SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 春の陣レポート

丸投げされがちな「委託先や供給先」に寄り添う、有効性を高めるサプライチェーンセキュリティ

名和氏が語る、現場に寄り添った対策

 サイバー領域におけるサプライチェーン攻撃による被害は年々深刻化していることから、発注元における対策の取り組みは日々進んで来てはいる。しかし、セキュリティ対策の強化が求められる委託先などに対しては、負担の重さや責任の不明瞭さから、対策への情報が十分ではないように見受けられる。ここでは、「Security Online Day 2023 春の陣」にて開催された、サイバーディフェンス研究所の専務理事/上級分析官である名和利男氏のセッション「委託先や供給者の当事者観点から見る『サプライチェーン攻撃』」から、現実的で有効性の高いサプライチェーン攻撃対策を探る。

突然、高度化・巧妙化したサプライチェーン攻撃

 2022年、サプライチェーン攻撃による被害が国内の企業や組織でも多く発生し、話題になった。IPA(情報処理推進機構)が毎年公開する『情報セキュリティ10大脅威【組織編】』の2023年版でも、「サプライチェーンの弱点を悪用した攻撃」が前年の3位から2位へと順位が上がっている。名和氏は「サプライチェーン攻撃は現在も進展中ですが、10年以上前に突然、成熟した攻撃が現れました」として複数の事例を紹介した。

サイバーディフェンス研究所 専務理事/上級分析官 名和利男氏
サイバーディフェンス研究所 専務理事/上級分析官 名和利男氏

 1つ目は「産業用制御システムがトロイの木馬になったケース」だ。2011年に欧米各国のエネルギー分野の企業を狙ったグループが、産業用制御システムのソフトウェア開発ベンダーに同社ウェブサイトから侵入。「Dragonfly」というマルウェアをソフトウェアのアップデートインストーラに埋め込んだ。このシステムを運用する企業は、アップデートによりDragonflyに感染し、最終的に認証資格情報などを外部に転送されたというものである。

講演資料より引用(画像クリックで拡大)
講演資料より引用(画像クリックで拡大)

 2つ目は、「大規模にオンラインバンキング利用者が狙われたケース」だ。この事例も2011年。イギリス、イタリア、アメリカのオンラインバンキングユーザーを標的とした攻撃グループが突然現れ、ウェブシステム開発ベンダーが設計したサイトテンプレートのスクリプトを改ざんした。そのテンプレートを含むビルダーにより作成された正規サイトに悪意のあるコードが組み込まれ、閲覧したユーザーがマルウェアに感染したというものだ。

 3つ目は、「クラウドストレージベンダーへの攻撃」である。2013年、企業がデータを預けているクラウドストレージベンダーが不正アクセスされ、そこで得た個人情報が不正に販売されていた。これを暴いてブログにレポートを公開したリサーチャーは、サイトにDDoS攻撃を受けた上に、偽情報が流されSWAT部隊に一時期拘束された。

 そして名和氏が最後の4つ目に挙げたのが「水飲み場攻撃」だ。2012年、ある脅威アクターがセキュリティソフト会社への攻撃に成功し、製品に組み込むデジタルキーが窃取された。攻撃者はこのデジタルキーをマルウェアに埋め込むことで、セキュリティソフトの検知を回避して、700以上の組織の32,000を越えるウェブサイトからリダイレクトさせることでマルウェアをインストールする「ドライブ・バイ・ダウンロード攻撃」を行った。

次のページ
取引先への「助言・支援」が、現場へ丸投げに

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 春の陣レポート連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17575 2023/04/21 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング