セールスセンター2022.02.07
サプライチェーン攻撃は、セキュリティ対策の弱い企業を踏み台に
独立行政法人情報処理推進機構(IPA)は毎年、組織と個人に対する「情報セキュリティ10大脅威」を公開しています。
今回は、組織編の4位である「サプライチェーンの弱点を悪用した攻撃」について、ユーザー企業のIT部門に所属するセキュリティに精通した山田課長(40歳)と入社1年目の新人セキュリティ担当の武石さん(22歳)の会話から学んでみることにしましょう。
サプライチェーン攻撃は対象の拡大
課長、おはようございます~。
おはよう! おっ、スマホ片手に出社かい。ゲーム? それともSNS?
情報収集ですよ。最近は中小企業がサイバー攻撃を多く受けてますよね。
大企業のセキュリティ対策が堅牢になってきているからね。サプライチェーンを狙う攻撃が増えているんだよ。
サプライチェーン攻撃!? って、何ですか?
そうだなあ。例えば・・・、武石さんはケーキ好きかな?
大好きです! ゴチになります!
まったく、食べることばかり考えているんだから・・・。例えばコンビニで売っているケーキは、どうやって作られていると思う?
うーん、食品業者がケーキを作って、コンビニに納品する?
もう少し細かく見ると、原料を仕入れてスポンジやクリームを作って、チョコやフルーツでデコレーションをする。原料を作る生産者もいるし、包装業者や運送業者もいるよね。こうした一連の商流のことをサプライチェーンと呼ぶんだ。
なるほど! 一般的な企業も同じですね。親会社がいて、子会社、孫会社、関連企業もいて。
そういうこと、だね。今までは親会社である大企業やグローバル企業が狙われていたけど、セキュリティ対策が高度になったから、子会社や取引企業などを攻撃して、そこを踏み台にして大企業にアプローチする。これがサプライチェーン攻撃だよ。
子会社は大企業ほど高いセキュリティ対策はできてないでしょうから、攻撃しやすいはずですよね。具体的には、どんな攻撃をするんですか?
IPAの資料によると、次のようなサプライチェーン攻撃が増えているよ。
- 1:内部不正・不正アクセスによる委託先からの情報流出
- 2:委託先からの納品物にマルウェアが混入
- 3:委託元・委託先からのサイバー攻撃メール
- 4:調達したソフトウェア・オープンソースソフトウェアの脆弱性による事故
- 5:システム運用委託先(クラウド、IoTシステム等)における情報流出・情報消滅・乗っ取り
サプライチェーン攻撃の具体例
実際の被害事例には、どんなのものがあるんですか?
例えば、政府省庁が業務委託をしていた企業のサーバーがマルウェアに感染して個人情報が流出したケースや、グローバル企業の海外拠点がサイバー攻撃を受けてマルウェアに感染し、感染を広げながら日本の本社に侵入して情報を盗み出した例もあるよ。
こないだのビジネスメール詐欺(ブログ第1回)も、子会社や取引企業からのメールはサプライチェーン攻撃ともいえそうですね。
なりすましメールを手法としたサプライチェーン攻撃と考えれば、その通りだね。多くは大企業を狙った攻撃なので、高度な手法を使うことが多いのは確かだね。マルウェアに感染させるためのメールも巧妙だし、ソフトウェアの脆弱性を悪用して侵入するケースもあるんだ。
中小企業では、ひとたまりもないですね。4番目の「調達したソフトウェア・オープンソースソフトウェアの脆弱性による事故」がイメージしづらいんですが、どんな攻撃ですか?
ソフトウェア開発の場合はITサプライチェーンと呼ぶんだ。ソフトウェアにはいろいろな機能のものがあるけど、通信機能や周辺機器の認識機能などの基本的な機能は、オープンソース・ソフトウェアとして公開されているものが多いので、よくそれが狙われる。
やっぱり、弱いところを攻撃するわけですね?
その通り。数年前には、ソフトウェアメーカーのサーバーが改ざんされて、ソフトウェアのアップデートリクエストが不正なサイトに転送されてしまい、マルウェアの入ったアップデータがダウンロードされてしまう攻撃があったんだ。一部の業界でよく使われているソフトウェアだったので、特定の業界を狙った攻撃と考えられているよ。
最近はどんなことがありました?
SolarWinds社の「Orion Platform」だね。こちらは何らかの方法でサプライチェーンに侵入し、ソフトウェア自体にマルウェアを忍び込ませていたらしい。そしてそのままユーザーが増えるのを待って、一定のユーザー数に達したところでアップデータを細工して感染させた。この場合は正規のアップデートサーバーからデータをダウンロードしているわけだから、不正に気づきにくいよね。
うわっ! 正規のところからダウンロードしてるのにマルウェアに感染するなんて、恐ろしい。
サプライチェーン攻撃に対策するには
サプライチェーン攻撃には、どのように対策すればいいんですか?
手っ取り早いのは、サプライチェーンのすべての会社が親会社と同等のセキュリティ対策を行うこと。
ええっ。それは中小企業には厳しすぎませんか?
そうなんだけど、アメリカの国防総省がサプライチェーンの企業に対して一定のセキュリティ要件をクリアしないと取引しないようにすると発表していたり、クレジットカード会社のデータセキュリティ基準「PCI DSS」や、日本のいわゆる個人情報保護法でも、取引先に一定のセキュリティ対策レベルを求めてるよ。いずれは中小企業にも高度なセキュリティ対策が求められる世界になるはず。
とはいえ、現実的にはセキュリティ対策の強化が必要だね。サプライチェーン攻撃の多くはメールによる攻撃なので、メールセキュリティは強化しないといけないよね。ソフトウェアのサプライチェーン攻撃の場合は、アップデータとして侵入するから、エンドポイントでマルウェアが動作を開始した時点で気づくことができる対策が必要だよね。
普通のセキュリティ対策ソフトではダメですか?
メール対策には、一般的に従来のタイプのセキュリティ対策ソフト「EPP:Endpoint Protection Platform(エンドポイント保護プラットフォーム)」と、最近主流になりつつある「EDR:Endpoint Detection and Response(エンドポイントにおける検知と対応)」があって、これらが統合された製品も出てきているよ。
シマンテックの「Symantec Endpoint Security(SES)の上位版である「Symantec Endpoint Security Complete(SES-C)」はEPPとEDRを統合した製品だ。EDRはエンドポイント上で起きたすべてのことを記録するから、不正なアップデータでマルウェアが動作を開始しても検知できるんだ。
また、シマンテックのメール保護サービス「Symantec Email Security.cloud Service(ESS)」は、データ保護機能やイメージコントロール、クラウドサンドボックス、Web分離などの機能を追加していて、ビジネスメール詐欺やフィッシング詐欺にも強いし、メール本文のリンク先も転送先まで調べてくれる。企業規模にかかわらず利用できる。
なるほど~。これならどんなサイバー攻撃が来ても、ばっちり対応できそうですね。サプライチェーンのすべての企業に導入して欲しいです! 課長、ありがとうございました。私、もっと勉強してみます! 今度、ケーキごちそうしてくださいね。
本ブログはIPAが発行している「情報セキュリティ10大脅威 2021」(https://www.ipa.go.jp/security/vuln/10threats2021.html)の内容をベースに構成しています。