サプライチェーン攻撃とは
プレゼンテーション
Kaseyaのサイバー攻撃は、7月4日の週末に1,000以上の組織に影響を与え、史上最大級のハッキングと呼ばれる可能性があります。また、ソフトウェア販売業者やITサービス企業を狙う典型的なサプライチェーン攻撃でもあります。
サプライチェーン攻撃は、単一のセキュリティ侵害の被害を大幅に拡大する可能性がある新たな脅威です。Kaseya事件やSolarWinds事件など、昨年の大きなサイバー攻撃の背景にありました。
サイバー犯罪者が大企業や政府の重要機関を狙う一方、サプライチェーン攻撃は通常狙われにくい中小企業からも大きな金額を引き出すため、被害が広がっています。
サプライチェーン攻撃とは
Kaseyaのサイバー攻撃は、7月4日の週末に1,000以上の組織に影響を与え、史上最大級のハッキングと呼ばれる可能性があります。また、ソフトウェア販売業者やITサービス企業を狙う、いわゆるサプライチェーン攻撃の典型例でもあります。
サプライチェーン攻撃は、単一のセキュリティ侵害の被害を大幅に拡大する可能性がある新たな脅威です。昨年のKaseya事件やSolarWinds事件など、最も大きなサイバー攻撃の背景にありました。
サイバー犯罪者が大企業や政府の重要機関を狙い、身代金を要求する中、サプライチェーン攻撃は、通常は標的になりにくい中小企業からも大きな金額を引き出す手法として被害を拡大させています。
プロダクションネットワーク攻撃の定義
一般的な攻撃では、サイバー犯罪者は一つの企業を標的とし、その企業のPCネットワークに侵入する方法を模索します。しかし、プロダクションネットワーク攻撃では、ソフトウェアやITサービスを複数の企業に提供する信頼できる業者に侵入し、その業者が顧客のPCに提供するアップデートのネットワークにマルウェアを忍ばせます。企業が顧客のPCシステムに広くアクセスできるため、一度侵入されると多数のPCに感染が広がる恐れがあります。
プロダクションネットワーク攻撃は、予期せぬ形で多くの組織を狙うため、汚染された業者のソフトを利用する組織は攻撃の被害に遭う可能性があります。Kaseya事件では、攻撃者が多数の企業を狙い、大きな金額を要求する姿が見受けられました。
サプライチェーン攻撃の仕組み
現代のデジタル世界では、サプライチェーンサイバー攻撃という特有の脅威が存在します。これらの攻撃は、主要なネットワークを直接狙うのではなく、関連する外部組織やベンダーを狙うことで、間接的に被害を拡大します。サイバー攻撃者は第三者との接続を巧みに利用し、機密データや技術資産に不正にアクセスします。本稿では、この複雑な脅威のライフサイクルを詳しく見ていきます。
標的の選定
最初の段階で、細心の注意を払う攻撃者は、特定の企業やネットワークを狙うための作戦を練ります。連携企業、物流業者、または親会社の機密データにアクセスできる外部の仲介者など、ネットワーク内の脆弱な部分を探し出します。
最初の一撃
ネットワーク内の脆弱な箇所が見つかると、攻撃者はそれを迅速に無力化します。手法としては、ソフトウェアの欠陥を突く、従業員からアクセスコードを引き出す、またはハードウェアを改ざんするなどが挙げられます。
システムへの侵入
最初の壁を突破すると、攻撃者はネットワークの中心部へ向かう経路を探ります。権限の昇格や、さらにハイジャックによってほかのシステムに侵入する、または創意工夫によってデータやデータベースにアクセスするなど、高度な不正手法が用いられます。
全面攻撃
主要な目的に近づいた攻撃者は、全面的な攻撃に移行します。この結果、データ流出、製造プロセスの混乱、または業務部門への甚大な被害が発生する可能性があります。
迅速な脱出とデータ抽出
攻撃成功後、犯人は再発のための足がかりを残し、盗んだデータを抜き取るために逃走経路を確保します。通常、検出されにくい退出ルートの構築、偽のユーザーアカウントの作成、その他多様な手法が用いられます。
比較: サプライチェーン攻撃 VS 直接攻撃
| サプライチェーン攻撃 | 直接攻撃 |
|---|---|
| ネットワーク内の脆弱な部分を狙う | 被害組織自体を直接狙う |
| 連携システムの詳細な理解が必要 | 被害組織のデジタル環境全体の理解が求められる |
| 対象企業の厳重なセキュリティ対策を回避できる | 攻撃者は防御層を突破しなければならない |
| 複数の組織に混乱を及ぼす可能性がある | 主に特定の組織に影響する |
サプライチェーンサイバー攻撃の仕組みを理解することで、企業は防御策を強化することが可能になります。連携システムの弱点を把握し、厳格なセキュリティ対策を講じることで、このような脅威への被害を大幅に減らすことができます。
