サプライチェーン攻撃の事例から学ぶセキュリティ見直しポイント
目次
近年のセキュリティインシデントの発生傾向
2019年以降、「サプライチェーン攻撃」の増加に伴い、サプライチェーンのセキュリティが注目されています。IPA発表の「情報セキュリティ10大脅威2021」では、サプライチェーン攻撃が第4位にランクインしています。サプライチェーン攻撃は、IT運用における各種システム利用において、委託先となるベンダーの製品を介して攻撃されるものとなるため、利用者側としては注意が必要となります。
従来のリスク対策としては、災害・事故などが起こっても事業を止めないこと(=BCP)に重点を置かれていましたが、近年はBCPという観点だけではなく、情報保護という観点からもリスク対策が必要となってきます。
順位 | 組織 | 昨年 順位 |
1位 | ランサムウェアによる被害 | 5位 |
2位 | 標的型攻撃による機密情報の窃取 | 1位 |
3位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | New |
4位 | サプライチェーンの弱点を悪用した攻撃 | 4位 |
5位 | ビジネスメール詐欺による金銭被害 | 3位 |
6位 | 内部不正による情報漏えい | 2位 |
7位 | 予期せぬIT基盤の障害に伴う業務停止 | 6位 |
8位 | インターネット上のサービスへの不正ログイン | 16位 |
9位 | 不注意による情報漏えいの等の被害 | 7位 |
10位 | 脆弱性対策情報の公開に伴う悪用増加 | 14位 |
引用:IPA「情報セキュリティ10大脅威2021」
サプライチェーン攻撃の概要と手法
サプライチェーン攻撃とは
ターゲット企業のグループ会社、業務委託先、仕入れ先等を攻撃し、それを足がかりにターゲット企業に侵入する攻撃のことを指します。中でも、サイバー脅威アクターがソフトウェアベンダーのネットワークに侵入し、ベンダーによって顧客にソフトウェアが送信される前に、悪意のあるコードを使用してソフトウェアを侵害するソフトウェアサプライチェーン攻撃が特に活発化しています。
サプライチェーン攻撃は、
・感染〜発覚までのタイムラグがあり、事象が確認できるまでの間に感染が拡大してしまう
・企業間の取引経路や流通経路を使って感染が拡大するため、影響範囲が想定よりも拡大する可能性がある
・委託先(サービス提供者)に対して攻撃がなされるが、情報漏えいなどのインシデントが発覚するのは委託元となる
という点から、企業全体に重大な影響を及ぼす脅威です。
サプライチェーン攻撃の手法
サプライチェーンの攻撃手法は、下記のようなものが一般的です。
・アップデートのハイジャック
・コードサイニングの弱体化
・オープンソースコードの侵害
攻撃方法
- 取引先や関連会社を経由した攻撃
セキュリティ対策の薄い取引先や関連会社を経由して、ターゲットである企業へ攻撃を実行(例:取引先のメール偽装など) - ソフトウェアやソフトウェアの更新プログラムを介した攻撃
ターゲットである企業で利用されているソフトウェア製品や、製品の更新プログラムなどに不正なプログラムを仕掛け攻撃を実行
- 取引先や関連会社を経由した攻撃
関連記事:
ソフトウェアサプライチェーン攻撃とは何か | 米CISA/NISTの資料から(1/3)
ソフトウェアサプライチェーン攻撃とは何か【ユーザーの対策編】 | 米CISA/NISTの資料から(2/3)
ソフトウェアサプライチェーン攻撃とは何か【ベンダーの対策編】 | 米CISA/NISTの資料から(3/3)
サプライチェーン攻撃の事例と検討すべきポイント
Solarwinds Orionプラットフォームを狙ったサプライチェーン攻撃
SolarWinds社Orion Platformの正規のアップデートを通じてバックドアが仕込まれました。資格情報窃取による侵害の手口が報告されています。FireEyeが受けた不正アクセスの手口が明らかになり、米政府機関など多数の組織にも影響が及ぶキャンペーンであったことが判明しました。2020年3月からバックドアを使ったキャンペーンが開始され、アジアを含む世界中の組織が 影響を受けたとみられています。
被害状況・影響範囲
・資格情報の窃取
・偽装したSAMLトークンを使った侵害
・被害を受けた組織は約40組織以上(政府機関や民間企業、シンクタンク)
検討すべきポイント
・開発プロセス含む、不要な情報の保有がないか→ 情報保護
・自社で使用している製品(委託先)の把握、脆弱性情報管理の徹底→ 自社影響範囲の把握
メルカリ「Codecov」への不正アクセスにおける情報漏えい
メルカリが利用しているソフトウェアテストなどに利用されるコードカバレッジツール「Codecov」に不正なコードが埋め込まれ、Codecovを利用したメルカリの継続的インテグレーション(CI)環境で不正コードが実行されて、メルカリが利用するサービスの認証情報が奪取されました。これにより第三者がソースコード管理システム「GitHub」にアクセス可能状態となり、そこから情報が流出しました。
被害状況・影響範囲等
同社サービス利用者の銀行口座情報や問い合わせ情報など合計2万7,889件が流出
対象となった「Codecov」や影響を受けた「GitHub」各社より個別に連絡をうけ、調査を実施
検討すべきポイント
・ソースコードに認証情報が含まれていないか
・情報流出の可能性を想定し開発環境やテスト環境での本番データの利用の禁止
・状況によって取り扱う必要がある場合は匿名化やマスク処理を行う
・利用後のデータは確実かつ速やかな削除を徹底→ 組織的にリスクにつながるデータが残っていないか過去のプロジェクトも含めチェック
・委託先からの通知(インシデント発生)に対する判断・対応→ インシデント対応チームの迅速な対応、体制確立の重要性
手法別サプライチェーン攻撃への対策
前述のサプライチェーン攻撃の手法に応じた対策方法は、下記の通りです。
①取引先や関連会社を経由した攻撃 | ②ソフトウェアやソフトウェアの更新プログラムを介した攻撃(ソフトウェアサプライチェーン攻撃) | |
【予防】 |
|
|
【緩和】 |
|
|
【復旧】 |
|
|
インシデント対応共通の課題とセキュリティ見直しポイント
上記の事例と対策方法から、サプライチェーン攻撃への対応においては、下記のような課題があることがわかります。
・各プロセスにおけるルールの徹底
・保有情報の把握
・利用サービスの把握と適正な利用
・監視/監査体制の強化
・インシデント発生時の体制強化
しかし、ここで重要なのは、上記はサプライチェーン攻撃以外のセキュリティインシデント対応においても必要となる共通の課題であり、セキュリティ全般として見直すべきポイントなのです。上記に加えて、
・ID利用制限、強固なユーザ認証、多要素認証の導入
・アクセス管理、ファイアーウォール設定
・セキュリティパッチの適用
・セキュアプログラミング
・コードレビュー
・通信の暗号化(SSL、SSHを使用した接続)
・データ暗号化や定期的なバックアップ取得
・利用している製品・外部サービスの脆弱性情報管理
・ログの正しい監視と運用
・定期的な脆弱性診断
・緊急対応計画(体制)の確立
などの項目を加味し、既存の運用体制・ルールの見直し、SaaS等のサービス導入・利用にあたりガイドラインを整備する必要があります。
関連記事