サプライチェーン攻撃とは？事例と対策

サプライチェーン攻撃とは、開発者、メーカー、エンドクライアントが気づかないうちに、悪意のあるライブラリやコンポーネントを製品に注入し、セキュリティを侵害する非常に効果的な方法です。これは、機密データの窃取、機密性の高い環境へのアクセス、特定のシステムの遠隔操作などに有効な手段です。

最も危険なのは、大手ソフトウェア開発会社やハードウェア販売会社が、最終製品の製造に使用する製品の製造・出荷をベンダーに委託している場合です。サプライチェーン攻撃は一般的にサプライチェーンの下流にあるターゲットへのアクセスを獲得するために実行されます。これらのサイバー脅威は、金融や政府部門から石油・ガス産業まで、あらゆる業界に影響を与える可能性があります。

技術分野でのサプライチェーン攻撃は、ソフトウェアベンダーやハードウェアメーカーに焦点を当てています。攻撃者は、悪意のあるコンポーネントの注入を可能にする安全でないコード、安全でないインフラストラクチャの実践、安全でないネットワーク手順を探します。開発（または製造）からインストールまで、いくつかの段階を経て構築される場合、攻撃者（または攻撃者グループ）は、最終製品に独自の悪意あるコードを注入する機会を何度も得ることができます。

メーカー、ベンダー、開発者の中には、何千もの顧客が使用する製品を構築しているところがあります。これらのサプライヤーのいずれかに侵入した攻撃者は、テクノロジー企業、政府機関、セキュリティ契約者など、何千人もの無防備な犠牲者にアクセスできる可能性があります。サプライチェーン攻撃では、標的となる1つの組織のみを侵害するのではなく、攻撃者は大小多数の企業へのアクセスを取得し、彼らが知らないうちに大量のデータを静かに流出させる可能性があるのです。

ハードウェアのサプライチェーン攻撃では、メーカーがサーバーやその他のネットワークコンポーネントの製造に使用する回路基板に、悪意のあるマイクロチップをインストールします。このチップを利用して、攻撃者はデータを盗聴したり、企業インフラへのリモートアクセスを取得したりすることができます。ソフトウェアレベルのサプライチェーン攻撃では、悪意のあるライブラリ開発者が、クライアントのアプリケーション内で、悪意のあるアクションを実行するためにコードを変更することができます。このライブラリは、クリプトジャッキングやデータの窃盗、あるいは攻撃者が企業システムにリモートアクセスするためのバックドアとして使用される可能性があります。

サプライチェーン攻撃における最大の脅威の多くでは、電子メール詐欺が攻撃を開始するために使用される主要なベクトルとなっています。ビジネスメール詐欺（BEC）は、ターゲットに対してデューデリジェンスを行う攻撃者にとって効果的です。なぜなら、請求書の支払いや送金を指示する電子メールを主要な従業員（例えば、財務担当者）に送ることができるからです。送信者のアドレスはCEOやオーナーのものであるように見え、受信者に緊急性を感じさせるように書かれています。また、攻撃者がある役員のメールアカウントを侵害し、それを使って組織内の従業員にフィッシングメールを送信する場合もあります。

サードパーティベンダーを利用してインフラを導入している組織は、サプライチェーン攻撃に対して脆弱であり、主に4種類の攻撃に注意する必要があります。その4種類の攻撃は以下の通りです。

• 物理的なサプライチェーン攻撃: 物理的なサプライチェーン攻撃は、通常、メーカーやベンダーと協力して、回路基板に部品を注入する必要があります。メーカーは設計プランを与えられ、それに従って部品を製造しなければなりません。悪意のあるメーカーは、回路基板にたった1つの部品を追加するだけで、データを盗聴し、攻撃者に送信することができます。
• ソフトウェアのサプライチェーン攻撃: 組織は、ソフトウェアベンダーが提供する製品をネットワークにインストールし、サーバーの監視やユーザーの日常業務の遂行などに利用しています。未知の脆弱性を持つアプリケーションは、悪意のある脅威者が組織のシステムに対して多数の攻撃を行うことを可能にします。
• デジタルサプライチェーン攻撃: ソフトウェア開発者は、開発時間を短縮する目的で、アプリケーションの機能を実行するために一般的なサードパーティライブラリを使用します。サードパーティライブラリの開発者が、製品に悪意のあるコードを注入した場合、感染したライブラリを組み込んだソフトウェア開発者は、脆弱な立場に置かれることになります。
• ビジネスメール詐欺: 攻撃者が会社のメールアドレスを侵害することができれば、そのメールアドレスを使ってやりとりを行い、受信者を騙して機密データを提供させたり、攻撃者が管理する口座に送金させたりすることが可能になります。

