ソフトウェアサプライチェーン攻撃の脅威と対策

第1回

2023/06/02 12:00

通知

　サプライチェーン攻撃の被害が深刻化している。IPAの「情報セキュリティ10大脅威 2023」においても「サプライチェーンの弱点を悪用した攻撃」は前年の3位から2位へと順位を上げており、実際に2022年はサプライチェーン攻撃により多くの企業が被害に遭った。サプライチェーン攻撃は複数の分類があるが、本連載では、ソフトウェアサプライチェーン攻撃の現状と対策について紹介する。

通知

サプライチェーン攻撃とは何か

　サプライチェーン攻撃という言葉を耳にすることが増えた。IPA（独立行政法人情報処理推進機構）が毎年公開している「IPA情報セキュリティ10大脅威」では、2019年版に「サプライチェーンの弱点を悪用した攻撃の高まり」が第4位で初登場し、2022年に第3位、2023年には第2位へと順位を上げている。それだけ2022年はサプライチェーン攻撃が多かったわけだ。

　IPAではサプライチェーンを「商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群」としている。このサプライチェーンを悪用したサイバー攻撃を、一般的にサプライチェーン攻撃と呼んでいる。しかし、IPAの説明に「もう一つのサプライチェーンとして『ソフトウェアサプライチェーン』もある」とある。

　このように、サプライチェーン攻撃には複数の種類がある。IPAが一つ目に取り上げているのが「ビジネスサプライチェーン攻撃」だ。これは以前から存在していた攻撃手法で、サイバー攻撃者がセキュリティ対策の堅牢な大企業を狙う際に、その関連会社や下請け会社、あるいは海外の支社といったセキュリティ対策の不十分な会社を攻撃して侵入し、大企業を攻撃する踏み台にするというものだ。

　ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発工程で悪意のあるコードを埋め込んだり、わざと脆弱性を組み込んだりするケースで、そのソフトウェアを使用する企業や業界を狙う攻撃である。例えば、ソフトウェアを開発する際には、基本的な機能が組み合わされたオープンソースのライブラリを使用することが多い。攻撃者は、こうしたライブラリに悪意のある“罠”を仕掛ける。

　この他に、ハードウェアサプライチェーン攻撃もある。これは、ハードウェアの生産過程で悪意のあるチップを組み込んだり、不正な通信をしたりするもの。企業向けのルーターや家庭向けのスマートスピーカーに盗聴機能が入っていることが判明し、問題になったこともあった。クラウドサービスやマネージメントサービスを悪用する、サービスサプライチェーン攻撃と呼ばれるものもある。

ソフトウェアサプライチェーン攻撃の現状

　ここからは、ソフトウェア・ハードウェアサプライチェーン攻撃について説明していく。そもそもソフトウェアサプライチェーン攻撃は1984年、コンピュータサイエンスのパイオニアであり、UNIXの共同発明者でもあるケン・トンプソン氏が、コンパイラを使用して正当なマルウェアを作成できることを実証した。

　その際に、「ソースレベルでの検証や精査を実施しても、信頼できないコードの使用を防ぐことはできない」と宣言している。しかし、ソフトウェアサプライチェーン攻撃が世界の脅威となるまでは30年の時間を要した。ソフトウェアサプライチェーン攻撃は2010年代にインターネットの普及とともに脅威として顕在化している。

　2012年には米国立標準技術研究所（NIST）が攻撃の増加を受けて、サプライチェーンのリスク管理に関するガイダンスを発表するに至った。2015年には、欧州連合のネットワークおよび情報セキュリティ機関（ENISA）がICTサプライチェーンのリスクに関する独自の概要を発表している。

　2017年には、ソフトウェアサプライチェーンへの攻撃が前年比200％と急増し、2021年には前年比でさらに300％増加し、深刻な事態となっている。特に、オープンソースソフトウェア（OSS）に対する攻撃は2021年に最も増加しており、他のタイプのサプライチェーン攻撃よりも前年比650％と大幅に増加した。

　攻撃手法としては、ソフトウェアサプライチェーンへの攻撃ではOSSの悪用や偽バージョンの追加などが常套手段となっている。ソフトウェア開発において基本的な通信機能や時計機能、あるいはUI・UXなどは、汎用のOSSライブラリを使用することが多い。これにより目的の機能の開発に注力することができる。実際に、商用アプリケーションの97％がオープンソースコードを含み、その88％に既知のオープンソースの脆弱性が含まれているという。

　こうした汎用のOSSライブラリに悪意のあるコードや脆弱性を埋め込んでおくことで、そのライブラリを使用し開発されたアプリケーションを侵害できる。これに近いことが2021年末に発生している。「Apache Log4j」の脆弱性だ。Log4jはロギングライブラリとして非常に多くのライブラリに組み込まれているが、これに任意のコードを実行される脆弱性が確認された。

　ライブラリはソフトウェアの階層の深いところにあり、しかもソフトウェアがどのようなライブラリを使用しているのかが把握しづらいため、自社にLog4jが存在しているかどうかさえ把握できない企業が多かった。幸い、Log4jの脆弱性を悪用する大規模な攻撃はなかったものの、今後も起きないとは言い切れない。

　また、攻撃手法の拡散も速くなっている。例えば、研究者がDependency Confusion（依存関係かく乱）攻撃に関する投稿を公開したところ、それからわずか34日で1万を超える模倣パッケージが実際に検出された。ソフトウェアサプライチェーン攻撃はいつ行われても不思議ではない状況であり、事実2021年には、平均的なサプライチェーン攻撃により大企業で200万ドル以上、中小企業で21万ドル以上の損害が発生している。

次のページ
サプライチェーン攻撃の事例

この記事は参考になりましたか？

印刷用を表示

【ExtraHop】山西毅の「ソフトウェアサプライチェーン攻撃の脅威と対策」連載記事一覧: ソフトウェアサプライチェーン攻撃に備えるためのチェックリスト

ソフトウェアサプライチェーン攻撃への対策：NDRソリューションとは何か？

ソフトウェアサプライチェーン攻撃の脅威と対策

もっと読む

この記事の著者: 山西毅（ヤマニシツヨシ）

ExtraHop Networks Japan株式会社日本担当バイスプレジデント
ネットワーク・セキュリティに関する業務に20年以上携わり、デジタルガーディアン株式会社、パロアルトネットワークス株式会社、ルックアウト・ジャパン株式会社、リバーベッドテクノロジー株式会社、ジュニパーネットワークス株式会社、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事