*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事(2024年7月10日付)を翻訳したものです。
テクノロジーの進歩により私たちの世界はますます相互接続が進み、生産性が向上しましたが、それと同時にサイバー攻撃のリスクも増しています。世界中のほぼすべての企業がさまざまなサードパーティサプライヤーのサービスに依存している今日では、1つのサプライヤーに対するたった1件のサイバー攻撃が下流の諸組織に壊滅的な影響を及ぼす可能性があるというのが現状です。実際、BlackBerryによる最近の調査では、2023年にソフトウェアサプライチェーンの75%がサイバー攻撃の影響を受けたことが明らかになりました。
PolyfillにSnowflake、Sisense、Okta、JetBrains、そしてProgress Software。これらは、最近注目を集めたいくつかのサプライチェーン攻撃に関連する企業のほんの一部に過ぎません。サプライチェーン攻撃は多くの場合、政府から資金提供を受けているAPTアクターによって行われるものですが、一攫千金を狙うサイバー犯罪者たちによっても、日常的に実施されています。
さまざまな種類のサプライチェーン攻撃
サプライチェーン攻撃にはいくつかタイプが存在しており、例えば、サードパーティでのデータ侵害などがあります。これは、攻撃者が何らかの脆弱性を悪用してサプライヤー組織のシステムにアクセスするというものです。またその他の例としては、攻撃者が悪意あるコードを用いてソフトウェアのアップデートを改ざんしたり、オープンソースコードのトロイの木馬化バージョンをリポジトリ経由でプッシュしたりして、当該ソフトウェアを使用している組織のシステムを侵害するというものがあります。
場合によっては、サプライチェーン攻撃は複数組織の事業運営に支障をきたすものにもなり得ます。現に最近発生したランサムウェア攻撃の数々は、ある企業への攻撃が他の企業数社に直接的な影響を及ぼし得ることを示す良い例です。ランサムウェア攻撃の被害者は攻撃を受けた後にITシステムをシャットダウンする必要に迫られるのが一般的ですが、これはつまり、サプライヤーが提供するサービスもダウンタイムに見舞われることになるという意味です。そしてその結果、サプライヤーの顧客企業が自社の顧客にサービスを提供できなくなるということがあり得ます。さらにサプライチェーン攻撃は、標的となったサプライヤーが保有する機微なデータに攻撃者がアクセスする結果を招くことが大半であるため、数百万人とは言わないまでも、数千〜数十万人が影響を受ける可能性があると言えます。
攻撃後に生じるあらゆるダウンタイム、システム保護のために費やすことになる資金、またデータ侵害の結果として支払う必要が生じるかもしれない罰金などを踏まえれば、サプライチェーン攻撃はまず第一に被害企業へ多大な金銭的負担を強いるものだと言えますが、それ以外の広範な影響も無視できません。サプライチェーン攻撃の標的となった企業はさらに、レピュテーション面のダメージや、世間一般からの信頼喪失というリスクも負うことになります。加えてサプライチェーン攻撃は、個人の生死までをも左右し得る壊滅的な結果をもたらす可能性もあります。これは医療部門のサプライヤーを標的にした攻撃で見受けられる通りで、こうした攻撃により、医療機関が診療予約の変更や緊急治療の延期を余儀なくされるなどの影響が生じました。
脆弱性悪用によるサプライチェーンへの加害
2023年5月末、Progress Softwareは、同社のMOVEit TransferソフトウェアにおけるSQLインジェクションの脆弱性(CVE-2023-34362)が盛んに悪用されていることについて注意喚起しました。その後、6月上旬までに、ランサムウェアグループClopが同ゼロデイ脆弱性の悪用を実施したのは自分たちだと主張し、企業数百社からデータを盗むことに成功したと述べました。それ以来、約2,500の企業や政府機関が被害を受けたことを公表しており、今もなお被害企業が新たに名乗り出てきています。
もう少し最近の例としては、2023年12月に明るみに出たJetBrains製ソフトウェアTeamCityの脆弱性(CVE-2023-42793)の悪用があります。これはロシアの国家支援型脅威アクターAPT29によるものと考えられており、同アクターは、2023年9月から大規模にこの脆弱性を悪用していたことが観測されています。パッチは悪用開始と同時期にリリースされましたが、12月までにアップデートが完了していたのは全TeamCityインスタンスの約2%に過ぎませんでした。当時、さまざまなサイバーセキュリティ当局によって、APT29がバックドア「GraphicalProton」を侵害されたTeamCityサーバーにインストールしている旨、またそのサーバーがサプライチェーン攻撃のオペレーションに悪用される可能性がある旨が警告されていました。上記のインシデントは、1つのソフトウェアのセキュリティ脆弱性が悪用されることで、複数の企業に連鎖的な影響が及ぶ可能性があることを示す事例のほんの一部に過ぎません。脆弱性の悪用はますます一般的になっており、これはベライゾンのデータ侵害に関するレポート「2024 Data Breach Investigations Report」でも報告されている通りです。同レポートでは、データ侵害の15%がサードパーティに関わるものであったことが明かされており、その事例には、脆弱性の悪用がサプライチェーン攻撃の要因であると考えられるものも含まれています。組織全体でパッチ適用がいまだに大きく遅れていることから、組織は脆弱性悪用の影響を受けやすくなっており、その結果、各組織が保有する顧客データが悪意あるアクターによって侵害されかねないという状況が生まれています。
