Zpedia 

/ サプライ チェーン攻撃とは

サプライ チェーン攻撃とは

サプライ チェーン攻撃は、組織のシステムやデータに不正にアクセスする手段としてその組織のサプライヤーに対して実行されるサイバー攻撃の一種です。バリューチェーン攻撃やサードパーティー ソフトウェア攻撃と呼ばれることもあり、脅威アクターが悪意のあるコードを使用して組織のシステムに侵入する大規模な計画を伴い、2020年に発生したSolarWinds攻撃の場合のように最初の侵害後に壊滅的な影響を与える可能性があります。

業界初の統合型SaaSサプライ チェーン セキュリティの詳細はこちら
サイバー脅威対策データ保護
  1. 攻撃の事例
  2. 影響
  3. ソフトウェア開発ライフサイクル
  4. 保護のベスト プラクティス
  5. Zscalerの特長
  6. 関連するトピック

サプライ チェーン攻撃の例

サプライ チェーン攻撃は大きく分けて2種類あり、組織のサプライ チェーンやバリュー ライフサイクルに焦点を当てています。

アイランド ホッピング攻撃

「アイランド ホッピング」攻撃は、大企業のバリュー チェーンの一部である小規模な関連会社やセキュリティ管理が不十分なパートナー企業に狙いを定め、そこから本来の標的の大企業に侵入する攻撃手法です。名前が示すように、攻撃者は組織から組織へと「ホップ(移動)」してメインの標的に近づきます。

この攻撃では通常、サプライヤーの広範なデジタル エコシステムに依存している有名な組織が狙われる傾向にあります。例えば、マネージド サービス プロバイダー、ハードウェアやソフトウェアのベンダー、テクノロジーやビジネスのパートナーなどがこれに当たり、その多くが脆弱なエンドポイントを介してさまざまなアプリケーションやデータベースに接続されています。

サプライ チェーン攻撃

SolarWindsサイバー攻撃などの「サプライ チェーン」攻撃は前者と少し異なり、他社のネットワークに侵入する手段としてサードパーティー ベンダーの脆弱性を探るのではなく、通常の業務で使用される組織間の信頼関係を悪用します。

サプライ チェーン攻撃の仕組み

サプライ チェーン攻撃では、標的の組織が使用する製品(通常はソフトウェア)にバックドアを埋め込むことでアクセスを得ようとします。こうして、攻撃者はマルウェアなどの攻撃を許す扉として、自動パッチまたは「トロイの木馬化」されたソフトウェア アップデートを配信できるようになります。

アイランド ホッピング攻撃やサプライ チェーン攻撃は注目を集めてコストのかかる侵害の原因となっていますが、さらに「アイランド」にあたる組織はそのような攻撃の実際の標的ではないにもかかわらず、深刻な風評被害やビジネス上の損害を被る可能性もあります。

サプライ チェーン攻撃が与える影響

2020年に発生したSolarWindsのOrion Platformへの攻撃では、攻撃者がバックドアを介して同社のシステムにアクセスし、Orionソフトウェアのアップデートをトロイの木馬化しました。このトロイの木馬化されたOrionのアップデートによって、SolarWindsの18,000件の顧客のネットワークにステルス マルウェアが展開され、国防総省、国土安全保障省、FBI、陸軍、海軍なども含め、多くの米国政府機関や民間企業が被害を被る結果となりました。

このバックドアは、既知の(信頼された)監視および管理ツールの正規のソフトウェア アップデートを通じて配信されました。バックドアのインストールが完了すると、攻撃者は数日間待機してからコマンド&コントロール(C2)システムへのコールバックを開始するなどして、サンドボックスの検出を回避していました。

サプライ チェーン攻撃が危険な理由

サプライ チェーン攻撃は予め存在する信頼関係を利用するため、防止するのが最も難しい脅威であるとセキュリティ研究者は述べています。さらに、この攻撃は検出が難しく、影響が長引く可能性があります。サプライ チェーン攻撃の軽減と修復は、ウイルス対策ソフトウェアのインストールやオペレーティング システムのリセットほど簡単ではありません。こうした攻撃は組織のプロセスを狙っているため、そのプロセスを土台から安全なものにする必要があります。

Quote

「サプライ チェーン攻撃」は、ベンダーと顧客の信頼関係や、本質的に信頼できるソフトウェア アップデートのメカニズムなどのマシン間の通信チャネルを利用するため、防止が最も難しい脅威の1つです

Lucian Constantin氏, CSO Online

SolarWinds attack explained: And why it was so hard to detect

ソフトウェア開発ライフサイクルが重要な理由

ソフトウェア サプライ チェーンの脆弱性は、チェーン自体の開発から始まります。サプライ チェーンのセキュリティ インシデントを最小限に抑えるためには、開発プロセスで発生する潜在的なサイバーセキュリティ リスクを修正することが重要です。

ここからは、ソフトウェア開発が適切に保護されていないと、脆弱な攻撃ベクトルが生まれてしまう理由を解説していきます。

シークレットとは

ソフトウェア開発におけるシークレットとは、トークン、暗号化キー、パスワード、APIなどの認証手段を指し、ユーザーとアプリ間およびアプリ間で機密情報にアクセスできるようにするものです。NotPetyaなどのハッカーやランサムウェア グループは通常、組織のソース コードを精査して脆弱性を特定し、悪用します。

