サプライチェーン攻撃とは 概要や攻撃手法と被害 事例を解説
今回記事ではサプライチェーン攻撃について、概要や攻撃手法、被害事例などを解説していきます。クラウドやセキュリティに関わらない方でも、最近はサプライチェーン攻撃について耳にする機会も増えてきたのではないかと思います。より身近になりつつある、サプライチェーン攻撃について、概要の理解とともに、サプライチェーン攻撃を防ぐためにはどのような手立てがあるのか、のヒントにつながれば幸いです。
目次
サプライチェーン攻撃とは
サプライチェーン攻撃とは、標的とする企業に直接攻撃するのではなく、標的企業のサプライチェーンの各段階におけるセキュリティの弱点をついて攻撃することを指します。サプライチェーンとは、製品の調達から販売に至るまでの一連の流れを指し、特に大企業ともなると調達から販売に至るまでの間に様々な企業が介在し、製品・商品が作られていきます。攻撃者は、特にセキュリティが手薄な中小企業をターゲットとしてくるのが特徴です。
中小企業は大企業ほど資金力もなく、セキュリティ対策にコストや人を費やすことができないため、攻撃者に狙われやすくなっています。そのため、サプライチェーン攻撃は増加傾向にあり、大きな問題となっています。
サプライチェーン攻撃の目的
サプライチェーン攻撃の目的は主に、①大企業から機密情報を盗み取る、②身代金目的、が挙げられます。
一つ目は、大企業から機密情報を盗み取ることで、大企業の機密情報をほしがる第三者に売ることで金銭を得ることを目的としています。また、身代金目的については、企業のサーバーに侵入し、マルウェアに感染させ、PC端末を使えないようにすることや、個人情報や機密情報を抜き取るように端末を動くようにし、情報を流出させない代わりに身代金を要求するものです。
サプライチェーン攻撃の仕組み
サプライチェーン攻撃の手法としては、消費者から信頼された製品を通じて、標的企業のシステムやネットワークに侵入することにあります。攻撃者は製品やサービスの製造・提供過程でのターゲット企業のサプライチェーン内のセキュリティの隙間を見つけ、攻撃します。
攻撃者は大手企業をターゲットにおきますが、大手企業はセキュリティ対策が万全な状態にあるため、システムやネットワークに侵入することが難しいという実情があります。そこで攻撃者は、セキュリティ対策が手薄なターゲット企業のサプライチェーン内にある関連企業に攻撃を行います。
サプライチェーン攻撃の手法
具体的な攻撃手法としては以下の3つの手法が挙げられます。
- サプライチェーン内の取引先企業への攻撃
- ハードウェアやソフトウェアを通じて感染を促す手法
- 委託先企業経由で情報を盗むケース
サプライチェーン内の取引先企業への攻撃
ターゲットとしている大企業の取引先や関連企業を調べ、セキュリティ対策が手薄な中小企業から、メールアドレスなどの情報を盗みます。その盗んだ情報をもとに、ターゲットとなる大企業に取引先や関連企業を装ったメールを送り、添付ファイルに仕込んだランサムウェアなどに感染させ、大企業にサイバー攻撃を行います。
ハードウェアやソフトウェアを通じて感染を促す手法
セキュリティ対策が手薄なターゲット企業の取引先企業に不正に侵入し、更新プログラムなど納品するプログラムの中にランサムウェアを埋め込む手法です。
更新プログラム経由で、取引先企業も気づかないままに対象の大企業に感染が広がってしまいます。
委託先経由で情報を盗むケース
ターゲットとなる大企業が、システム開発を外部に委託している場合に、委託先経由で情報が盗み取られるケースもあります。攻撃者は盗み取った情報をもとに金銭などを脅し取るケースもあります。
サプライチェーン攻撃による主な被害
サプライチェーン攻撃による主な被害は主には以下が挙げられます。
- 個人情報や機密情報の窃取
- 不正アクセスによるデータの改ざん
- マルウェア感染
- システム障害・営業停止
- 信頼性の損失による企業のブランド価値の低下
- ランサムウェアによる身代金の要求
対象企業のみではなく、サプライチェーン全体に影響を与えるため被害額や影響は著しく大きくなります。自社がサプライチェーン内のどこに位置づけされていて、仮にサプライチェーン攻撃にさらされた場合にどこまで影響を及ぼすかを組織内でも検討し、セキュリティ対策を強化しておく必要があります。
サプライチェーン攻撃の傾向
海外のサプライチェーン攻撃の事例では、2013年に米国の大型ディスカウントスーパーマーケットであるTargetの事例が挙げられます。本事例は、攻撃者はTargetのシステムに侵入するためにHVAC(空調システム)請負業者にアクセスした事例があります。