サプライチェーン攻撃は、企業の収益、ブランドの評判、ベンダーとの関係に壊滅的な打撃を与える可能性があります。具体的には以下のような影響を与えます。

• 情報漏えいとデータ流出: 多くのサプライチェーン攻撃、特にハードウェアベースの攻撃では、悪意のあるコードがデータを盗聴し、攻撃者が管理するサーバーに送信します。悪意のあるコードに感染したシステムを通過するすべてのデータが侵害される可能性があり、次回の侵害のために高権限のアカウント認証情報も盗まれるかもしれません。
• マルウェアのインストール: アプリケーション内で実行される悪意のあるコードは、マルウェアをダウンロードし企業ネットワークにインストールするために使用される可能性があります。注入されたサプライチェーン攻撃コードを使用して、ランサムウェア、ルートキット、キーロガー、ウイルス、およびその他のマルウェアがインストールされることもあります。
• 金銭的損失: 従業員が騙されて銀行口座に送金したり、不正な請求書を支払ったりした場合、標的となった組織は数百万ドルの損失を被る可能性があります。
• 業務の中断: 成功したサプライチェーン攻撃は、組織の業務を深刻に混乱させ、コストのかかるダウンタイム、遅延、生産性の低下を引き起こす可能性があります。
• 評判の損害: サプライチェーン攻撃が組織の製品やサービスの品質と信頼性に影響を与える場合、その結果は評判に深刻なダメージを与え、顧客やベンダーの信頼と忠誠心の喪失につながる可能性があります。

サプライチェーン攻撃は、その多様性と複雑さから、組織にとって増大する懸念事項となっています。一般的なサプライチェーン攻撃の発生源には以下のようなものがあります。

• 商用ソフトウェア: 多くの企業が同じソフトウェアベンダーやソリューションを使用しているため、ソフトウェア会社のシステムに侵入したり製品の完全性を損なったりできるサプライチェーン攻撃者は、多くのターゲットへのアクセスを獲得します。
• オープンソース サプライチェーン: 攻撃者はオープンソース ソフトウェア プロジェクトを標的にし、コードベースに悪意のあるコードを注入することで、ソフトウェアをダウンロードするユーザーに配布されます。
• 海外製品: 海外で製造された製品は、サプライチェーン プロセス中に侵害され、攻撃者が製品に悪意のあるコンポーネントを挿入することを可能にします。
• 侵害されたソフトウェア構築ツールや更新インフラストラクチャ: 攻撃者はソースコード、構築プロセス、または更新メカニズムにアクセスすることで、正規のアプリに感染してマルウェアを配布することができます。
• 盗まれたコード署名証明書や署名された悪意のあるコード: 攻撃者はコード署名証明書を盗んだり、悪意のあるコードに署名して正規のものに見せかけたりすることができます。
• ハードウェアとファームウェアの攻撃: 攻撃者は製造中にハードウェアやファームウェアを侵害し、製品に悪意のあるコンポーネントを挿入することができます。
• サードパーティ ベンダーやサプライヤー: 攻撃者はサードパーティ ベンダー、サプライヤー、またはサプライチェーンを介して企業のネットワークにアクセスできます。

組織がこれらのサプライチェーン攻撃の発生源を認識し、リスクを軽減するための対策を講じることが重要です。これには、多要素認証、暗号化、定期的なセキュリティ監査、およびサードパーティ ベンダーとサプライヤーの審査と監視などのセキュリティ対策の実施が含まれます。

サードパーティに製品構築を依存するベンダーは、サプライチェーン攻撃に対して脆弱です。一般的な攻撃では、脅威アクターは特定の企業ではなく、あらゆるターゲットに焦点を当てます。最も一般的なターゲットには以下が含まれます。

