サプライチェーン攻撃とは？事例とセキュリティ対策

サプライチェーン攻撃とは、開発者、メーカー、エンドクライアントが気づかないうちに、悪意のあるライブラリやコンポーネントを製品に注入し、セキュリティを侵害する非常に効果的な方法です。これは、機密データの窃取、機密性の高い環境へのアクセス、特定のシステムの遠隔操作などに有効な手段です。最も危険なのは、大手ソフトウェア開発会社やハードウェア販売会社が、最終製品の製造に使用する製品の製造・出荷をベンダーに委託している場合です。

技術分野でのサプライチェーン攻撃は、ソフトウェアベンダーやハードウェアメーカーに焦点を当てています。攻撃者は、悪意のあるコンポーネントの注入を可能にする安全でないコード、安全でないインフラストラクチャの実践、安全でないネットワーク手順を探します。開発（または製造）からインストールまで、いくつかの段階を経て構築される場合、攻撃者（または攻撃者グループ）は、最終製品に独自の悪意あるコードを注入する機会を何度も得ることができます。

メーカー、ベンダー、開発者の中には、何千もの顧客が使用する製品を構築しているところがあります。これらのサプライヤーのいずれかに侵入した攻撃者は、テクノロジー企業、政府機関、セキュリティ契約者など、何千人もの無防備な犠牲者にアクセスできる可能性があります。サプライチェーン攻撃では、標的となる1つの組織のみを侵害するのではなく、攻撃者は大小多数の企業へのアクセスを取得し、彼らが知らないうちに大量のデータを静かに流出させる可能性があるのです。

ハードウェアのサプライチェーン攻撃では、メーカーがサーバーやその他のネットワークコンポーネントの製造に使用する回路基板に、悪意のあるマイクロチップをインストールします。このチップを利用して、攻撃者はデータを盗聴したり、企業インフラへのリモートアクセスを取得したりすることができます。ソフトウェアレベルのサプライチェーン攻撃では、悪意のあるライブラリ開発者が、クライアントのアプリケーション内で、悪意のあるアクションを実行するためにコードを変更することができます。このライブラリは、クリプトジャッキングやデータの窃盗、あるいは攻撃者が企業システムにリモートアクセスするためのバックドアとして使用される可能性があります。

サプライチェーン攻撃における最大の脅威の多くでは、電子メール詐欺が攻撃を開始するために使用される主要なベクトルとなっています。ビジネスメール詐欺（BEC）は、ターゲットに対してデューデリジェンスを行う攻撃者にとって効果的です。なぜなら、請求書の支払いや送金を指示する電子メールを主要な従業員（例えば、財務担当者）に送ることができるからです。送信者のアドレスはCEOやオーナーのものであるように見え、受信者に緊急性を感じさせるように書かれています。また、攻撃者がある役員のメールアカウントを侵害し、それを使って組織内の従業員にフィッシングメールを送信する場合もあります。

多くの企業は、サプライチェーン攻撃の仕組みに精通していないため、この種の攻撃の被害に遭った場合にどうなるかを知りません。サプライチェーン攻撃は、企業の収益、ブランドの評判、ベンダーとの関係に壊滅的な打撃を与える可能性があります。

サプライチェーンの攻撃による主な影響は次の3つです。

• 情報漏えいとデータ流出: 多くのサプライチェーン攻撃、特にハードウェアベースの攻撃では、悪意のあるコードがデータを盗聴し、攻撃者が管理するサーバーに送信します。悪意のあるコードに感染したシステムを通過するすべてのデータが侵害される可能性があり、次回の侵害のために高権限のアカウント認証情報も盗まれるかもしれません。
• マルウェアのインストール: アプリケーション内で実行される悪意のあるコードは、マルウェアをダウンロードし企業ネットワークにインストールするために使用される可能性があります。注入されたサプライチェーン攻撃コードを使用して、ランサムウェア、ルートキット、キーロガー、ウイルス、およびその他のマルウェアがインストールされることもあります。
• 金銭的損失: 従業員が騙されて銀行口座に送金したり、不正な請求書を支払ったりした場合、標的となった組織は数百万ドルの損失を被る可能性があります。

サードパーティに依存して製品を製造しているベンダーは、サプライチェーン攻撃の影響を受けやすいと言えます。一般的な攻撃では、脅威者は特定の企業ではなく、あらゆるターゲットに焦点を当てます。しかし、高度な攻撃では、脅威者は政府機関や数十億円規模の大組織に狙いを定めます。国家主導の攻撃では、脅威者は政府機関とそのインフラに焦点を当てます。これらの攻撃では、マルウェアが重要なシステムをクラッシュさせた場合、人命が失われる可能性があります。

セキュリティベンダーは絶好のターゲットです。企業は、自社のデータと評判を守るために、セキュリティベンダーを信頼しています。セキュリティベンダーのインフラや制御装置にこっそり悪意のあるコードを仕込むことで、攻撃者は大企業のシステムから静かにデータを吸い上げ、攻撃者が管理するネットワークに送信することができます。このような攻撃にさらされやすいデータは、財務情報、個人識別情報（PII）、患者情報、従業員情報などです。

