サプライチェーン攻撃とは何か
サプライチェーン攻撃という言葉を耳にすることが増えた。IPA(独立行政法人情報処理推進機構)が毎年公開している「IPA情報セキュリティ10大脅威」では、2019年版に「サプライチェーンの弱点を悪用した攻撃の高まり」が第4位で初登場し、2022年に第3位、2023年には第2位へと順位を上げている。それだけ2022年はサプライチェーン攻撃が多かったわけだ。
IPAではサプライチェーンを「商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群」としている。このサプライチェーンを悪用したサイバー攻撃を、一般的にサプライチェーン攻撃と呼んでいる。しかし、IPAの説明に「もう一つのサプライチェーンとして『ソフトウェアサプライチェーン』もある」とある。
このように、サプライチェーン攻撃には複数の種類がある。IPAが一つ目に取り上げているのが「ビジネスサプライチェーン攻撃」だ。これは以前から存在していた攻撃手法で、サイバー攻撃者がセキュリティ対策の堅牢な大企業を狙う際に、その関連会社や下請け会社、あるいは海外の支社といったセキュリティ対策の不十分な会社を攻撃して侵入し、大企業を攻撃する踏み台にするというものだ。
ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発工程で悪意のあるコードを埋め込んだり、わざと脆弱性を組み込んだりするケースで、そのソフトウェアを使用する企業や業界を狙う攻撃である。例えば、ソフトウェアを開発する際には、基本的な機能が組み合わされたオープンソースのライブラリを使用することが多い。攻撃者は、こうしたライブラリに悪意のある“罠”を仕掛ける。
この他に、ハードウェアサプライチェーン攻撃もある。これは、ハードウェアの生産過程で悪意のあるチップを組み込んだり、不正な通信をしたりするもの。企業向けのルーターや家庭向けのスマートスピーカーに盗聴機能が入っていることが判明し、問題になったこともあった。クラウドサービスやマネージメントサービスを悪用する、サービスサプライチェーン攻撃と呼ばれるものもある。
ソフトウェアサプライチェーン攻撃の現状
ここからは、ソフトウェア・ハードウェアサプライチェーン攻撃について説明していく。そもそもソフトウェアサプライチェーン攻撃は1984年、コンピュータサイエンスのパイオニアであり、UNIXの共同発明者でもあるケン・トンプソン氏が、コンパイラを使用して正当なマルウェアを作成できることを実証した。
その際に、「ソースレベルでの検証や精査を実施しても、信頼できないコードの使用を防ぐことはできない」と宣言している。しかし、ソフトウェアサプライチェーン攻撃が世界の脅威となるまでは30年の時間を要した。ソフトウェアサプライチェーン攻撃は2010年代にインターネットの普及とともに脅威として顕在化している。
2012年には米国立標準技術研究所(NIST)が攻撃の増加を受けて、サプライチェーンのリスク管理に関するガイダンスを発表するに至った。2015年には、欧州連合のネットワークおよび情報セキュリティ機関(ENISA)がICTサプライチェーンのリスクに関する独自の概要を発表している。
2017年には、ソフトウェアサプライチェーンへの攻撃が前年比200%と急増し、2021年には前年比でさらに300%増加し、深刻な事態となっている。特に、オープンソースソフトウェア(OSS)に対する攻撃は2021年に最も増加しており、他のタイプのサプライチェーン攻撃よりも前年比650%と大幅に増加した。
攻撃手法としては、ソフトウェアサプライチェーンへの攻撃ではOSSの悪用や偽バージョンの追加などが常套手段となっている。ソフトウェア開発において基本的な通信機能や時計機能、あるいはUI・UXなどは、汎用のOSSライブラリを使用することが多い。これにより目的の機能の開発に注力することができる。実際に、商用アプリケーションの97%がオープンソースコードを含み、その88%に既知のオープンソースの脆弱性が含まれているという。
こうした汎用のOSSライブラリに悪意のあるコードや脆弱性を埋め込んでおくことで、そのライブラリを使用し開発されたアプリケーションを侵害できる。これに近いことが2021年末に発生している。「Apache Log4j」の脆弱性だ。Log4jはロギングライブラリとして非常に多くのライブラリに組み込まれているが、これに任意のコードを実行される脆弱性が確認された。
ライブラリはソフトウェアの階層の深いところにあり、しかもソフトウェアがどのようなライブラリを使用しているのかが把握しづらいため、自社にLog4jが存在しているかどうかさえ把握できない企業が多かった。幸い、Log4jの脆弱性を悪用する大規模な攻撃はなかったものの、今後も起きないとは言い切れない。
また、攻撃手法の拡散も速くなっている。例えば、研究者がDependency Confusion(依存関係かく乱)攻撃に関する投稿を公開したところ、それからわずか34日で1万を超える模倣パッケージが実際に検出された。ソフトウェアサプライチェーン攻撃はいつ行われても不思議ではない状況であり、事実2021年には、平均的なサプライチェーン攻撃により大企業で200万ドル以上、中小企業で21万ドル以上の損害が発生している。
