1分で分かるかも?「サプライチェーン攻撃」~攻撃の起点は色んな所に潜んでいる~

  • サイバー攻撃
  • 2021.05.25
  • 松尾

1分でふんわり分かるかも?略して分分(ふんわか)シリーズです!今回は「サプライチェーン攻撃」!

巷ではサプライチェーン攻撃が何かと話題ですが「サプライチェーン攻撃」というと、どういったものを思い浮かべますか?サプライチェーン攻撃といっても実は色んな種類があります。誰かとサプライチェーン攻撃のことを議論していても話が食い違ったまま議論が終わってしまうということにもなりかねないので、これから説明する種類をある程度頭に入れて文脈で判断するか、わからない時は思い切って「どのサプライチェーン攻撃のことを言っているの?」と聞いちゃいましょう!それでは4つの種類について説明していきます(今回は図も多くてちょっと長めなので先に謝っておきます)!

ハードウエア製造・販売のサプライチェーンのどこかでウイルスを埋め込むサプライチェーン攻撃

HW製造・販売への攻撃例

ハードウエア製造・販売におけるコンポーネントの製造会社、受託製造、物流などの過程のどこかでウイルスやバックドアなどを仕込まれるというパターンです。これを防ぐためにハードウエアメーカーはHSM(ハードウエアセキュリティーモジュール)というモジュールを使って、ファームウエアの不正書き換え防止対策を行っていたりします。こういったことが起こるのはごくまれではあると思いますが、ユーザー企業としてはNTA(ネットワークトラフィック分析)やNDR(ネットワークディテクション&レスポンス)などにより異常な通信を発見することで対策を行うことができます。

Webサイト開発におけるサプライチェーン攻撃

Webサイト開発への攻撃例

リモートブラウザーアイソレーションの回にも少しご紹介した通り、Webサイトはさまざまなコンポーネントにより成り立っています。開発者は便利だと思って使っているコンポーネントの中にも、表向きは善良そうに見えて実は悪さをするようなコンポーネントも存在します。サプライチェーン攻撃として語られることは少ないですがこれもサプライチェーン攻撃の一つと言えます。ユーザー企業としてはURLフィルタリングやリモートブラウザーアイソレーションなどで対策を行うことができます。

ソフトウエア・アプリケーション開発におけるサプライチェーン攻撃

アプリ開発への攻撃例

これも一つ前のものと似てはいますが、図ではモバイルアプリを例に説明しています。例えば、アプリケーション開発に利用しているSDK(ソフトウエア開発キット)やオープンソースソフトウエアに悪意のあるソフトウエアが紛れ込んでいることもあります。アプリケーションの開発者の場合はSCA(ソフトウエアコンポジション解析)などといったツールを使ってそういったものが紛れ込まないようにチェックを行うといったことをやっています。ユーザー企業の場合はMDM/MAMといったツールを使って、アプリケーションのインストールを制御したり、アプリケーション間の干渉を制限したりすることで対策ができます。

セキュリティー対策が弱い企業を狙うサプライチェーン攻撃

セキュリティー脆弱性への攻撃例

これまでに説明したサプライチェーン攻撃は、サプライチェーンの内部に悪意のあるものが紛れ込んでいるというパターンが多いですが、このサプライチェーン攻撃については、サプライチェーンの中でセキュリティー対策が弱い企業を狙い、そこからサプライチェーン全体に攻撃範囲を広げていくというもので、現在騒がれているサプライチェーン攻撃の中でも最もポピュラーなものであると思います。
サプライチェーン間でプライベートに接続されたネットワークを通して侵入することもありますが、図ではまずは脆弱な企業のPCを乗っ取って、そこから別の企業にメールなどで侵入を広げるといったものを例にしています。ユーザー企業はメールセキュリティー、EDR(エンドポイントディテクション&レスポンス)などの製品を使って早期に発見し対処することもできますし、最近ではサードパーティーのセキュリティーレベルをチェックしてくれるサービスも多く出てきているので、そういったツールを使って取引企業が適切にセキュリティー対策できているかチェックを行うということもできます。

1分でふんわり分かるかも?分分(ふんわか)シリーズ!

「サイバーレジリエンス」~もしもの火災で考えてみる~

「リモート・ブラウザー・アイソレーション」 ~ Web閲覧によるウイルス侵入をシャットアウト ~

「Credential Stuffing攻撃」~SSOと多要素認証の重要性~

「ZTNA/SDP」~VPNのその先へ~

「Zero Trust」~全ては信用できない世界に~

「UEBA」~内部不正を見つけるソリューション~

「SASE(サシー)」~ DXに必要なセキュリティー ~

おすすめ記事

識者が語るクラウド時代の
「セキュリティBCP」

超高速・多数同時接続の時代 クラウドセキュリティーはゼロトラストで考える

クラウド型だから場所・デバイスを問わず 安全に利用できるゲートウェイセキュリティー