ソフトウェアサプライチェーン攻撃 – 悪性バックドアが正規のソフトウェアアップデートに擬態
ソフトウェアのトロイの木馬化を伴うサプライチェーン攻撃は、これまで何度も確認されてきました。これは、国家型の脅威アクターがスパイ活動の一環として頻繁に用いる手法です。おそらく特に破壊力が強かった事例の1つは、2020年に判明した、ロシア後援のハッカーによるSolarWinds製プラットフォームOrionのハッキングだと言えます。この攻撃は少なくとも8か月間発見されず、全世界で約200の組織、特に数々の政府機関に影響を与えました。
さらに最近の例としては、2023年3月に初めて明らかになった3CXに対するソフトウェアサプライチェーン攻撃があります。デジタル署名され、トロイの木馬化されたバージョンの3CX Voice Over Internet Protocol (VOIP)デスクトップクライアントが、同社の顧客を対象にバックドアやその他のマルウェアをインストールする目的で利用されました。攻撃者は10年前から存在する脆弱性を悪用して自らの実行ファイルにデジタル署名を施し、正規のファイルに見せかけていたことが判明しています。その後、多くの専門家がこの攻撃は北朝鮮の国家支援型脅威アクター(特にLazarus Group)によるものだと結論付けています。
2024年はどうかと言うと、SolarWindsのハッキングほど破壊力は高くないかもしれませんが、同様のインシデントがすでにいくつか起きています。まず2024年3月、ウクライナのコンピューター緊急対応チームは、ロシアに関連するハッカーグループ「Sandworm」がウクライナの約20の重要インフラ施設の業務運用を妨害しようとしているのを観測しました。この際Sandwormは、ウクライナの10地域のエネルギー、水道、暖房供給会社の情報通信システムを標的にしていました。場合によっては、ハッカーはサプライチェーンを汚染して侵害済みのソフトウェアや脆弱なソフトウェアを配布するか、あるいはソフトウェアプロバイダーの持つ、保守やサポートのためにシステムにアクセスできるという特権を利用したりして、標的のネットワークに侵入しました。
2024年に発生したサプライチェーン攻撃の中で特に傑出している事例の1つが、広く使われている圧縮ツール「XZ Utils」に、リモートでのコード実行を可能にするバックドアが発見されたというものでした。XZ Utilsのケースで特筆すべき点は、Jia Tanという名前を使ったメンテナが2年間かけて開発者との信頼関係を徐々に築いていき、リポジトリに変更を加える権限を得ていたことです。その間、Jia Tanは定期的にコードへのコントリビューションを行い、2023年にバックドアを潜り込ませました。この悪性コードはLinuxのプロダクションリリースには入り込んでいませんでしたが、当時、Red HatとDebianは同コードがベータ版リリースの一部に存在することを確認していました。このバックドアは世界的な影響を及ぼす前に発見されたものの、同インシデントはサプライチェーンがいかに簡単に汚染されうるかを世に思い知らしめる事例だと言えます。
直近で判明したソフトウェアサプライチェーン侵害の事例は、世界中の10,000の法廷で使用されているJustice AV Solutions Viewerに影響を与えるものでした。同社の公式Webサイト上のソフトウェアがトロイの木馬化されたバージョンに置き換えられていることを、Rapid7の研究者が発見したのです。この有害バージョンにはGateDoorおよびRustDoorの両マルウェアに関連する実行ファイルが含まれており、これにより、不正なPowerShellコマンドを実行することや、影響を受けるシステムを完全に乗っ取ることが可能な状態となっていました。ソフトウェアサプライチェーン攻撃をエンドユーザーの観点から防ぐことは非常に困難ですが、それでも、悪性なものかもしれないファイルを実行する前に、各組織がアップデートの真正性を確認することは極めて重要です。
サプライチェーンへのランサムウェア攻撃がもたらす壊滅的な影響
サプライチェーン攻撃を、「攻撃ベクターとしてのランサムウェア」への言及を避けて語ることはできません。政府機関やヘルスケア部門を含むさまざまな業界の何百もの企業・組織のサプライヤーとして活動する企業がランサムウェアアクターの標的になるインシデントは、複数発生しています。ランサムウェア攻撃の帰結として典型的なのは、被害組織がITサービスをオフラインにせざるを得なくなり、結果ダウンタイムが生じて顧客の業務運用に直接的な影響が出る、というものです。加えて、ランサムウェアアクターは大抵、システムを暗号化するだけでなく、暗号化する前にデータも盗んで二重、あるいは三重の恐喝を行うため、標的となった企業が保有するデータはどんなものであれ犯罪者の手に渡る可能性が考えられます。顧客のデータを扱う責任を負う企業が狙われた場合、結果的に大量のサードパーティデータが侵害される恐れがあります。
