セキュリティ強度が弱い企業を「踏み台」に侵入
近年、程度の差こそあれ「無防備なまま」ネットワークを利用しているケースはほとんど見なくなった。入口対策、出口対策、エンドポイントなどネットワーク上の様々な場所で多種多様なセキュリティツールが設置され、あちこちで監視の目を光らせている。最近ではこうした状況から、ソーシャルエンジニアリング[1]の方が手っ取り早く効果的だという攻撃者の声も漏れ聞こえてくる。
ソーシャルエンジニアリングについては、今回は本題ではないのであまり詳しく触れないが、古くからあり現代でも用いられる手法の一つだ。代表的には、パスワード情報等を本人から「知人」となって聞き出す直接的なものから、オフィスのシュレッダー廃棄書類を収集して復元するトラッシングと呼ばれる手法。さらに、背後からこっそり画面などを覗き見するショルダーハッキング、またSNS経由でターゲットに声をかけ「知人」となって個人情報を聞き出したり、SNS等にアップされている写真から各種情報を収集したりする。スケアウェア[2]や、なりすまし(プリテキスティング)等による誘導、フィッシングによって情報を盗み出すなど、その方法は多岐にわたる。スパイやストーカー等の手法と同様、その行動の奥には極めて強い「意志」が存在する。
話を戻すが、こうした「一定のレベルまでセキュリティ強度が高い組織」への攻撃を考えるに際し、近年よく使われる手法に「サプライチェーン攻撃」というものがある。サプライチェーンというのは、原材料や部品の調達から製品の製造、在庫管理、流通、販売といった、製品が消費者の手元に届くまでの一連の流れを指す用語だ。
複数の企業でグループを形成している企業群はその規模に見合う「資産価値の高い対象物」を所有している。営利目的や破壊目的など悪意ある攻撃者のターゲットにされる可能性も少なからず存在するが、ターゲットとなるグループの中心的な企業はやはりセキュリティ強度が高いため、単純に直接攻撃を仕掛けても狙った成果を上げることはそう容易ではない。そこで、ターゲットとなる企業を直接狙うのではなく、関連企業や取引先など前述の「サプライチェーン」に関わる企業の中から「セキュリティ強度が弱い企業」を攻撃する。そこを踏み台にして、本命の企業に不正侵入するなどの攻撃を仕掛けるのが「サプライチェーン攻撃」だ。
[1]人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すこと(総務省「国民のための情報セキュリティサイト」より引用)
[2]ユーザーを脅して恐怖心をあおり、金銭や個人情報を奪うことを目的としたマルウェア