• 一般的なベンダー: サードパーティ コンポーネントに依存するベンダーは、サプライチェーン攻撃の影響を受けやすくなっています。一般的な攻撃では、脅威アクターは差別なく、利用可能なあらゆる組織を標的にします。
• 大規模組織と政府機関: 大規模組織や政府機関は、高度な攻撃の焦点となることがよくあります。ここでの成功した侵害は、生命の喪失を含む壊滅的な結果をもたらす可能性があります。
• セキュリティベンダー: データの管理者と見なされるこれらのベンダーは、主要な標的です。侵入されると、財務記録から個人を特定できる情報（PII）まで、大量の機密データが露出する可能性があります。
• マネージド サービス プロバイダー（MSP）: 組織のインフラストラクチャを監督していることで、MSPは攻撃者にとって特に魅力的です。MSPを侵害すると、複数のクライアントのシステムへのアクセス権が潜在的に付与される可能性があります。
• オープンソース プロジェクト: オープンソースは共同コーディングのプラットフォームを提供しますが、リスクがないわけではありません。すべての貢献には、悪用可能な欠陥から守るために綿密なセキュリティ チェックが必要です。
• 従業員階層が公開されている組織: 脅威アクターは、詐欺や成りすましスキームを通じてこれらの組織を悪用します。公開されている階層情報は、フィッシングやソーシャル エンジニアリングの戦術を構築する攻撃者を支援します。

実際のところ、サプライチェーン攻撃はすでにいくつか行われていますが、開発者や運用者が標的にされるため、一般にはあまり知られていません。一般的に知られている実例では、サプライチェーン攻撃の被害を受けたベンダーによって残された脆弱性を封じ込め、根絶し、是正しなければならない企業管理者が主に影響を受けています。

大企業に影響を与えた実例として、以下のようなものがあります。

• SolarWinds: 2020年、攻撃者がSolarWindsのアップデート配布プロセスにバックドアを仕込み、企業や政府機関の本番サーバーがリモートアクセスの対象となる事態が発生しました。数多くの組織がデータ漏洩やセキュリティインシデントの犠牲となりました。
• Kaseya: ランサムウェア「REvil」が、数千の顧客環境を管理するMSPソフトウェアに感染し、攻撃者はMSPの顧客に7000万ドルの支払いを要求しました。
• Codecov: 攻撃者は、顧客にレポートを自動送信するためのCodecov Bashアップローダーを感染させました。そのスクリプトに悪意のあるコードを注入し、攻撃者はCodecovのサーバーから顧客データを盗聴し、盗み出しました。
• NotPetya: NotPetyaは偽のランサムウェアで、ユーザーを騙して料金を支払わせるために使用されましたが、秘密鍵は配信されず、被害者にはデータと金銭的損失を負うことになりました。攻撃の発端は、ウクライナのアップデート用アプリケーションが悪意のあるコードに感染したことでした。
• Atlassian: 2020年、セキュリティ研究者は、シングルサインオン（SSO）手順に対するエクスプロイトにより、Atlassianのアプリに脆弱性があることを発見しました。攻撃者は、SSO トークンを使用してアプリケーションにアクセスし、ユーザーアカウントに関連するアクションを実行しました。
• British Airways: ブリティッシュ・エアウェイズは、Magecartによるサプライチェーン攻撃によって取引システムが侵害され、機密情報が流出するというデータ侵害に見舞われました。
• コミュニティハウジングの非営利団体: 攻撃者は、ベンダーのドメインになりすまし、非営利団体の従業員を騙して機密データを漏らし、家賃100万ポンドを盗み出しました。

サプライチェーン攻撃は、組織の管理外の開発者やメーカーをターゲットにしているため、阻止することが困難です。インフラにインストールする前に、必ずコードやハードウェアを確認する必要があります。また、セキュリティの専門家は、これらのコンポーネントに対して侵入テストを行い、悪意を持ってシステムに注入された不測の脆弱性や、悪用可能な脆弱性が誤って混入していないことを確認しなければなりません。