著名なサプライチェーン攻撃の事例
サイバーセキュリティは多くの障壁がある難しい分野ですが、サプライチェーンの侵害は特に大きな脅威となっています。近年、これらの侵害により大きな混乱が生じているため、その複雑な仕組みと広範な影響を理解することが重要です。
SolarWinds Orion 侵害事例
昨年、最大18,000人の顧客を持つシステム管理アプリの提供企業SolarWindsに対する政府機関への攻撃に関する報告は、さらに深刻な状況となっています。New York Timesの新報道によると、ロシアに帰せられるSolarWinds攻撃は、当初「十数」社とされた政府や民間企業に加え、250以上の組織に影響を与え、攻撃者は複数のプロダクションネットワーク層を利用しました。
セキュリティ評価企業BitSightは、SolarWinds攻撃がデジタル保険会社に最大9000万ドルの損害を与える可能性があるとしています。これは、政府機関が十分なデジタル保護を受けていないためです。また、攻撃者は目立たないようにしてデータを狙い、システム自体には直接被害を与えませんでした。
米国政府のプロダクションネットワーク攻撃
日時:2020年3月
この事例は、今後のプロダクションネットワーク攻撃の典型例となるでしょう。2020年3月、政府のハッカーは外部ベンダーであるSolarWindsの改ざんされたアップデートを通じ、米国政府のシステムに侵入しました。
この攻撃は、世界中で1万8000以上の顧客に影響を及ぼし、米国政府の6つの部門にも打撃を与えました:
- エネルギー省
- 国家原子力安全管理局
- 国務省
- 商務省
- 財務省
- 国土安全省
調査は現在も進行中で、専門家が史上最悪と呼ぶこの種のプロダクションネットワーク攻撃の最終的な影響を把握するには、数ヶ月、場合によってはさらに長い時間を要する可能性があります。(出典:米国政府会計検査院、Wikipedia)
3CXサプライチェーン攻撃
日時:2023年3月
概要: 2023年3月、コミュニケーションアプリを提供する3CXは大規模なサプライチェーン攻撃を受けました。攻撃者は同社のソフトウェアビルド環境に侵入し、3CXデスクトップアプリに悪意あるコードを挿入。その改ざんされたソフトは顧客に配布され、無許可の活動を可能としました。悪意あるコードには有効な3CX証明書が添付されており、同社の開発プロセスが深刻に侵害されていることが示唆されています。
影響: 3CXデスクトップアプリを利用する多数の組織が被害を受け、データ流出や業務の混乱といったリスクにさらされました。この事案は、ソフトウェア開発パイプラインの安全確保の重要性を浮き彫りにしました。
MOVEit Transferサプライチェーン攻撃
日時:2023年6月
概要: 2023年6月、安全なファイル転送ツールとして広く利用されるMOVEit Transferがサプライチェーン攻撃の標的となりました。攻撃者はソフトウェアの脆弱性を突き、マルウェアを展開することで多数の組織のデータを危険に晒しました。ランサムウェアグループCl0pがこの攻撃に関与しているとされています。
影響: この攻撃は、BBCやBritish Airwaysなどの著名な組織を含む620以上の組織に影響を与え、脆弱性への迅速なパッチ適用とウェブ公開アプリの安全性確保の必要性が再確認されました。(出典:SecurityWeek)
サプライチェーン攻撃のコスト
サプライチェーン攻撃の経済的影響は、企業の規模に関係なく非常に大きなものとなります。被害調査、評判の低下による売上減、行政罰など、さまざまな要因が追加の費用として発生します。
IBMとPonemon Instituteの報告によれば、2020年のデータ流出の平均費用は386万ドル、検知から封じ込めまでの平均期間は280日、すなわち9か月以上に上るとのことです。米国では、平均費用が819万ドルと最も高い結果となっています。
米国においては、医療および金融部門が厳格な規制のため、データ流出の費用が高く、医療分野で713万ドル、金融分野で556万ドルと報告されています。
また、データ流出の高額な費用は、各事例の長期にわたる修復対応が原因とされています。280日は1年の約75%に相当し、その間の復旧作業によって全体の収益が減少する恐れがあります。
プロダクションネットワーク攻撃時のコスト削減には、迅速に実施できる修復対応策を整備することが鍵です。早期発見と対策により、攻撃者が長期間侵入状態にとどまるのを防ぎ、被害となる機密情報の量を抑制できます。
