常の動作からの逸脱を監視できます。機械学習モデルはネットワーク内の典型的なデータフローを学習できます。トラフィックが暗号化されていても、急激な変化はアラートをトリガーすべきです。秘密鍵の保護にはハードウェアセキュリティモジュール(HSM)や類似ソリューションを活用できます。これらに加え、定期的なセキュリティレビューと監査を開始してください。サプライチェーン攻撃を模擬した訓練を実施し、チームが迅速に対応・検知できる体制を整えましょう。
FAQs
サプライチェーン攻撃には無数の種類が存在します。ソフトウェアベースの攻撃は、正当な更新プログラムやソフトウェアに悪意のあるコードを混入させます。ハードウェアベースの攻撃は、製造工程中のハードウェアを悪用します。サードパーティ攻撃は、自社システムへのアクセス権を持つベンダーを標的とします。コード署名攻撃は偽造デジタル署名を使用し、マルウェアを正当に見せかけます。それぞれがサプライチェーン内の異なる脆弱性を悪用するため、修正には異なるセキュリティ対策が必要です。
攻撃者はサプライチェーンの最も脆弱な部分、通常はセキュリティ対策が不十分な小規模サプライヤーを特定します。これらのサプライヤーを攻撃し、正当なアクセス権限を利用して主要な標的へ侵入します。ソフトウェア更新の妨害、開発環境へのバックドア挿入、サードパーティサービスプロバイダーの認証情報窃取などが可能です。内部に侵入すると、横方向への移動を開始し、特権を重要な資産レベルまで昇格させたり、ランサムウェアを展開したりします。
ネットワークトラフィックを監視し、不審なパターンを追跡します。行動分析を導入し、通常の運用から逸脱した不審なパターンを検出します。ベンダーのセキュリティプロセスを定期的に監査し、明確なセキュリティ要件を組み込む。ネットワークに高度なエンドポイント検知ソフトウェアを導入する。人工知能システムを活用し、潜在的な脅威をリアルタイムでスキャンする。インストール前にソフトウェア更新の完全性を確認する。24時間365日監視を行うセキュリティオペレーションセンターを構築する。
侵害されたシステムを直ちに隔離し、横方向の移動を防止します。インシデント対応チームを起動し、侵害の範囲を特定します。攻撃ベクトルと影響を受けたサプライチェーンコンポーネントを特定します。規制に基づき影響を受けたベンダーと顧客に通知します。分析のためのフォレンジック証拠を保存します。同様の攻撃を阻止するための対策を実施します。既知のクリーンなバックアップからシステムを復元します。得られた教訓に基づきセキュリティポリシーを更新・調整する。
まず、影響を受けたシステムを隔離して侵害を封じ込めます。サプライチェーン内の侵害箇所を特定します。セキュリティ専門家と連携し、悪意のあるコードを除去します。コンプライアンス要件に従い、関係者に通知します。クリーンなバックアップからシステムを復旧させます。インシデントの詳細を記録します。ベンダーに対するより厳格な検証手順を導入します。サプライヤー向けのセキュリティ評価制度の導入を検討します。契約を見直し、より厳格なセキュリティ要件を追加します。
サプライチェーン攻撃は当事者間の信頼関係を悪用し、発見が困難です。単一の侵害から数千社に影響を及ぼす可能性があります。信頼された経路を経由するため通常のセキュリティ対策をかいくぐります。検出されるまでの潜伏期間が長い特徴があります。現代のサプライチェーンの複雑さは、攻撃者に多数の潜在的な侵入経路を提供します。攻撃者は単一の侵入成功で複数の被害者にアクセスし、最小限の労力で最大の損害をもたらします。