Photo By Shutterstock
「サプライチェーン攻撃」を警戒する声が高まっている。
エンドポイント・セキュリティ製品で知られるCybereasonは、「2018年のサイバー・セキュリティに関する5つの予測」の中で、最も警戒すべき脅威としてサプライチェーン攻撃を挙げた。有力セキュリティソフトベンダーの1つであるKasperskyも、「Kaspersky Security Bulletin 2017/2018サイバー脅威の予測」においてサプライチェーン攻撃の増加を予測している。
なぜ、セキュリティ分野の専門家たちはサプライチェーン攻撃を警戒するのだろうか。
文:伊藤僑
連鎖構造が抱える脆弱性をサイバー攻撃に利用
サプライチェーンとは、製品やサービスを顧客に提供するために行われる一連のビジネス活動の流れのことで、製造業を例にとれば、設計・開発から資材の調達、生産、物流、販売という全プロセスをつなぐ連鎖構造を指している。
サプライチェーン攻撃とは、この連鎖構造が抱える脆弱性をサイバー攻撃に利用したものだ。具体的には、ソフトウェアやハードウェアの製造過程(サプライチェーン)において、製品そのものやアップデートプログラムなどを改ざんし、マルウェアに感染させるための攻撃コードを潜ませる手口を指すことが多い。
なお、大企業を中心に構成されるサプライチェーン内において、セキュリティ対策の手薄な関連会社や取引先を狙う手口もサプライチェーン攻撃と言われるため、これと区別して「ソフトウェアサプライチェーン攻撃」呼ぶこともある。
攻撃者が最終的な標的とする大手企業などは、ほとんどが強固なセキュリティ対策を施しており、侵入したり情報を盗み出すことは容易ではない。だがサプライチェーン攻撃を用いれば、この強固な防御網をすり抜けることができるのだ。
ユーザーの心の隙を巧みに突く攻撃手法
サプライチェーン攻撃が厄介なのは、ユーザーの心の隙を巧みに突いてくる点にある。
一般的にユーザーは、普段利用しているソフトウェア製品の開発元を信用しており、アップデートプログラムが配信されれば疑うことも無くインストールしてしまうだろう。新規にソフトウェアを導入する際には多少警戒しても、使い慣れたソフトウェアのアップデータを疑う人はまずいない。
また、攻撃の事前発覚が困難なことも懸念されている。ソースコードが数百万行に及ぶことも珍しくないのだから、その中から、わずか数行の不正なソースコードを発見することは至難の業だろう。しかも、アップデートは管理者(Administrator)など高い権限で実行される場合が多く、セキュリティ製品などがこれを止めることは難しい。
拡大するサプライチェーン攻撃の被害
サプライチェーン攻撃による被害事例としては、2011年に発生した米国の軍需企業Lockheed Martin社の情報漏洩事件が知られている。
その攻撃手法は、まず、同社と取引関係にあるセキュリティベンダーのRSA Securityに侵入し、そこで盗み出したワンタイムパスワード製品である「SecureID」の情報を悪用してLockheed Martin社へ侵入するというもの。軍需企業だけに、一般的な企業より遙かに高度なセキュリティ対策が施されていたはずだが、本来攻撃から守るはずのセキュリティ製品の情報を悪用され、侵入されてしまったのだからたまらない。
2017年には、世界150カ国以上で猛威を振るったランサムウェア「WannaCry」に感染した欧州企業から、サプライチェーン経由で国内企業が感染するという事案も発生した。
正規のソフトウェア・アップデートを悪用したサプライチェーン攻撃としては、Windows用クリーンアップ用フリーソフト「CCleaner」のアップデートモジュールにバックドアが仕掛けられ、約200万台のPCに配信された事例や、財務会計ソフト「MeDoc」のアップデータが改ざんされ、多くの企業に攻撃コードが潜んだアップデータがばらまかれた事例がある。
いずれも2017年に発生しており、サプライチェーン攻撃は今後ますます増加することが懸念されている。
内閣官房 内閣サイバーセキュリティセンター「2017年度 重要インフラにおける補完調査について」(2018年3月20日)より
包括的対応策を実施している日本企業は37%
気になるのは、日本におけるサプライチェーン攻撃への対応状況だ。
エンドポイント・セキュリティ対策ソリューションを提供するCrowdStrike Japanが7月20日に発表したサプライチェーン攻撃に関する調査の結果によると、日本では、「サプライチェーン攻撃に対する包括的な対応策を行っている企業」は37%にとどまるという。これは調査対象となった8カ国(米国、カナダ、メキシコ、英国、ドイツ、オーストラリア、日本、シンガポール)中、最低の数値だ。米国では60%、英国では57%が対策を行っていると回答している。
また、回答者の67%がサプライチェーン攻撃の影響の大きさと深刻さを見落とし、リスクに対する認識が欠けている点も懸念されるという。
サプライチェーン攻撃への対応策としては、攻撃への防御を固めるだけでなく、侵入されてしまった場合に備えておくことも忘れてはならない。サプライチェーン攻撃による侵入を100%防ぐことは極めて難しいからだ。
具体的な対応策としては、侵入後の不審な動きをいち早く検知し、通信をシャットダウンしたり、不正ソフトウェアを除去することなどが考えられる。これを実行できれば、被害を最小限に食い止めることができるはずだ。
大切なのは、サプライチェーン攻撃がもたらすリスクをきちんと理解した上で、被害事例など関連情報の収集を心がけることだ。社会全体で情報を共有することも必要になる。
次回の更新は8月29日です。