サプライチェーン内のセキュリティ対策が不完全な企業を足掛かりに、Targetへアクセスすることを企図した攻撃です。
引用:https://www.commerce.senate.gov/services/files/24d3c229-4f2f-405d-b8db-a3a67f183883
一方で、今日においての大きな懸念はソフトウェアサプライチェーンへの攻撃と言われています。最新のソフトウェアはゼロからコードが書かれていないため、ソフトウェアサプライチェーンは特に脆弱と言われています。
現在、平均的なソフトウェアプロジェクトには203の依存関係があると言われており、仮に1つのアプリが何かしらのマルウェアに感染されていた場合、ベンダーからダウンロードする全てのビジネスが侵害される恐れもあり、その影響たるや、被害者の数、被害額は指数関数的に増える可能性があります。
グローバルにおけるサプライチェーン攻撃の統計
米国のサイバーセキュリティテクノロジー企業であるCrowdStrike社の2021年のグローバルセキュリティ意識調査によると、以下のような調査結果となりました。
- 今後3年以内にソフトウェアサプライチェーン攻撃が自社の組織にとって最大のサイバー脅威の一つになる可能性があると回答した割合が84%
- 過去12か月間にセキュリティ目的で新規および既存のサプライヤーを精査した割合は36%のみ
- 回答者の46%が、過去12か月間に少なくとも1回のソフトウェアサプライチェーン攻撃を経験(2018年は32%)
- 初めてソフトウェアサプライチェーン攻撃を受けた組織の59%は対応戦略を持っていなかった。
上記は2021年の意識調査ですが、近年はますますソフトウェアサプライチェーン攻撃にさらされる割合は増加しているものと考えられます。
ソフトウェアサプライチェーンの攻撃手法
ソフトウェアサプライチェーンの攻撃手法としては以下の手法が挙げられます。
- アップストリームサーバー攻撃
- ミッドストリーム攻撃
- Confusion attacks
- SSL及びコード署名証明書の盗難
- CI/CDインフラストラクチャ攻撃
- オープンソースソフトウェア攻撃
アップストリームサーバー攻撃
最も一般的な攻撃手法です。この攻撃では、悪意のある攻撃者が悪意のあるアップデートなどを通じてユーザーの「上流」のシステムに感染させ、それをダウンロードした全ての「下流」のユーザーが感染する手法です。
ミッドストリーム攻撃
ソフトウェア開発ツールなどの中間要素を標的とします。
Confusion attacks
同じ名前でより高いバージョン番号を持つ依存関係をパブリックポジトリに登録することにより、内部で作成されたプライベートソフトウェア依存関係を悪用します。
SSL及びコード署名証明書の盗難
安全なWebサイトやクラウドサービスのユーザーを認証するために使用される秘密キーを侵害します。
CI/CDインフラストラクチャ攻撃
正規のGitHubリポジトリのクローンを作成するなどして、開発自動化インフラストラクチャにマルウェアを侵入させます。
オープンソースソフトウェア攻撃
オープンソース内のコードに侵入し、そのコードを利用するユーザーへの感染を促します。
サプライチェーンの攻撃事例
ASUS Live Utility(台湾の電子機器メーカー)の事例
本事例は、ASUSシステムにプレインストールされている、コンピューターのBIOS(システムセットアップ)やUEFI(コンピュータ内にある各装置を制御するプラットフォームファームウェアとOS間で通信仕様を定めた規約)、ドライバー、アプリケーション、その他のコンポーネントを自動的に更新するソフトウェアである、ASUS Live Utilityが標的とされた事例です。57,000人を超えるユーザーが侵害されたと言われています。これは特定のMACアドレスを持つユーザーのグループを狙った標的型攻撃の事例です。
CCleanerの事例
人気の無料クリーンアップツールであるCCleanerが侵害された事例です。CCleanerは20億回以上ダウンロードされており、ハッカーの良い標的となっていました。227万人のユーザーがこの攻撃の影響を受けたと言わています。
引用:
https://www.theverge.com/2017/9/18/16325202/ccleaner-hack-malware-security
まとめ
サプライチェーン攻撃はますますビジネス上重要な問題となり、パートナーやサプライヤーとの重要な関係に影響を与えています。自社がサプライチェーン攻撃にさらされた場合にどのような影響を関連企業に与えるかを想定し、対策を考えていくことが重要です。