サプライチェーン攻撃を防ぐための対策
サプライチェーン攻撃が急増する中、企業はシステムや機密情報を守るための堅牢な対策の整備が求められます。ここでは、貴社が実施できる有効な対策を紹介します。
包括的なリスク管理体制の構築と導入
効果的なリスク管理体制は、サプライチェーンへの侵入に対する強力な防御策となります。定期監査で脆弱性を特定し、事前に対策を講じることが必要です。これには、堅牢なセキュリティポリシーの策定、迅速なシステム修正、パッチ適用が含まれます。
サプライヤーのセキュリティの向上
サプライチェーン攻撃者は供給業者を狙うことが多いため、各サプライヤーに高いセキュリティ基準の遵守を求めることが賢明です。定期的なセキュリティ評価と、業界基準に沿った認証の確認が有効です。
セキュアコーディングの原則の遵守
攻撃者の侵入経路となるソフトウェアの欠陥を減らすため、セキュアコーディングのプロトコルに従うことが有効です。入力の検証、出力のエンコード、エラー管理を徹底し、自動化ツールで脆弱性を検出・修正してからリリースすることが推奨されます。
サイバー攻撃対応計画の策定
具体的な対応計画を策定することで、サプライチェーン攻撃に迅速かつ効率的に対処できます。不正侵入時の隔離、被害の最小化、攻撃者の排除、復旧措置の実施とともに、関係者への連絡方法や規制当局への報告手順も盛り込みます。
従業員へのサプライチェーン攻撃教育
従業員にサプライチェーン攻撃の知識を付与し、異常を発見・報告できるようにすることは非常に重要です。安全なオンライン行動、例えばフィッシングメールの排除や、強固で多様なパスワードの作成についても指導すべきです。
高度な侵入検知ツールの導入
機械学習や人工知能を活用する侵入検知ツールは、サプライチェーン内の侵入を即時に検出し対処できます。これにより、迅速かつ的確に脅威を無力化するための貴重な情報が得られます。
定期的なシステム更新とパッチ適用
システムの更新とパッチ適用を継続的に行うことで、既知の脆弱性を修正し、サプライチェーン攻撃への防御力を高められます。貴社は、体系的かつ迅速にアップデートを実施するため、最新のパッチポリシーを維持する必要があります。
ゼロトラストネットワークへの移行
ゼロトラストネットワーク、すなわちすべてのシステムが既に侵害されていると前提する設計を採用することは有効な対策です。これにより、すべてのユーザーとシステムはリソースにアクセスする前に必ず認証を行い、攻撃者による被害を未然に防ぎます。
要するに、サプライチェーン攻撃から守るためには、堅牢なセキュリティ対策、サプライヤーの安全基準の徹底、セキュアコーディングの実践、従業員の教育、そして高度な侵入検知システムの導入といった多面的なアプローチが必要です。これらの対策を講じることで、企業はリスクを大幅に軽減できます。
サプライチェーン攻撃を防ぐためのソフトウェアと手法
サプライチェーン攻撃に対抗するには、デジタルツールの活用と企業全体の強靭性向上といった多様な予防策の組み合わせが重要です。先進的なツールと効果的なプロトコルの融合により、企業の防御力が大幅に強化されます。
強靭性構築を支えるデジタルツール
技術に特化したツールは、サプライチェーン攻撃から守るための重要な盾となります。これらは、攻撃により引き起こされる混乱を早期に検出し、無力化する役割を果たします。
- デジタル脅威インテリジェンスハブ (DTIH): DTIHは企業の技術基盤からデータを収集し評価します。即時通知のスキャンを行い、サプライチェーン攻撃の可能性を警告します。
- 侵入検知システム (IDS): IDSはデータフローを監視し、不審な動きを検知します。不審な活動を特定することで、攻撃の兆候を把握します。
- EDRツール: ネットワーク内のエンドポイントや機器からデータを監視・収集し、脅威を迅速に検出、対応することで、サプライチェーン攻撃の影響を最小限に抑えます。
- ファイアウォール: 事前に定めたセキュリティポリシーに基づいて双方向のネットワークデータを制御し、不正アクセスを防ぐことで、攻撃のリスクを低減します。
- アンチマルウェアプログラム: サプライチェーン攻撃に利用される悪意あるソフトウェアを検出し、排除するために設計されています。
防御力を高めるためのプロトコル
デジタルツールと併せて、効果的なプロトコルはサプライチェーン攻撃のリスクを低減する上で重要です。業界推奨の対策や基準を実施することで、防御力を強化します。
- リスク評価: 定期的な評価により、サプライチェーン内の脆弱性を発見します。これには、取引先のセキュリティ対策の検証や、攻撃の露出度の評価が含まれます。
