Zpedia 

/ サプライ チェーン攻撃とは

サプライ チェーン攻撃とは

サプライ チェーン攻撃は、組織のシステムやデータに不正にアクセスする手段としてその組織のサプライヤーに対して実行されるサイバー攻撃の一種です。バリューチェーン攻撃やサードパーティー ソフトウェア攻撃と呼ばれることもあり、脅威アクターが悪意のあるコードを使用して組織のシステムに侵入する大規模な計画を伴い、2020年に発生したSolarWinds攻撃の場合のように最初の侵害後に壊滅的な影響を与える可能性があります。
業界初の統合型SaaSサプライ チェーン セキュリティの詳細はこちら(英語)
サイバー脅威対策データ保護
  1. 攻撃の事例
  2. 影響
  3. ソフトウェア開発ライフサイクル
  4. 保護のベスト プラクティス
  5. Zscalerの特長
  6. 関連するトピック

サプライ チェーン攻撃の例

組織のサプライ チェーンやバリュー ライフサイクルに焦点を当てたサプライ チェーン攻撃には、大きく分けて2つの種類があります。

アイランド ホッピング攻撃

「アイランド ホッピング」攻撃は、大企業のバリュー チェーンの一部である小規模な関連会社やセキュリティ管理が不十分なパートナー企業に狙いを定め、そこから本来の標的の大企業に侵入する攻撃手法です。名前が示すように、攻撃者は組織から組織へと「ホップ(移動)」してメインの標的に近づきます。

この攻撃では通常、サプライヤーの広範なデジタル エコシステムに依存している有名な組織が狙われる傾向にあります。例えば、マネージド サービス プロバイダー、ハードウェアやソフトウェアのベンダー、テクノロジーやビジネスのパートナーなどがこれに当たり、その多くが脆弱なエンドポイントを介してさまざまなアプリケーションやデータベースに接続されています。

サプライ チェーン攻撃

SolarWindsサイバー攻撃などの「サプライ チェーン」攻撃は前者と少し異なり、他社のネットワークに侵入する手段としてサードパーティー ベンダーの脆弱性を探るのではなく、通常の業務で使用される組織間の信頼関係を悪用します。

サプライ チェーン攻撃の仕組み

サプライ チェーン攻撃では、標的の組織が使用する製品(通常はソフトウェア)にバックドアを埋め込むことでアクセスを得ようとします。そして、自動化されたパッチや「トロイの木馬化」されたソフトウェア アップデートを配信して、マルウェアなどの攻撃を実行します。

アイランド ホッピング攻撃やサプライ チェーン攻撃は知名度が高く、多額の損失をもたらしますが、こうした攻撃の実際の標的ではない「アイランド」にあたる組織も、深刻な風評被害やビジネス上の損害を被る可能性があります。

サプライ チェーン攻撃が与える影響

2020年に発生したSolarWindsのOrion Platformへの攻撃では、攻撃者がバックドアを介して同社のシステムにアクセスし、Orionソフトウェアのアップデートをトロイの木馬化しました。このトロイの木馬化されたOrionのアップデートによって、SolarWindsの顧客18,000人にステルス マルウェアが展開され、国防総省、国土安全保障省、FBI、陸軍、海軍なども含め、多くの米国政府機関や民間企業が被害を被る結果となりました。

このバックドアは、既知の(信頼された)監視および管理ツールの正規のソフトウェア アップデートを通じて配信されました。バックドアのインストールが完了すると、攻撃者は数日間待機してからコマンド&コントロール(C2)システムへのコールバックを開始するなどして、サンドボックスの検出を回避していました。

サプライ チェーン攻撃が危険な理由

サプライ チェーン攻撃では、すでにある信頼関係が悪用されるため、防止するのが最も難しい脅威の一つと考えるセキュリティ研究者は少なくありません。さらに、この攻撃は検出が難しく、影響が長引く可能性があります。サプライ チェーン攻撃の軽減と修復は、ウイルス対策ソフトのインストールやOSのリセットほど簡単ではありません。こうした攻撃は組織のプロセスに狙いを定めているため、そのプロセスを土台から安全なものにする必要があります。

お客様の声

「サプライ チェーン攻撃」は、ベンダーと顧客の信頼関係や、本質的に信頼できるソフトウェア アップデートのメカニズムなどのマシン間の通信チャネルを悪用するため、防止が最も難しい脅威の一つです

Lucian Constantin氏, CSO Online

SolarWinds attack explained: And why it was so hard to detect

ソフトウェア開発ライフサイクルが重要な理由

ソフトウェア サプライ チェーンの脆弱性は、そのチェーン自体の開発から始まります。開発プロセスで発生する潜在的なサイバーセキュリティ リスクを修復して、サプライ チェーンのセキュリティ インシデントを最小限に抑えることが重要です。

ここからは、ソフトウェア開発が適切に保護されていないと、脆弱な攻撃ベクトルが生まれてしまう理由を解説していきます。

シークレットとは

ソフトウェア開発におけるシークレットとは、トークン、暗号化キー、パスワード、APIなどの認証手段を指し、ユーザーとアプリ間およびアプリ間で機密情報にアクセスできるようにするものです。NotPetyaなどのハッカーやランサムウェア グループは通常、組織のソース コードを精査して脆弱性を特定し、悪用します。

