サプライチェーン攻撃とは

サプライチェーン攻撃は、サプライチェーンに不可欠なサービスやソフトウェアを提供している、信頼されているサードパーティベンダーを標的としたサイバー攻撃の一種です。

ソフトウェアサプライチェーン攻撃は、アプリのすべてのユーザーに感染させることを目的として、アプリケーションに悪意のあるコードを挿入します。ハードウェアサプライチェーン攻撃は同じ目的で、物理コンポーネントを侵害します。

歴史的にサプライチェーン攻撃は、信頼関係を利用した攻撃です。チェーン内のセキュリティ保護されていないサプライヤーを攻撃し、より大きな取引相手にアクセスします。これは、Targetに対する2013年の攻撃で起こったことであり、脅威アクターは、標的のシステムに侵入するために空調設備業者にアクセスしました。

そして、今日のより大きな問題となっているのはソフトウェアサプライチェーン攻撃です。ソフトウェアサプライチェーンは、最新のソフトウェアがゼロから書かれているのではなく、サードパーティのAPI、オープンソースコード、ソフトウェアベンダーのプロプライエタリコードなど、多くの既製のコンポーネントが含まれているため、特に脆弱です。

現在では、平均的なソフトウェアプロジェクトに203件の依存関係があります。人気のあるアプリに侵害された依存関係が1つ含まれている場合、そのベンダーからダウンロードするすべての企業も侵害されるため、被害者の数は指数関数的に増加する可能性があります。

また、ソフトウェアは再利用されるため、1つのアプリケーションの脆弱性が元のソフトウェアのライフサイクル以上に存続する可能性があります。大きなコミュニティの場合、フォロワーの少ないプロジェクトよりも、脆弱性が早く公開される可能性が高いため、大規模なユーザーコミュニティがないソフトウェアは特に脆弱です。

サプライチェーン攻撃の統計

以下は、クラウドストライクのグローバルセキュリティ意識調査からの2021年の統計です。

• 84%は、その回答者に類似した組織にとって今後3年以内にソフトウェアサプライチェーン攻撃が最大のサイバー脅威の1つになる可能性があると考えています。
• 過去12か月間にセキュリティ目的ですべての新規および既存のサプライヤーを精査したのは、わずか36%です。
• 回答者の組織の45%が、過去12か月間に少なくとも1回のソフトウェアサプライチェーン攻撃を経験しました（2018年は32%）。
• ソフトウェアサプライチェーン攻撃を初めて受けた組織の59%では、対応戦略が作成されていませんでした。

増加中の攻撃

サプライチェーン攻撃が430%増加しているのは、企業による適切な環境の堅牢化の対応が進むにつれて、悪意のある攻撃者は、よりたやすく攻撃できる標的に目を向け、攻撃者の試みを検知することを困難にすると同時に、望ましい標的に到達する可能性を高めるような、より独創的な方法を発見するようになってきているためです。

サプライチェーン攻撃の種類を以下に示します。

• アップストリームサーバー攻撃は最も一般的であり、悪意のあるアクターが悪意のある更新などを介してユーザーの「アップストリーム」のシステムを感染させ、それをダウンロードしたすべての「ダウンストリーム」のユーザーを感染させます。これは、SolarWindsのサプライチェーン攻撃で発生しました。
• ミッドストリーム攻撃は、ソフトウェア開発ツールなどの中間の要素を標的にします。
• 依存関係の混乱攻撃は、パブリックリポジトリに同じ名前でバージョン番号が新しい依存関係を登録することにより、内部で作成されたプライベートなソフトウェアの依存関係をエクスプロイトします。この誤った依存関係が、正しい依存関係の代わりになって、ソフトウェアビルドに取り込まれる可能性があります。
• 盗取されたSSLおよびコード署名証明書攻撃は、安全なWebサイトおよびクラウドサービスのユーザーを認証するために使用される秘密キーを侵害します。Stuxnetはこのカテゴリに分類されます。
• CI/CDインフラストラクチャ攻撃は、正当なGitHubリポジトリのクローンを作成するなどして、開発オートメーションインフラストラクチャにマルウェアを持ち込みます。
• オープンソースソフトウェア攻撃は、コードをビルドに導入し、ダウンストリームのビルドを使用するユーザーに伝播させます。

