丸投げされがちな「委託先や供給先」に寄り添う、有効性を高めるサプライチェーンセキュリティ

突然、高度化・巧妙化したサプライチェーン攻撃

　2022年、サプライチェーン攻撃による被害が国内の企業や組織でも多く発生し、話題になった。IPA（情報処理推進機構）が毎年公開する『情報セキュリティ10大脅威【組織編】』の2023年版でも、「サプライチェーンの弱点を悪用した攻撃」が前年の3位から2位へと順位が上がっている。名和氏は「サプライチェーン攻撃は現在も進展中ですが、10年以上前に突然、成熟した攻撃が現れました」として複数の事例を紹介した。

　1つ目は「産業用制御システムがトロイの木馬になったケース」だ。2011年に欧米各国のエネルギー分野の企業を狙ったグループが、産業用制御システムのソフトウェア開発ベンダーに同社ウェブサイトから侵入。「Dragonfly」というマルウェアをソフトウェアのアップデートインストーラに埋め込んだ。このシステムを運用する企業は、アップデートによりDragonflyに感染し、最終的に認証資格情報などを外部に転送されたというものである。

　2つ目は、「大規模にオンラインバンキング利用者が狙われたケース」だ。この事例も2011年。イギリス、イタリア、アメリカのオンラインバンキングユーザーを標的とした攻撃グループが突然現れ、ウェブシステム開発ベンダーが設計したサイトテンプレートのスクリプトを改ざんした。そのテンプレートを含むビルダーにより作成された正規サイトに悪意のあるコードが組み込まれ、閲覧したユーザーがマルウェアに感染したというものだ。

　3つ目は、「クラウドストレージベンダーへの攻撃」である。2013年、企業がデータを預けているクラウドストレージベンダーが不正アクセスされ、そこで得た個人情報が不正に販売されていた。これを暴いてブログにレポートを公開したリサーチャーは、サイトにDDoS攻撃を受けた上に、偽情報が流されSWAT部隊に一時期拘束された。

　そして名和氏が最後の4つ目に挙げたのが「水飲み場攻撃」だ。2012年、ある脅威アクターがセキュリティソフト会社への攻撃に成功し、製品に組み込むデジタルキーが窃取された。攻撃者はこのデジタルキーをマルウェアに埋め込むことで、セキュリティソフトの検知を回避して、700以上の組織の32,000を越えるウェブサイトからリダイレクトさせることでマルウェアをインストールする「ドライブ・バイ・ダウンロード攻撃」を行った。