ソフトウェアサプライチェーンが攻撃されている

企業の安全を確保するための戦略

攻撃者はソフトウェアサプライチェーンを狙っている

企業は皆、ソフトウェアサプライチェーンに依存しています。よく使われるアプリケーションは、オープンソースコードとAPI、そしてそれらのスムーズな運用を維持するサードパーティの統合を基盤として構築されています。こうした相互依存関係があるため、新しいツールをオンボーディングするということは、そのツール自体のみならず開発エコシステム全体を信頼する選択をすることに他なりません。

ソフトウェアサプライチェーン攻撃はこの現象を悪用するもので、企業ネットワークへの侵入手口として使われることが増えています。Gartnerの予想では、「全世界の企業のうち、ソフトウェアサプライチェーン攻撃を受けた経験を持つ企業は2025年には45%に上り、2021年比で3倍になる」としています。

攻撃者は、狙ったネットワークに直接侵入するのではなく、標的が依存するサードパーティアプリケーションやオープンソースコードの脆弱性を突いてきます。それにより、標的ネットワークへの間接的アクセスが可能になります。

ソフトウェアサプライチェーン攻撃の仕組み

とはいえ、ソフトウェアサプライチェーン攻撃は、「狙い定めて」というより「あわよくば」というアプローチの時があります。攻撃者は、標的から遡ってサプライヤーを突き止めるよりも、オープンソースコードや特定アプリケーションなど広範に利用されるものの安全性を損なって、その結果を成果とする場合があるのです。そうした攻撃は必要な労力の割に実入りが多いのが魅力です。

攻撃者は、盗んだアカウント資格情報を使う、ゼロデイやパッチ未適用の脆弱性につけ込むなど、さまざまな方法でサードパーティリソースにアクセスします。そして、この特権アクセスを利用して下流への攻撃を仕掛けるのです。ソフトウェアサプライチェーン攻撃はさまざまな形をとり得ます。たとえば:

  • サードパーティネットワークアクセス サードパーティやサプライヤーの安全性が損なわれると、攻撃者は特権を利用して顧客やパートナー企業からデータを盗み出したり、マルウェアを拡散したりします。たとえばKaseyaへの攻撃では、サイバー犯罪者グループREvilが、同社のリモート監視・管理ソリューションが使っていたサーバーに内在する脆弱性を突いています。REvilはそれにより得た特権を利用して、Kaseyaの顧客数百社にランサムウェアをデプロイしました。

  • ソフトウェアやアプリケーションのアップデート デバイスが、アップデートパッケージ内に隠されたマルウェアをダウンロードする場合があります。2017年にロシアの攻撃者がこの方法を使い、ウクライナでよく使われていた会計ソフトウェアのアップデートにNotPetyaマルウェアを埋め込みました。この攻撃の影響はウクライナ国外にも及び、アメリカ政府の算定では損害は世界全体で100億ドルに上っています。

  • オープンソースコードパッケージ 企業は、ソフトウェア開発の最大効率を追求するために、オープンソースの(つまり公開された)コードをよく使います。しかし、このコードに脆弱性が発見されると、それを使っている企業がリスクにさらされます。攻撃者は、既知の脆弱性を利用するだけでなく、オープンソースコードパッケージに悪意あるコードを埋め込む手口でマルウェアを拡散させることができます。

サプライヤーコードを狙った攻撃が66%と、ソフトウェアベースの攻撃が最も多いことはもちろん、サプライチェーン攻撃が他の形をとり得ることにも注意が必要です。たとえば、安全性の喪失はマイクロチップ、ラップトップ、「モノのインターネット(IoT)」デバイス、オペレーショナルテクノロジー(OT)のいずれにも起こり得ます。ファームウェア(ハードウェアに組み込まれたソフトウェア)も標的になります。

ソフトウェアサプライチェーン攻撃で、ソフトウェアエコシステムのもろさが浮き彫りに

SolarWindsを介した攻撃は、おそらく最もよく知られたソフトウェアサプライチェーン攻撃の例です。2020年12月、サイバーセキュリティプロバイダーのFireEyeが攻撃を受けたことを発表しました。ロシアのサイバー犯罪者グループNobeliumが、FireEyeのIT監視サプライヤーSolarWindsを標的とし、同社のソフトウェアアップデートパッケージの1つに悪意あるコードを挿入しました。合計1万8000の企業・団体が、感染したアップデートをダウンロードしています。