サプライチェーン攻撃の例

SolarWinds攻撃は、誰もが最もよく知るサプライチェーン攻撃です。これは、ソフトウェアのビルドサイクルに悪意のあるコードを挿入する複雑な攻撃であり、最初に下流の約18,000の顧客に感染しました。これには、現在利用可能な最強のサイバーセキュリティツールとサービスによって保護されている大手企業や政府機関も含まれています。

別の高度なサプライチェーン攻撃は、ASUS Live Utilityをターゲットとしたものです。これはASUSシステムにプリインストールされ、コンピューターのBIOS、UEFI、ドライバー、アプリケーション、およびその他のコンポーネントを自動的に更新するソフトウェアユーティリティです。57,000人以上のユーザーが侵害されたユーティリティをダウンロードしてインストールしたことが知られていますが、実際の数はおそらくはるかに多いでしょう。これは、特定のMACアドレスを持つユーザーのグループを狙った標的型攻撃でした。

人気のあるオープンソースのJavaScriptツールが、LinuxおよびmacOSオペレーティングシステムを狙った攻撃の標的となりました。この攻撃は、ブランドジャッキングと呼ばれる手法を使用して、ユーザーをだまして悪意のあるコードをダウンロードさせました。標的とされたソフトウェアであるBrowserifyは、毎週130万人以上のユーザーによってダウンロードされているため、その侵害の影響は潜在的に甚大でした。このケースでは、攻撃は開始から1日以内に特定され、停止されました。しかしながら、このタイプの攻撃で見逃されているものは数多くあります。2020年には、少なくとも26のオープンソースプロジェクトがサプライチェーン攻撃の標的にされました。

サイバーセキュリティ企業自体がサプライチェーン攻撃の標的とされています。たとえば、人気のある無料のクリーンアップツールであるCC Cleanerがバックドアで侵害され、悪意のある攻撃者がこのソフトウェアがインストールされている何百万ものコンピューターにアクセスできるようにされました。CC Cleanerはセキュリティ会社であるアバストの製品でしたが、実際のところ、これを最初に作成した会社をアバストが買収する前に、すでに侵害されていました。攻撃者はバックドアをインストールし、買収が完了するまで待ってから、ダウンロードを汚染し始めました。研究者は、227万の悪意のあるダウンロードが完了したものの、侵害されたシステムのうち40のみが第2段階の攻撃の標的にされたため、これを標的型攻撃であると考えています。

サプライチェーン攻撃をどのように防止し、検知するか

サプライチェーン攻撃は、パートナーやサプライヤーとの重要な関係に影響を与える、ビジネスクリティカルな問題になりつつあります。サプライチェーン攻撃は検知が困難です。また、ソフトウェア製品が過去に検証されていたからといって、現在でも安全であるとは限りません。

組織は、取引するベンダーを厳密に評価するとともに、攻撃に対する脆弱性につながるサプライチェーンリスクを軽減する必要があります。そのためには、効果的な予防、検知、および対応技術を採用する必要があります。

組織がサプライチェーンのセキュリティを強化し、被害者になることを回避するための推奨事項を以下に示します。

• 振る舞いベースの攻撃検知を含むソリューションを採用します。サプライチェーン攻撃は巧妙であるため、組織は攻撃の痕跡（IOA）などの振る舞いベースの分析の力を借りる必要があります。「正常なプログラムが異常になったときに」発生するリスクを軽減するには、機械学習（ML）などのテクノロジーが必要です。このテクノロジーで、1日に数百、数千、さらには数百万の攻撃のパターンを検知できますが、これは人間の洞察だけでは達成できない離れ技です。
• 脅威インテリジェンスで将来のサプライチェーン攻撃に先手を打つ。脅威インテリジェンスは、新しいサプライチェーン攻撃が発生したときに通知し、攻撃を理解してプロアクティブに防御するために必要なすべての情報を提供します。CROWDSTRIKE FALCON® INTELLIGENCE™は、CrowdStrikeの自動化された統合脅威分析ツールです。マルウェア分析、マルウェア検索、脅威インテリジェンスを組み合わせて、予測的なセキュリティ保護を可能にする豊富なコンテキスト情報を提供します。
• プロアクティブなサービスで十分に準備する。クラウドストライクのサービスチームは、サイバーセキュリティ成熟度評価の一環にサプライチェーン分析を含めています。また、サプライチェーン攻撃をシミュレートする机上演習をお客様と実施しています。これにより、お客様は現在のエクスポージャーを理解し、サプライチェーン攻撃に対する保護と準備を強化するためのロードマップを手にすることができます。