オープン ソースのリスク

オープン ソース ソフトウェア(OSS)は広く普及していますが、組織を攻撃に対して無防備な状態にしてしまうリスクがあります。OSSはソフトウェアの開発に大きく貢献するものの、攻撃対象領域を拡大し、ソフトウェア サプライ チェーン攻撃の代表的な手法であるデータ侵害やマルウェア攻撃を招く原因にもなり得ます。

Quote

サプライ チェーンの侵害は続くでしょう。こうした侵害に対する保護は非常に困難であり、ベンダー選定プロセスの一環としてセキュリティを考慮する必要性が浮き彫りになっています

Jake Williams, SANS Institute

What You Need to Know About the SolarWinds Supply-Chain Attack

SolarWinds攻撃から浮き彫りになったサプライ チェーンのリスクとは

SolarWinds攻撃からもわかるように、サプライ チェーンは常に注視する必要があります。また、ソフトウェア サプライ チェーンの製造に特有の脆弱性が存在し、この脆弱性がどのようにCiscoやIntel、Microsoftなどの知名度が高く、高度に保護された企業にリスクをもたらすのかを理解することも重要です。さらに、ITセキュリティのリーダーは、悪意のある人物がサプライ チェーンの一部に侵入できれば、全体に侵入できるという事実を認識する必要があります。

次のセクションでは、こうした危険な脅威から組織を守るためのベスト プラクティスを解説します。これらを有効に活用することで、攻撃グループや脅威からビジネスを保護できるようになります。

組織を保護するためのベスト プラクティス

サプライ チェーン攻撃は絶えず進化しており、同時に攻撃者は公的機関や民間企業のオペレーションと機密データを侵害する新たな手段を模索しています。サプライ チェーンのリスクを可能な限り軽減してセキュリティを強化するために、Zscalerでは以下のような対策を推奨しています。

  • ゼロトラスト アーキテクチャーによって、インターネットに露出した攻撃対象領域を排除し、ラテラル ムーブメントを阻止すると同時に、アクセス権を制限してC2をブロックする。
  • ワークロードとインターネット間のトラフィックに対して、完全なTLS/SSLインスペクション高度な脅威対策を実施する。
  • インラインのクラウド サンドボックスを実行して、未知の脅威を特定および阻止する。
  • 既知のC2トラフィックの保護を強化するとともに、新たな宛先の出現に関するアップデートを継続的に実施する。
  • 価値の高い資産へのアクセスに対しては、多要素認証を必須にする。
  • クラウド ワークロードのアイデンティティーベースのマイクロセグメンテーションを使用して、ラテラル ムーブメントの影響を制限する。
  • 最高レベルの機密性、完全性、可用性を確保できるベンダーを選択する。
  • リスク評価を継続的に実施し、リスク管理に優先順位を付けることで、組織を確実に保護する。
  • ベスト プラクティスを含むサイバーセキュリティ意識向上トレーニングを頻繁に実施し、従業員が何に注意すべきか(フィッシング メールなど)を確実に理解できるようにする。
  • ネットワークで攻撃が検出された場合に備えて、適切なインシデント対応フレームワークを実装する。

以上のサプライ チェーン セキュリティのベスト プラクティスを実行するには、トラフィックをインラインで検査し、有害なマルウェアやランサムウェア攻撃の脅威が組織に侵入する前に排除するプラットフォームを備えた、信頼できるサイバー セキュリティ企業のサービスを採用する必要があります。Zscalerはこれらすべてを実現します。

Zscalerによるサプライ チェーン攻撃からの保護

サプライ チェーン攻撃は巧妙化しており、検出が困難です。すべてのパートナー組織のセキュリティ態勢を理解することに加えて、組織のすべてのトラフィックに対して複数の保護層と可視性を確保することが重要です。以下は、Zscaler Zero Trust Exchange™によって実現されるサプライ チェーン攻撃から保護する統合サービスの一部です。

  1. すべてのサーバー トラフィックをZscaler Internet Access経由でルーティングすることにより、侵害されたサーバーからの悪意のある活動を特定して防止します。
  2. 重要インフラからのトラフィックを許可リストの宛先のみに制限する。
  3. 信頼できる送信元からのトラフィックも含め、すべてのSSL/TLSトラフィックを検査する。
  4. 高度な脅威対策ですべての既知のC2ドメインをブロックする。
  5. 高度なクラウド ファイアウォール(クラウドIPSモジュール)を使用して、新しいC2宛先を含むすべてのポートとプロトコルにコマンド&コントロール対策を拡張する。
  6. 高度なクラウド サンドボックスを使用して、第2段階のペイロードの一部として配信される未知のマルウェアの侵入を阻止する。
  7. アイデンティティーベースのマイクロセグメンテーション(Zscaler Workload Segmentation)とゼロトラスト アーキテクチャーで、ラテラル ムーブメントを制限し、潜在的な侵害による影響を抑制する。
  8. Zscaler Private Accessでラテラル ムーブメントを抑制し、最も重要なアプリケーションを保護する。

サイバー攻撃やZscalerのソリューションの詳細については、以下の手順でご確認ください。

  1. この動画でZscaler Zero Trust Exchangeの詳細を確認する
  2. Posture Controlでアプリケーションを構築から実行まで保護する方法を確認する。
  3. このページにアクセスして、SolarWindsのようなサイバー攻撃が発生した場合の対処方法を把握する。