SolarWindsのケースで、信頼される善意のサプライヤーに対する攻撃がそのサプライヤーを利用する企業への攻撃となることが実証されました。

サプライヤーがSOC 2コンプライアンスペネトレーションテストなどのセキュリティ基準を満たすよう要求する企業は多いものの、攻撃されない保証はありません。

たとえば、2021年12月に公表された、ApacheのオープンソースロギングライブラリLog4jの深刻な脆弱性を考えてみましょう。Log4jは広く普及しているため、米国サイバーセキュリティー・インフラセキュリティー庁(CISA)のJen Easterly長官は「誰もが露出し、脆弱であると想定すべき」だと発言しました。攻撃者はすかさず脆弱性を利用し、今も利用し続けています。

攻撃が大規模であったり被害者が有名だったりするとニュースになりがちですが、ソフトウェアサプライチェーン攻撃は何も大企業狙いとは限りません。この手口は、開発環境を標的にするなど、比較的小規模なキャンペーンにも用いられ、必ず報道されるというわけではありません。つまり、この攻撃スタイルはリサーチャーが示唆する以上に頻発しているかもしれないのです。

ソフトウェアサプライチェーンの安全確保

このように、攻撃されないと保証されたサプライヤーが存在しないのであれば、企業はサプライチェーン攻撃に対してどのような対策を講じることができるのでしょうか。企業がサードパーティを過度に信頼しないようにすることが、出発点として適当でしょう。この分野では、Zero Trustアーキテクチャを実装することによって大きな変化をもたらすことができます。

境界ベースのモデルではネットワーク内のユーザーとデバイスを信頼しますが、Zero Trustは攻撃者がネットワーク内に存在するという前提に立っています。Zero Trustアーキテクチャは、ユーザー、デバイス、ワークロードをIDとコンテキストに基づいて評価し、アクセスに関する決定を動的に行います。具体的には、Zero Trustアーキテクチャは、次のような方法でソフトウェアサプライチェーン攻撃から企業ネットワークを防御します。

  • サードパーティアクセスの管理 Zero Trustアクセス管理ツールで、ユーザー、デバイス、ワークロードのアクセスレベルを簡単にカスタマイズすることができます。企業は、サードパーティユーザーの接続に関して厳しい基準を設け、最小特権アクセスを適用することができます。

  • ラテラルムーブメントの防止 Zero Trustアーキテクチャは、攻撃者がネットワークに侵入しても、中を移動して被害を広げることがないように動きを制限します。たとえば、Zero Trustではマイクロセグメンテーションを推進しており、攻撃者がネットワーク内の別のゾーンに到達するには再認証が必須になっています。

  • アプリケーションの保護 Zero Trustは、内部アプリケーションをインターネットから効果的に隠し、攻撃者から保護することができます。内部アプリケーションに脆弱性があったとしても、攻撃者はアクセスできないというわけです。

  • マルウェアから保護 DNSフィルタリングによって、ソフトウェアアップデートに潜んでいるかもしれないコマンド&コントロール攻撃をブロックすることができます。コマンド&コントロール攻撃では、デバイス上のマルウェアがサーバーに対して、攻撃者の指示を受け取る準備があると合図します。DNSフィルタリングは、この接続を確立するのに必要なDNSリクエストをブロックすることができます。

CloudflareでZero Trust体制を整備

ソフトウェアサプライチェーン攻撃から自社を防御し、 Zero TrustネットワークアクセスでZero TrustルールをSaaSアプリやセルフホストアプリに拡大適用し、サードパーティのユーザー、従業員、IoTデバイスに最小特権アクセスを適用しましょう。Cloudflare Gatewayは、不審なサイトへのアクセスをブロックし、データ流出を防止し、ユーザーをコマンド&コントロール攻撃から保護します。

Cloudflare Zero TrustはCloudflare Oneの一環です。Cloudflare Oneはセキュアアクセスサービスエッジ(SASE)アーキテクチャで、リモートユーザー、支社オフィス、データセンターを必要なアプリケーションやインターネットリソースに安全に接続します。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

この記事を読めば、以下が理解できます。

  • ソフトウェアサプライチェーン攻撃の懸念が広がっている理由

  • いくつかの大規模攻撃が及ぼした影響

  • 攻撃を仕掛ける際に攻撃者が使うさまざまな侵入口

  • ソフトウェアサプライチェーンを守る方法

関連リソース


このトピックを深く掘りさげてみましょう。

Cloudflare Zero Trustに関するセルフガイドツアーで、この製品がユーザーとデバイスを必要なリソースに安全に接続するのにどう役立つかをご覧ください。

Start my self-guided tour!

大人気のインターネット関連インサイトの要約を毎月お届けします。