ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。

詳細はこちら
Zpedia / サプライ チェーン攻撃とは

サプライ チェーン攻撃とは

サプライ チェーン攻撃とは、組織のサプライヤーに対して行われるサイバー攻撃の一種で、攻撃者はサプライヤーを踏み台にして本来の標的である組織のシステムやデータへのアクセスを入手します。バリュー チェーン攻撃やサードパーティー ソフトウェア攻撃とも呼ばれるこれらの攻撃では、脅威アクターが綿密に計画を立て、悪意のあるコードを用いて組織のシステムに侵入します。2020年に発生したSolarWinds攻撃のように、最初の侵害が壊滅的な被害をもたらす恐れがあります。

業界初の統合型SaaSサプライ チェーン セキュリティの詳細はこちら

サプライ チェーン攻撃の種類

組織のサプライ チェーンやバリュー ライフサイクルに焦点を当てたサプライ チェーン攻撃には、大きく分けて2つの種類があります。

アイランド ホッピング攻撃

「アイランド ホッピング」攻撃は、大企業のバリュー チェーンの一部である小規模な関連会社やセキュリティ管理が不十分なパートナー企業に狙いを定め、そこから本来の標的の大企業に侵入する攻撃手法です。名前が示すように、攻撃者は組織から組織へと「ホップ(移動)」してメインの標的に近づきます。

この攻撃では通常、サプライヤーの広範なデジタル エコシステムに依存している有名企業が狙われる傾向にあります。例えば、マネージド サービス プロバイダー、ハードウェアやソフトウェアのベンダー、テクノロジーやビジネスのパートナーなどがこれに当たり、その多くが脆弱なエンドポイントを介してさまざまなアプリケーションやデータベースに接続されています。

サプライ チェーン攻撃

SolarWindsサイバー攻撃などの「サプライ チェーン」攻撃は前者と少し異なり、他社のネットワークに侵入する手段としてサードパーティー ベンダーの脆弱性を探るのではなく、通常の業務で使用される組織間の信頼関係を悪用します。

サプライ チェーン攻撃の仕組み

サプライ チェーン攻撃では、標的の組織が使用する製品(通常はソフトウェア)にバックドアを埋め込むことでアクセスを得ようとします。そして、自動化されたパッチや「トロイの木馬化」されたソフトウェア アップデートを配信して、マルウェアなどの攻撃を実行します。

アイランド ホッピング攻撃やサプライ チェーン攻撃は知名度が高く、多額の損失をもたらしますが、こうした攻撃の実際の標的ではない「アイランド」にあたる組織も、深刻な風評被害やビジネス上の損害を被る可能性があります。

サプライ チェーン攻撃が与える影響

2020年に発生したSolarWindsのOrion Platformへの攻撃では、攻撃者がバックドアを介して同社のシステムにアクセスし、Orionソフトウェアのアップデートをトロイの木馬化しました。このトロイの木馬化されたOrionのアップデートによって、SolarWindsの顧客18,000人にステルス マルウェアが展開され、国防総省、国土安全保障省、FBI、陸軍、海軍なども含め、多くの米国政府機関や民間企業が被害を被る結果となりました。

このバックドアは、既知の(信頼された)監視および管理ツールの正規のソフトウェア アップデートを通じて配信されました。バックドアのインストールが完了すると、攻撃者は数日間待機してからコマンド&コントロール(C2)システムへのコールバックを開始するなどして、サンドボックスの検出を回避していました。

サプライ チェーン攻撃が危険な理由

セキュリティ研究者の多くが、サプライ チェーン攻撃はすでに出来上がった信頼関係を利用するため、防止するのが最も難しいと考えています。さらに、この攻撃は簡単には検出できないため、影響が長引く可能性もあります。サプライ チェーン攻撃の軽減と修復は、ウイルス対策ソフトのインストールやオペレーティング システムのリセットほど簡単ではありません。こうした攻撃はプロセスの後に行われるため、プロセスを初期の段階から強固なものにする必要があります。

「サプライ チェーン攻撃」はベンダーと顧客の信頼関係や、本質的に信頼できるソフトウェア アップデートのメカニズムなどのマシン間の通信チャネルを悪用するため、防止が最も難しい脅威の1つです。

Lucian Constantin氏, CSO Online

ソフトウェア開発ライフサイクルが重要な理由

ソフトウェア サプライ チェーンの脆弱性は、サプライ チェーン自体の開発から始まります。開発プロセスで発生する潜在的なサイバーセキュリティ リスクを修復して、サプライ チェーンのセキュリティ インシデントを最小限に抑えることが重要です。

ここからは、ソフトウェア開発が適切に保護されていないと、脆弱な攻撃ベクトルが生まれてしまう理由を解説していきます。

シークレットとは

ソフトウェア開発におけるシークレットとは、トークン、暗号化キー、パスワード、APIなどの認証手段を指し、ユーザーとアプリ間およびアプリ間で機密情報にアクセスできるようにするものです。NotPetyaなどのハッカーやランサムウェア グループは通常、組織のソース コードを精査して脆弱性を特定し、悪用します。

オープン ソースのリスク

オープン ソース ソフトウェア(OSS)は広く普及していますが、組織を攻撃に対して無防備な状態にしてしまうリスクがあります。OSSはソフトウェアの開発に大きく貢献するものの、攻撃対象領域を拡大し、ソフトウェア サプライ チェーン攻撃の代表的な手法であるデータ侵害やマルウェア攻撃を招く原因にもなり得ます。