マネージド・サービス・プロバイダー（MSP）も主要な標的の一つです。これらの企業は、組織のインフラをサポートし、活動を監視するためのシステムを備えています。MSPのシステムのアクセス権を持つことで、攻撃者は多数のMSPクライアント・システムにアクセスできるようになります。適切な悪意のあるコードがあれば、攻撃者はMSPの認証情報にアクセスし、クライアントのインフラにアクセスできるようになります。また、攻撃者は、決済ダッシュボードやカスタマーサポートシステムからクレジットカード番号を抜き取ることも可能です。

オープンソースは、開発者が他の開発者と協力してコードを改善するのに最適な方法です。他の開発者がコードベースに貢献する場合、そのコードにセキュリティ上の欠陥がないかどうかを確認する必要があります。これらの欠陥は、誤ってコードベースに追加されることも、意図的に追加されることもあります。ほとんどのオープンソースプロジェクトは、他の開発者に公開されているため、コード内の誤ったセキュリティバグは、役に立つサードパーティよりも先に攻撃者に捕捉される可能性があります。攻撃者は、そのセキュリティ脆弱性を悪用するコードを書き、オープンソースのコードを使用するすべての企業は、標的型攻撃の対象となります。

ソーシャルメディアやウェブサイト上で組織図を公開している組織は、BECのターゲットとなります。攻撃者は、フィッシングやソーシャルエンジニアリング、あるいは従業員を騙して不正な請求書を支払わせるために、高権限アカウントのリストを収集する可能性があります。偵察の後、攻撃者は、従業員を騙して送金させたり、請求書を支払わせたりするために、意図した人物に「なりすます」ことができます。場合によっては、その組織のベンダーも危険にさらされる可能性があります。攻撃者は、ベンダーの電子メールアカウントを侵害し、そのアカウントを使用して、被害者組織内の高権限の従業員をターゲットにした電子メールを送信することもできます。

実際のところ、サプライチェーン攻撃はすでにいくつか行われていますが、開発者や運用者が標的にされるため、一般にはあまり知られていません。一般的に知られている実例では、サプライチェーン攻撃の被害を受けたベンダーによって残された脆弱性を封じ込め、根絶し、是正しなければならない企業管理者が主に影響を受けています。

大企業に影響を与えた実例として、以下のようなものがあります。

• SolarWinds: 2020年、攻撃者がSolarWindsのアップデート配布プロセスにバックドアを仕込み、企業や政府機関の本番サーバーがリモートアクセスの対象となる事態が発生しました。数多くの組織がデータ漏洩やセキュリティインシデントの犠牲となりました。
• Kaseya: ランサムウェア「REvil」が、数千の顧客環境を管理するMSPソフトウェアに感染し、攻撃者はMSPの顧客に7000万ドルの支払いを要求しました。
• Codecov: 攻撃者は、顧客にレポートを自動送信するためのCodecov Bashアップローダーを感染させました。そのスクリプトに悪意のあるコードを注入し、攻撃者はCodecovのサーバーから顧客データを盗聴し、盗み出しました。
• NotPetya: NotPetyaは偽のランサムウェアで、ユーザーを騙して料金を支払わせるために使用されましたが、秘密鍵は配信されず、被害者にはデータと金銭的損失を負うことになりました。攻撃の発端は、ウクライナのアップデート用アプリケーションが悪意のあるコードに感染したことでした。
• Atlassian: 2020年、セキュリティ研究者は、シングルサインオン（SSO）手順に対するエクスプロイトにより、Atlassianのアプリに脆弱性があることを発見しました。攻撃者は、SSO トークンを使用してアプリケーションにアクセスし、ユーザーアカウントに関連するアクションを実行しました。
• British Airways: ブリティッシュ・エアウェイズは、Magecartによるサプライチェーン攻撃によって取引システムが侵害され、機密情報が流出するというデータ侵害に見舞われました。
• コミュニティハウジングの非営利団体: 攻撃者は、ベンダーのドメインになりすまし、非営利団体の従業員を騙して機密データを漏らし、家賃100万ポンドを盗み出しました。

サプライチェーン攻撃は、組織の管理外の開発者やメーカーをターゲットにしているため、阻止することが困難です。インフラにインストールする前に、必ずコードやハードウェアを確認する必要があります。また、セキュリティの専門家は、これらのコンポーネントに対して侵入テストを行い、悪意を持ってシステムに注入された不測の脆弱性や、悪用可能な脆弱性が誤って混入していないことを確認しなければなりません。