- サプライヤー管理: パートナーが必要な安全対策を遵守しているかを、定期監査などで確認します。
- 攻撃対応計画: 詳細な対応計画は、攻撃の影響を最小限にし、対応手順を明確化します。
- 安全教育: 定期的な研修で従業員に攻撃の危険性と防御策を啓蒙し、ミスを減少させます。
- ソフトウェアの保守: 定期更新とパッチ適用により、既知の脆弱性の悪用を防ぎ、システムを最新状態に保ちます。
ツールとプロトコルの違い
| ツール/プロトコル | 利点 | 欠点 |
|---|---|---|
| DTIH | 即時警告、徹底したデータ検査 | 導入と維持が複雑な場合がある |
| IDS | 不審な活動を効率的に検知、大規模ネットワークの監視 | 誤検知の可能性がある |
| EDRツール | 迅速な対応、広範なデータ収集 | リソース消費が大きい場合がある |
| ファイアウォール | 不正アクセスを防止、柔軟なルール適用 | 高度な攻撃には脆弱な場合がある |
| アンチマルウェア | 悪意あるソフトウェアを検出・排除 | 未知の脅威には対応が難しい |
| リスク評価 | 脆弱性を発見、セキュリティ対策に注力 | 時間がかかる場合がある |
| サプライヤー管理 | 安全対策の遵守を確認、脆弱性の特定 | 継続的な監査が必要 |
| 攻撃対応計画 | 攻撃の影響を最小限に、明確な指示を提供 | 定期的な更新とテストが必要 |
| 安全教育 | 従業員の意識向上、人的ミスの低減 | 継続的な取り組みと資源が必要 |
| ソフトウェアの保守 | 既知の脆弱性の悪用を防止、ソフトの最新化 | 継続的な監視と更新が必要 |
結論として、サプライチェーン攻撃を防ぐためには、先進的なツールと有効なプロトコルの組み合わせが必要です。これらの対策により、企業は防御力を高め、攻撃のリスクを低減できます。
組織におけるサプライチェーンセキュリティの確保
サプライチェーンのセキュリティ強化のための先進戦略
今日の企業は、社内インフラの安全確保に加え、サプライチェーン全体を守るためのサイバー防御を強化しています。この戦略見直しは、リスクの詳細な評価、供給パートナーとの連携、そして最先端の防御プロトコルの3本柱に基づいています。
リスク評価の構造
サプライチェーンの安全を高めるには、まず徹底したリスク評価が必要です。製造過程から最終供給先まで、その複雑な構造を理解し、各構成要素が持つ潜在的なリスクを特定することが肝要です。
包括的なリスク評価のポイントは以下の通りです:
- 関係する全ての調達業者と仲介者の詳細なリスト作成
- サイバー防御体制の堅牢性と信頼性の精査
- 法令や業界基準への準拠の確認
- 業務・技術面の潜在的な脆弱性の発見
供給パートナーとの共生関係
サプライチェーンの防御力は、最も脆弱な部分に左右されます。そのため、各供給パートナーと戦略的な関係を築き、定めたセキュリティ基準を確実に守っているか確認することが重要です。
予測的な協力戦略は以下の要素を含みます:
- 調達業者や取引仲介者との継続的な対話
- サイバーセキュリティに関する透明な議論
- 定期監査による基準との整合性の確認
- 違反が発生した場合の迅速かつ的確な対応
優れた防御フレームワークの導入
サプライチェーン全体に強固な防御を築くには、厳格なセキュリティポリシーの徹底が不可欠です。最先端の技術と厳重な管理体制が、脆弱な部分から生じる大きな被害を防ぎます。
先進的な防御策としては、以下が挙げられます:
- 暗号技術を活用した機密情報の保護
- 安全な通信経路の採用
- ハードウェアの継続的な近代化とソフトウェアのデバッグ
- 侵入検知システムや堅牢なソフトの導入
一方、管理面では以下に重点を置くべきです:
- 詳細なセキュリティガイドラインの策定
- 継続的な従業員教育と能力向上
- データアクセス規定の厳格な運用
- セキュリティプロセスの定期的な見直しと改善
サイバーセキュリティアプローチの進化:過去と現在
| 従来のセキュリティ観点 | 現代のサプライチェーン防御 |
|---|---|
| 組織内部に限定 | 取引仲介者や調達業者も含む |
| 主にファイアウォールやアンチウイルスなどの物理的対策に依存 | 技術的解決策と人による検証が統合 |
| インシデント発生後の対応型 | 脅威が顕在化する前に予測し、先手を打つ |
サプライチェーンのサイバーセキュリティを強化するには、綿密な計画が必要です。徹底したリスク評価、供給パートナーとの連携、そして戦略的な防御策の導入が、企業をサプライチェーン攻撃の悪影響から守るための鍵となります。
FAQ
参考資料
最新情報を購読