2024年2月には、米国の医療系テクノロジー企業であるChange Healthcareが、ALPHVグループが犯行を主張したランサムウェア攻撃の標的になりました。この攻撃により広範に及ぶネットワーク障害が発生し、全米の数々の薬局が影響を受けました。さらに、2,200万ドルという高額な身代金が支払われたにもかかわらず、この攻撃で盗まれたデータは後にALPHVランサムウェアグループの元アフィリエイトによってリークされることになります。Change Healthcareの親会社であるUnitedHealth Groupは、攻撃者がCitrix NetScalerの重大な脆弱性(CVE-2023-4966)を悪用したことを認めました。この欠陥は一般に「CitrixBleed」の呼称で知られており、2023年10月以降、特にランサムウェアアクターたちによって広く悪用されていました。これもまた、その時点でパッチが利用可能であったにもかかわらず、既知の脆弱性が初期アクセスのために悪用され、サプライチェーンの広範な混乱を招いた例の1つです。
残念ながら、Change Healthcareへの攻撃は1件限りの特例というわけではありませんでした。最近では、2024年6月に英国の病理研究所Synnovisに対するQilinランサムウェア攻撃によりガイズ&聖トーマス病院とキングズ・カレッジ病院(いずれもNHSの基幹病院)の患者の個人情報が盗まれ、その後ネット上にリークされています。さらに、この攻撃はNHSトラストが提供するサービスに直接的な影響を及ぼし、日常的な医療処置がキャンセルされたり、他の医療提供者での処置に変更されたりといったことも起きています。特に影響が大きかったのは輸血の部分で、これに関連するサービスの提供を主に担うNHS Blood and Transplantが差し迫った訴えを発し、万能供血者への献血を呼びかけたほどです。この背景には、ランサムウェア攻撃によって病院が通常と同じ頻度で患者の血液を適合させることができなくなったという事情がありました。これらの例が示すように、1つのサプライヤーに対するランサムウェア攻撃は、サプライヤーが保有する機微なデータの漏洩に繋がり得るだけでなく、そのさまざまな顧客組織の業務運用に壊滅的な影響を与える可能性があります。ほとんどのランサムウェア攻撃は、まず第一に上述のようなサービス中断による金銭的損失を招くことになりますが、加えて、人々の健康や安全にも直接的な影響を与える場合があるのです。
教訓
サプライチェーン攻撃の発生頻度の高さと、攻撃により事業運営に及ぼされる重大な影響とを考慮すると、組織は脅威アクターらが採用する戦術やテクニックに関する最新の情報を常に把握しておくべきだと言えます。国家型のアクターもサイバー犯罪者も、自らの検出回避手法を絶えず変化させています。また、脆弱性の悪用は現在、サプライチェーン攻撃を実行する脅威アクターの間で人気のあるトレンドです。ゼロデイ脆弱性はその悪用リスクを軽減するのが難しいものの、多くの場合、侵害は脆弱性のパッチや緩和策が利用可能になってから数週間、数か月、あるいは数年後に発生します。組織は、ゼロデイの存在が明るみに出た後、公開された緩和策をできるだけ早く適用できるように、綿密なパッチの優先順位付け基準を確立する必要があります。
ソフトウェアサプライチェーンに関しては、未然に防止することの難易度がぐっと高まります。というのも、組織にとって、信頼できるサプライヤーから提供されたアップデートを信用しない理由などないのが普通だからです。しかし、トロイの木馬化されたソフトウェアアップデートに関する報告がないか常に目を光らせておくことで、影響範囲を大幅に縮小し、自らが被害者になるのを防ぐことができる場合があります。加えて、システム変更に関する最高権限を付与する対象は最低限のスタッフだけに限定すべきであり、またそのスタッフは、あらゆるソフトウェアを実行前に点検するという点に細心の注意を払うべきです。ランサムウェアを伴うサプライチェーン攻撃も同様に、攻撃対象となったサプライヤーの顧客組織にとっては、防ぐことが困難です。サードパーティリスクを最小化するためには、最初からサプライヤーと強固な関係を育んでいくことが不可欠であり、特に両当事者に対する明確なセキュリティ上の要件と義務を設定することが求められます。加えて、他の種類のサプライチェーン攻撃と同様に、潜在的なセキュリティ問題を絶えず監視することも肝要です。
上記のような対策は気の遠くなるような、また時間のかかりすぎることに思えるかもしれません。それでもSilobreakerならば、サプライチェーン攻撃に関するモニタリングの自動化という点で組織のお役に立てる場合があります。Silobreakerのプラットフォームを使うことで、組織は自身の業務運用に欠かせないサプライヤーや、業務に支障をきたす恐れのある重大なインシデントを追跡できるようになるほか、サプライチェーン攻撃の一環として悪用されていることがわかった脆弱性について常に最新の情報を入手できるようになります。組織をサプライチェーン攻撃から組織を守る上でSilobreakerをどのように活用できるのか、ご興味がある方はこちらからお問い合わせください。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
寄稿者
- Hannah Baumgaertner, Head of Research at Silobreaker
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。