サプライチェーン攻撃はコントロールできないものですが、いくつかの戦略に従うことで被害者になることを避けられます。以下にいくつかの戦略を紹介します。

• ハニーポットを設置する: 機密性の高い貴重な情報に見せかけた偽のデータのハニーポットは、システムが攻撃や危険にさらされている可能性があることを管理者に警告するトリップワイヤーのような役割を果たします。ハニーポットは、通常のシステムやデータのように振る舞い、見える必要があります。また、管理者は攻撃者がどのように環境に侵入するかを特定できるように、監視機能を備えている必要があります。
• 特権的なアカウントの制限: 高権限のアカウントを侵害するサプライチェーン攻撃では、ネットワーク上での横移動が一般的です。アクセスを少数のアカウントに制限し、アカウントは機能を実行するために必要なデータにのみアクセスできるようにすることで、リスクを抑えることができます。
• スタッフトレーニング: サイバーセキュリティの重要性と、インサイダー脅威を検知し防御するためのさまざまな方法を理解するためのトレーニングは、リスク低減につながることが証明されています。セキュリティ意識向上トレーニングは、組織のセキュリティを確保するために、個人が特定のプラクティスを理解し、従うようにするために役立ちます。
• IAM（Identity Access Management）システムの導入: IAMは、管理者が企業全体のデータアクセスを制御し、アカウントの作成と無効化を行うための一元化されたダッシュボードを提供します。管理者は、ネットワーク上の権限を一元管理し、潜在的な権限の誤操作を特定できるという利点があります。
• ZTA（zero trust architecture）の導入: ゼロトラスト環境では、認証されたユーザーを信頼する代わりに、すべてのアプリケーションとユーザーが攻撃者である可能性を想定し、データアクセスのリクエストごとに認証と再認証を必要とします。
• 脆弱なリソースの特定: リスクアセスメントでは、専門家がネットワーク上のすべてのリソースを監査し、どのリソースが最も脆弱で、最もリスクを含んでいるかを特定します。管理者は、最もリスクの高いインフラストラクチャのサイバーセキュリティ対策を優先し、攻撃者が狙う可能性のあるリソースを保護することができます。
• 機密データへのアクセスを最小化: 知的財産や企業秘密を含むファイルなどの機密データについては、組織はアクセスを高権限のユーザーのみに制限し、成功したアクセス要求と失敗したアクセス要求を監視して、あらゆる侵害を特定する必要があります。
• ベンダーのアクセスおよびリソースの監視: サードパーティベンダーは、サプライチェーンの攻撃において最も大きなリスクをもたらします。多くのベンダーは、自分たちが標的となり、顧客にリスクをもたらしていることを認識していません。したがって、サードパーティベンダーのリソースへのアクセスや導入は、脆弱性がないかどうかを検討する必要があります。
• シャドーITの厳格なルール適用: シャドーITリソースとは、ネットワーク環境へのアクセスが許可されていないデバイスのことです。この問題は、組織がBYOD（Bring-Your-Own-Device）ポリシーを導入し、ユーザーが自分のデスクトップやモバイルデバイスで接続できるようにしている場合にリスクとなります。これらのデバイスは厳重に監視され、ウイルス対策ソフトウェアがインストールされている必要があります。
• インサイダー脅威を意識: ヒューマンエラーは、フィッシング詐欺やソーシャルエンジニアリングの脅威の主要な攻撃経路となります。また、リスクアセスメントとレビューでは、深刻なデータ漏えいやシステムの侵害を引き起こす可能性のあるインサイダー脅威やヒューマンエラーも特定する必要があります。
• メールのサイバーセキュリティを利用し、なりすまし送信者をブロック: メールサーバーは、なりすまし送信者が受信箱に到達するのを阻止し、人工知能を使用して、なりすましドメインや既知の攻撃サイトを阻止する必要があります。
• 悪意のあるメッセージを検知するためのトレーニング: ヒューマンエラーのリスクを低減するためには、従業員の教育が重要です。フィッシング詐欺のシミュレーションにより、従業員はフィッシング攻撃やソーシャルエンジニアリングを見分けることができるようになります。
• 請求書の支払いに関するポリシーの策定: 不正な請求書の支払いを避けるため、銀行口座に送金する前に、請求書を検証し、承認を得るための支払い方針を設定します。

あなたの組織がサプライチェーン攻撃に対してどのような脆弱性を持ちうるかを理解するためには、まず、デューデリジェンスを行い、内部監査のリスクアセスメント内部リスク評価を実施する必要があります。SolarWinds社のサプライチェーン攻撃の後、より多くの組織が、こうした第三者の脅威から内部環境を保護するためのリスクアセスメントの重要性を認識しています。

サプライチェーン リスク アセスメントは、組織がそのサプライチェーンに関連するリスクを特定、評価、軽減する体系的なプロセスです。これには、サプライヤー、工場、倉庫、物流、およびその他の関連コンポーネントを含むサプライチェーン チャネルの特定と文書化、さらに特定された各リスクの可能性と潜在的な影響の評価が含まれます。

リスクアセスメントでは、専門家はリスクを特定するだけでなく、組織がリスクを設計し管理することを支援します。リスク軽減には、脅威を適切に阻止するための適切なサイバーセキュリティ制御とゼロトラスト環境が必要です。多くの場合、組織はリスクを軽減するために、権限制御とユーザー権限を再設計する必要があります。

プルーフポイントのスタッフは、サプライチェーン攻撃や、脅威がお客様のデータプライバシー、コンプライアンス、サイバーセキュリティの防御にもたらす様々なリスクに関する専門家です。私たちは、主要な攻撃経路である電子メールを保護する広範なサービスを提供しています。ヘルスケア、金融サービス、教育、製造業など、さまざまな業界のサプライチェーンを保護します。