オープン ソースのリスク

オープン ソース ソフトウェア(OSS)は広く普及していますが、組織を攻撃に対して無防備な状態にしてしまうリスクがあります。OSSはソフトウェアの開発に大きく貢献するものの、攻撃対象領域を拡大し、ソフトウェア サプライ チェーン攻撃の代表的な手法であるデータ侵害やマルウェア攻撃を招く原因にもなり得ます。

お客様の声

サプライ チェーン攻撃は今後も続くでしょう。こうした攻撃から身を守るのは非常に難しいため、ベンダーを選定する段階でセキュリティを考慮する必要があります

Jake Williams, SANS Institute

What You Need to Know About the SolarWinds Supply-Chain Attack

SolarWinds攻撃で明らかになったサプライ チェーンのリスク

SolarWinds攻撃からもわかるように、サプライ チェーンは常に注視する必要があります。また、ソフトウェア サプライ チェーンの製造に特有の脆弱性が存在し、この脆弱性がどのようにCiscoやIntel、Microsoftなどの知名度が高く、高度に保護された企業にリスクをもたらすのかを理解することも重要です。さらに、ITセキュリティのリーダーは、悪意のある人物がサプライ チェーンの一部に侵入できれば、全体に侵入できるという事実を認識する必要があります。

次のセクションでは、こうした危険な脅威から組織を守るためのベスト プラクティスを解説します。これらを有効に活用することで、攻撃グループや脅威からビジネスを保護できるようになります。

 

組織を保護するためのベスト プラクティス

サプライ チェーン攻撃は絶えず進化しており、同時に攻撃者は公的機関や民間企業のオペレーションと機密データを侵害する新たな手段を模索しています。サプライ チェーンのリスクを可能な限り軽減してセキュリティを強化するには、次のような推奨事項を検討することが重要です。

  • ゼロトラスト アーキテクチャーを採用してインターネットに露出した攻撃対象領域を排除し、ラテラル ムーブメントを阻止すると同時に、アクセス権を制限してC2をブロックする。
  • ワークロードとインターネット間のトラフィックに対して、フルTLS/SSLインスペクション高度な脅威対策を実施する。
  • インラインのクラウド サンドボックスを実行して、未知の脅威を特定して阻止する。
  • 新たな宛先が確認された場合は、アップデートを継続的に実施して既知のC2トラフィックに対する保護を強化する。
  • 価値の高い資産へのアクセスに対しては、多要素認証を必須にする。
  • クラウド ワークロードにアイデンティティーベースのマイクロセグメンテーションを使用して、ラテラル ムーブメントによる影響を抑制する。
  • 最高レベルの機密性、完全性、可用性を確保できるベンダーを選択する。
  • リスク評価を継続的に実施し、リスク管理に優先順位を付けることで、組織を確実に保護する。
  • ベスト プラクティスを含むサイバーセキュリティ意識向上トレーニングを頻繁に実施し、注意が必要な点(フィッシング メールなど)を従業員に理解させる。
  • ネットワークで攻撃が検出された場合に備えて、適切なインシデント対応フレームワークを実装する。

以上のサプライ チェーン セキュリティのベスト プラクティスを実行するには、トラフィックをインラインで検査し、有害なマルウェアやランサムウェア攻撃の脅威が組織に侵入する前に排除するプラットフォームを備えた、信頼できるサイバー セキュリティ企業のサービスを採用する必要があります。Zscalerはこれらすべてを実現します。

Zscalerでサプライ チェーン攻撃対策を強化

サプライ チェーン攻撃は巧妙であるため、簡単には検出できません。すべてのパートナー組織のセキュリティ態勢を理解するとともに、自社のあらゆるトラフィックを複数のレイヤーで保護し、可視化することが重要です。Zscaler Zero Trust Exchange™は次の統合サービスを提供し、組織をサプライ チェーン攻撃から保護します。

  1. Zscaler Internet Access経由ですべてのサーバー トラフィックをルーティングすることで、侵害されたサーバーからの悪意のあるアクティビティーを特定して阻止する。
  2. 重要なインフラからのトラフィックを「許可」リストの宛先のみに制限する。
  3. 信頼できる送信元からのトラフィックも含め、すべてのSSL/TLSトラフィックを検査する。
  4. 高度な脅威対策ですべての既知のC2ドメインをブロックする。
  5. 高度なクラウド ファイアウォール(クラウドIPSモジュール)を使用して、新しいC2宛先を含むすべてのポートとプロトコルにコマンド&コントロール対策を拡張する。
  6. 高度なクラウド サンドボックスを使用して、第2段階のペイロードの一部として配信される未知のマルウェアの侵入を阻止する。
  7. アイデンティティーベースのマイクロセグメンテーション(Zscaler Workload Segmentation)とゼロトラスト アーキテクチャーで、ラテラル ムーブメントを制限し、潜在的な侵害による影響を抑制する。
  8. Zscaler Private Accessでラテラル ムーブメントを抑制し、最も重要なアプリケーションを保護する。

Zscaler SaaS Supply Chain Securityで、未知のサードパーティー アプリによる接続とデータの持ち出しを防止します。