サプライ チェーン攻撃は今後も続くでしょう。こうした攻撃から身を守るのは非常に難しいため、ベンダーを選定する段階でセキュリティを考慮する必要があります。

Jake Williams, SANS Institute

SolarWinds攻撃で明らかになったサプライ チェーンのリスクとは

SolarWinds攻撃からもわかるように、サプライ チェーンは常に注視する必要があります。また、ソフトウェア サプライ チェーンの製造に特有の脆弱性が存在し、この脆弱性がどのようにCiscoやIntel、Microsoftなどの知名度が高く、高度に保護された企業にリスクをもたらすのかを理解することも重要です。さらに、ITセキュリティのリーダーは、悪意のある人物がサプライ チェーンの一部に侵入できれば、全体に侵入できるという事実を認識する必要があります。

次のセクションでは、こうした危険な脅威から組織を守るためのベスト プラクティスを解説します。これらを有効に活用することで、攻撃グループや脅威からビジネスを保護できるようになります。

 

組織を保護するためのベスト プラクティス

サプライ チェーン攻撃は絶えず進化しており、同時に攻撃者は公的機関や民間企業のオペレーションと機密データを侵害する新たな手段を模索しています。サプライ チェーンのリスクを可能な限り軽減してセキュリティを強化するために、次のような推奨事項を検討することが重要です。

  • ゼロトラスト アーキテクチャーでインターネットに露出した攻撃対象領域を排除し、ラテラル ムーブメントを阻止すると同時に、アクセス権を制限してC2をブロックする。
  • ワークロードとインターネット間のトラフィックに対して、完全なTLS/SSLインスペクション高度な脅威対策を実施する。
  • インラインのクラウド サンドボックスを実行して、未知の脅威を特定して阻止する。
  • 新たな宛先が確認された場合は、アップデートを継続的に実施して既知のC2トラフィックに対する保護を強化する。
  • 価値の高い資産へのアクセスに対しては、多要素認証を必須にする。
  • クラウド ワークロードにアイデンティティーベースのマイクロセグメンテーションを使用して、ラテラル ムーブメントによる影響を抑制する。
  • 最高レベルの機密性、完全性、可用性を確保できるベンダーを選択する。
  • リスク評価を継続的に実施し、リスク管理に優先順位を付けることで、組織を確実に保護する。
  • ベスト プラクティスを含むサイバーセキュリティ意識向上トレーニングを頻繁に実施し、注意が必要な点(フィッシング メールなど)を従業員に理解させる。
  • ネットワークで攻撃が検出された場合に備えて、適切なインシデント対応フレームワークを実装する。

以上のサプライ チェーン セキュリティのベスト プラクティスを実行するには、トラフィックをインラインで検査し、有害なマルウェアやランサムウェア攻撃の脅威が組織に侵入する前に排除するプラットフォームを備えた、信頼できるサイバー セキュリティ企業のサービスを採用する必要があります。Zscalerはこれらすべてを実現します。

Zscalerでサプライ チェーン攻撃対策を強化

サプライ チェーン攻撃は巧妙であるため、簡単には検出できません。すべてのパートナー組織のセキュリティ態勢を理解するとともに、自社のあらゆるトラフィックを複数のレイヤーで保護し、可視化することが重要です。Zscaler Zero Trust Exchange™は次の統合サービスを提供し、組織をサプライ チェーン攻撃から保護します。

  1. Zscaler Internet Access経由ですべてのサーバー トラフィックをルーティングすることで、侵害されたサーバーからの悪意のあるアクティビティーを特定して阻止する。
  2. 重要なインフラからのトラフィックを「許可」リストの宛先のみに制限する。
  3. 信頼できる送信元からのトラフィックも含め、すべてのSSL/TLSトラフィックを検査する。
  4. 高度な脅威対策ですべての既知のC2ドメインをブロックする。
  5. 高度なクラウド ファイアウォール(クラウドIPSモジュール)を使用して、新しいC2宛先を含むすべてのポートとプロトコルにコマンド&コントロール対策を拡張する。
  6. 高度なクラウド サンドボックスを使用して、第2段階のペイロードの一部として配信される未知のマルウェアの侵入を阻止する。
  7. アイデンティティーベースのマイクロセグメンテーション(Zscaler Workload Segmentation)とゼロトラスト アーキテクチャーで、ラテラル ムーブメントを制限し、潜在的な侵害による影響を抑制する。
  8. Zscaler Private Accessでラテラル ムーブメントを抑制し、最も重要なアプリケーションを保護する。

サイバー攻撃やZscalerのソリューションの詳細については、次の手順でご確認ください。

  1. この動画でZscaler Zero Trust Exchangeの詳細を確認する。
  2. Posture Controlでアプリケーションを構築から実行まで保護する方法を確認する。
  3. このページにアクセスして、SolarWindsのようなサイバー攻撃が発生した場合の対処方法を把握する。

おすすめのリソース

よくある質問

サプライ チェーン攻撃とデータ侵害の違いは何ですか?

サプライ チェーン攻撃は、エコシステム内ですでに信頼されている正規のツールを悪用してネットワークにアクセスし、ソフトウェアのパッチやアップデートにマルウェアやバックドアを仕込みます。こうした攻撃は検出されることなく、一度に数百、数千の企業に感染する可能性があります。

サプライ チェーン攻撃は今後どのように進化していくのでしょうか?

攻撃者がより高度になるにつれて、多層的なサプライ チェーン攻撃が増加しつつあります。攻撃者はあるソフトウェア ベンダーに侵入して、顧客のネットワークにアクセスする可能性があります。こうした顧客はソフトウェア企業である場合もあり、攻撃者はこの企業のソフトウェア アップデート プログラムに感染して、さらに多くの組織に侵入しようとします。