サプライチェーン攻撃とは

米セキュリティ研究機関SANS Institute(System Administration Networking and Security Institute)の調査研究部門ディレクターが、かつて最も破壊力のある脅威の情報セキュリティについて3つの点を指摘したことがあります。それは「ゼロデイ攻撃」、「訪問者を感染させるWebサイト」、「サプライチェーン攻撃」です。その中でも2018年に警告すべきだと言われている「サプライチェーン攻撃」について、ご紹介します。

サプライチェーン攻撃とは

この「サプライチェーン攻撃」が、なぜ今年、警戒すべきセキュリティ脅威のひとつなのでしょうか。それは、セキュリティソフト会社(カスペルスキー)が2017年に発表した脅威予測レポートの中で、「サプライチェーン攻撃」の増加を指摘したからです。では、この「サプライチェーン攻撃」とは、どのような攻撃なのでしょうか。

「サプライチェーン攻撃」の「サプライチェーン」とは、製品やサービス提供のために行われる、原料からサービスや製品として消費者ユーザーに届くまでの一連のビジネス活動の流れを指します。たとえば、製造業であれば設計開発、資材調達、生産、物流、販売などの過程を経て、エンドユーザーに届くように販売提供の事業者側が供給・提供活動をする連鎖構造のことを言います。ですから、簡単に言えば、この一連の過程でソフトウエアやハードウエアの製造過程でマルウエアに感染する、という攻撃になります。この「サプライチェーン攻撃」は、一見すると、製造過程で製品に細工する必要がありますから、素人や単独犯には難しいように感じられます。しかし、これらが警戒すべきセキュリティ脅威のひとつと言われているのには、訳がありました。

サプライチェーン攻撃の脅威

2011年に起きた、世界最大のアメリカの軍需企業でもあるロッキード・マーティン(Lockheed Martin)がサイバー攻撃により情報漏えいした事件を取り上げてみましょう。この大企業であるロッキード・マーティン(Lockheed Martin)が、高度なセキュリティ対策を怠っていたとは、とても思えません。実際、その攻撃の手段を調べてみると、高度なセキュリティ対策を利用していたことがわかります。攻撃者であるハッカーたちは、まずセキュリティベンダーのRSA Securityに感染、侵入しています。そこで盗み出した「SecureID」(ワンタイムパスワード製品)の情報を悪用して、標的とするロッキード・マーティン(Lockheed Martin)への侵入を成功させていました。つまり、最初からロッキード・マーティン(Lockheed Martin)へ直接攻撃をしたのではなく、まず、アメリカのセキュリティ関連企業RSAに侵入し、攻撃をしたのです。そこから奪い取った情報でロッキード・マーティン(Lockheed Martin)に侵入して情報へアクセスしました。

これは、ハッカーたちが自動車業界などの産業分野や医療分野、金融サービス、産業用システム、仮想通貨などの大手企業に直接侵入することができないので、他のルートを探している、ということです。ですから、取引先から情報を入手するために侵入し、その情報を元に本命の企業へアクセスする可能も高いことが伺えます。一企業の単独セキュリティ対策がしっかりと行われていても、危険が潜んでいることがわかります。

経済産業省の発表資料の「産業分野におけるサイバーセキュリティ政策」の中には、ランサムウェア”WannaCry”がサプライチェーン経由で感染した例が紹介されていました。

ランサムウェア”WannaCry”の猛威
● 平成29年5月、世界の少なくとも約150か国において、Windowsの脆弱性を悪用したランサムウェア「WannaCry」に感染する事案が発生。
● 感染した欧州企業から、サプライチェーン経由で国内企業も感染。

●参考資料:産業分野におけるサイバーセキュリティ政策

「サプライチェーン攻撃」の攻撃は、ほかにもあります。それは、正規のソフトウェアアップデートがサプライチェーン攻撃になっているという、例です。実際の例をご紹介します。

・税務会計ソフト

実際に起きたサプライチェーン攻撃の例を挙げると、今年(2017年)6月、ウクライナのソフトウェア企業であるMeDoc(ミードック)が提供する税務会計ソフトのアップデートデータが改竄され、多くの企業にマルウェアがばらまかれた。ベンダーが提供する正規のソフトウェアアップデートであり、ユーザーが疑う余地はなかった。

・システムクリーナーソフト「CCleaner」

昨年発生したサプライチェーン攻撃としては、(無料ユーティリティソフトの)「CCleaner」のアップデート改竄も挙げられる。およそ200万台のPCに対して不正なアップデートが配信されたと推定されており、昨年起きた攻撃の中でも最大規模のものになる。

●参考資料:取引先との関係壊す、サプライチェーンを狙ったサイバー攻撃が増加へ

私たちユーザーは、ソフトウェアから発表された更新アップデートは、疑いなくアップデート更新をしてきました。また、それこそがセキュリティ対策の方法でもあります。しかし、アップデート更新のデータにサプライチェーン攻撃のタネが蒔かれているとしたら、本当に脅威に感じます。

サプライチェーン攻撃の対策

この恐ろしい「サプライチェーン攻撃」への対策は、非常に難しいと言われています。その1つの理由として、ひとつのソフトウェアの中に正常なコードと攻撃コードの2種類が混在している点があります。また、このひとつのソフトウェアのプログラムのサイズが大きく、複雑になっていますから、分析しにくいことも挙げられます。では、どのように対策すればいいのでしょうか。一企業だけでは、難しいですから社会全体で情報共有することは、サプライチェーン攻撃の対策になります。その共通の理解でセキュリティ対策を行うことができます。複雑で巧妙な「サプライチェーン攻撃」の理解を深めて行くことは何よりも大切だと言えます。