取引先や部品・ソフトの供給網の弱点を経由して標的に侵入する攻撃。
サプライチェーン攻撃とは、取引先や部品・ソフトの供給網の弱点を経由して標的に侵入する攻撃です。サプライチェーン(=製品やサービスが完成するまでに関わる、取引先・委託先・部品やソフトの供給の流れのこと)の弱い部分を踏み台にします。
ポイントは、攻撃者が本命の標的を直接狙わないことです。大企業や官公庁などはセキュリティが固く、正面から侵入するのは困難です。そこで、つながりのある防御が手薄な相手をまず乗っ取り、そこから本来狙いたい組織へと攻撃を進めます。
身近な例で考えると、厳重に警備された本社ビルへ、出入り業者になりすまして入り込むようなものです。正面玄関は警備員が固めていても、毎日出入りしている清掃業者の制服を着れば疑われずに中へ入れてしまう──これがサプライチェーン攻撃の発想です。上の図解はその遠回りの侵入経路を示しています。
サプライチェーン攻撃は、おおむね次のような流れで進みます。
・① 弱点を探す:標的とつながりがあり、かつ防御の手薄な取引先・委託先・利用ソフトを調べる
・② 取引先を侵害:見つけた弱点を突いて取引先のシステムに侵入し、足場を作る
・③ 信頼経路で侵入:取引先と標的をつなぐ「信頼された経路」を悪用して標的内部へ入り込む
・④ 標的で目的を実行:情報の窃取やシステムの破壊など、本来の目的を達成する
③で悪用される代表例がソフトウェアの更新です。取引先が配布する正規の更新プログラムにマルウェア(=悪意のあるプログラム)を仕込むと、標的は「正規の更新だ」と信じて取り込んでしまい、自ら侵入を許してしまいます。
身近な例で考えると、信頼している宅配業者が運ぶ荷物に、いつの間にか危険物が紛れ込んでいるようなものです。受け取る側は相手を信頼しているため中身を疑わず、そのまま家に持ち込んでしまうのです。
サプライチェーン攻撃は供給網全体の弱点を突くため、自社だけ守っても不十分です。取引先や利用ソフトまで含めて、供給網全体で対策を考える必要があります。
主な対策は次のとおりです。
・委託先・取引先の管理:契約や監査でセキュリティ水準を確認・要求し、弱い箇所をなくす
・ソフトの正当性検証:導入するソフトの電子署名(=改ざんされていないことを示す印)や配布元を確認する
・最小権限の原則:取引先や各システムに与えるアクセス権限を必要最小限に絞り、万一の被害拡大を防ぐ
・監視・早期検知:不審な通信や挙動を監視し、侵入を早く見つけて封じ込める
身近な例で考えると、出入り業者にも入館証と身元確認を求め、立ち入れる区画を限定するのと同じです。信頼している相手であっても無条件に全権限を渡さず、供給網のどこか一カ所が破られても被害が広がらないようにしておくことが重要です。
サプライチェーン攻撃が防ぎにくい核心の理由は、「信頼している相手から来る」という点です。標的の組織からすると、取引先からの通信やファイルは普段から届いている「正規のもの」であり、わざわざ疑う理由がありません。
防ぎにくい理由を整理すると次のようになります。
・自社のセキュリティ対策が届かない:取引先は別の組織なので、自社の監視やルールが及ばない
・正規の通信に紛れる:更新プログラムや業務ファイルとして届くため、中身を確認しにくい
・気づくのが遅れる:自社への直接攻撃ではなく迂回しているため、侵入口が外から見えにくい
身近な例で考えると、毎日届く宅配便に爆発物が混入しているような状況です。配達員と荷物を毎回疑っては業務が成り立ちません。だからこそ、「信頼そのものを武器にされてしまう」サプライチェーン攻撃は止めるのが難しく、自社だけでなく取引先も含めた対策が必要になるのです。
サプライチェーン攻撃のなかでも特によく知られているのが、ソフトウェアの更新プログラムにマルウェア(=悪意のあるプログラム)を仕込む手口です。流れは上の図のとおりです。
・① 攻撃者がソフトの開発元(取引先)に侵入し、正規のプログラムにマルウェアを混ぜる
・② そのプログラムが「正規の更新」として配布される(開発元のサーバから配信されるので本物に見える)
・③ 標的の組織が「正規の更新だ」と信じてインストールし、マルウェアが内部で動き出す
なぜこれが危険なのか。ソフトウェアの更新は本来「安全にするための作業」です。しかし攻撃者はその「安全にしようとする行動」を逆手に取り、インストール作業そのものを侵入経路にします。更新を怠ることも危険ですが、更新を信じることも危険になりうる──これがこの攻撃の巧妙なところです。対策として電子署名(=改ざんされていないことを証明する印)の検証が重要な意味を持ちます。