サプライチェーン攻撃はコントロールできないものですが、いくつかの戦略に従うことで被害者になることを避けられます。以下にいくつかの戦略を紹介します。

• ハニーポットを設置する: 機密性の高い貴重な情報に見せかけた偽のデータのハニーポットは、システムが攻撃や危険にさらされている可能性があることを管理者に警告するトリップワイヤーのような役割を果たします。ハニーポットは、通常のシステムやデータのように振る舞い、見える必要があります。また、管理者は攻撃者がどのように環境に侵入するかを特定できるように、監視機能を備えている必要があります。
• 特権的なアカウントの制限: 高権限のアカウントを侵害するサプライチェーン攻撃では、ネットワーク上での横移動が一般的です。アクセスを少数のアカウントに制限し、アカウントは機能を実行するために必要なデータにのみアクセスできるようにすることで、リスクを抑えることができます。
• スタッフトレーニング: サイバーセキュリティの重要性と、インサイダー脅威を検知し防御するためのさまざまな方法を理解するためのトレーニングは、リスク低減につながることが証明されています。セキュリティ意識向上トレーニングは、組織のセキュリティを確保するために、個人が特定のプラクティスを理解し、従うようにするために役立ちます。
• IAM（Identity Access Management）システムの導入: IAMは、管理者が企業全体のデータアクセスを制御し、アカウントの作成と無効化を行うための一元化されたダッシュボードを提供します。管理者は、ネットワーク上の権限を一元管理し、潜在的な権限の誤操作を特定できるという利点があります。
• ZTA（zero trust architecture）の導入: ゼロトラスト環境では、認証されたユーザーを信頼する代わりに、すべてのアプリケーションとユーザーが攻撃者である可能性を想定し、データアクセスのリクエストごとに認証と再認証を必要とします。
• 脆弱なリソースの特定: リスクアセスメントでは、専門家がネットワーク上のすべてのリソースを監査し、どのリソースが最も脆弱で、最もリスクを含んでいるかを特定します。管理者は、最もリスクの高いインフラストラクチャのサイバーセキュリティ対策を優先し、攻撃者が狙う可能性のあるリソースを保護することができます。
• 機密データへのアクセスを最小化: 知的財産や企業秘密を含むファイルなどの機密データについては、組織はアクセスを高権限のユーザーのみに制限し、成功したアクセス要求と失敗したアクセス要求を監視して、あらゆる侵害を特定する必要があります。
• ベンダーのアクセスおよびリソースの監視: サードパーティベンダーは、サプライチェーンの攻撃において最も大きなリスクをもたらします。多くのベンダーは、自分たちが標的となり、顧客にリスクをもたらしていることを認識していません。したがって、サードパーティベンダーのリソースへのアクセスや導入は、脆弱性がないかどうかを検討する必要があります。
• シャドーITの厳格なルール適用: シャドーITリソースとは、ネットワーク環境へのアクセスが許可されていないデバイスのことです。この問題は、組織がBYOD（Bring-Your-Own-Device）ポリシーを導入し、ユーザーが自分のデスクトップやモバイルデバイスで接続できるようにしている場合にリスクとなります。これらのデバイスは厳重に監視され、ウイルス対策ソフトウェアがインストールされている必要があります。
• インサイダー脅威を意識: ヒューマンエラーは、フィッシング詐欺やソーシャルエンジニアリングの脅威の主要な攻撃経路となります。また、リスクアセスメントとレビューでは、深刻なデータ漏えいやシステムの侵害を引き起こす可能性のあるインサイダー脅威やヒューマンエラーも特定する必要があります。
• メールのサイバーセキュリティを利用し、なりすまし送信者をブロック: メールサーバーは、なりすまし送信者が受信箱に到達するのを阻止し、人工知能を使用して、なりすましドメインや既知の攻撃サイトを阻止する必要があります。
• 悪意のあるメッセージを検知するためのトレーニング: ヒューマンエラーのリスクを低減するためには、従業員の教育が重要です。フィッシング詐欺のシミュレーションにより、従業員はフィッシング攻撃やソーシャルエンジニアリングを見分けることができるようになります。
• 請求書の支払いに関するポリシーの策定: 不正な請求書の支払いを避けるため、銀行口座に送金する前に、請求書を検証し、承認を得るための支払い方針を設定します。

あなたの組織がサプライチェーン攻撃に対してどのような脆弱性を持ちうるかを理解するためには、まず、デューデリジェンスを行い、内部監査のリスクアセスメント内部リスク評価を実施する必要があります。SolarWinds社のサプライチェーン攻撃の後、より多くの組織が、こうした第三者の脅威から内部環境を保護するためのリスクアセスメントの重要性を認識しています。

リスクアセスメントでは、専門家はリスクを特定するだけでなく、組織がリスクを設計し管理することを支援します。リスク軽減には、脅威を適切に阻止するための適切なサイバーセキュリティ制御とゼロトラスト環境が必要です。多くの場合、組織はリスクを軽減するために、権限制御とユーザー権限を再設計する必要があります。

プルーフポイントのスタッフは、サプライチェーン攻撃や、脅威がお客様のデータプライバシー、コンプライアンス、サイバーセキュリティの防御にもたらす様々なリスクに関する専門家です。私たちは、主要な攻撃経路である電子メールを保護する広範なサービスを提供しています。ヘルスケア、金融サービス、教育、製造業など、さまざまな業界のサプライチェーンを保護します。