近年、ソフトウェア サプライ チェーン攻撃は、組織とそのサプライヤー間の複雑な関係ネットワークを標的とする、重大なサイバー セキュリティの脅威として浮上しています。この記事では、最近の注目すべきサプライ チェーン攻撃を詳しく取り上げ、その発生原因を検証し、防止と軽減の戦略について説明します。機密データを侵害する侵害からソフトウェアの脆弱性を悪用する攻撃まで、これらのインシデントを理解することは、防御を強化するために不可欠です。また、Scribe Security の包括的なソリューションがこれらの脅威に対処し、組織に強力な保護を確実に提供する方法についても説明します。
最近のソフトウェアサプライチェーン攻撃
SiSense 攻撃 (2024 年 XNUMX 月)
攻撃者は、ビジネス インテリジェンス企業である SiSense の GitLab リポジトリを侵害しました。このリポジトリには、Amazon S3 アカウントの認証情報が含まれていました。これにより、不正アクセスが発生し、データ漏洩の恐れがありました。CISA が介入し、SiSense は業界の専門家と協力して侵害の影響を軽減する必要がありました。
Okta サプライチェーン攻撃 (2023 年 XNUMX 月)
脅威アクターは認証情報を入手して Okta の顧客サポート管理システムにアクセスし、最近のサポートケースの機密ファイルを閲覧することができました。この侵害は BeyondTrust などの顧客への通知が遅れ、サプライ チェーンの脆弱性に対する対応の遅れのリスクが浮き彫りになりました。
JetBrains TeamCity の脆弱性 (2023 年 XNUMX 月/XNUMX 月)
ロシアの脅威アクター (Cozy Bear) は、JetBrains TeamCity の重大な認証バイパスの脆弱性を悪用し、影響を受けるサーバーの管理権限を取得しました。この侵害により、リモート コードが実行され、TeamCity を使用している組織のサプライ チェーンが危険にさらされる可能性があります。
3CXアタック(2023年XNUMX月)
攻撃者は、Windows および macOS 用の 3CX デスクトップ アプリに悪意のあるライブラリ ファイルを挿入し、コマンド アンド コントロール操作用の暗号化されたペイロードをダウンロードしました。北朝鮮の Lazarus グループによるものとされるこの侵害では、悪意のあるアプリが有効な 3CX 証明書で署名されていたため、ソフトウェア ビルド環境のリスクが浮き彫りになりました。
アプライド マテリアルズのパートナー侵害 (2023 年 XNUMX 月)
Applied Materials の主要サプライヤー (MKS Instruments と推測) に対するランサムウェア攻撃により半導体の出荷が中断され、同社に約 250 億 XNUMX 万ドルの損害が発生しました。この侵害はサプライヤーの Vacuum Solutions 部門と Photonics Solutions 部門に影響を及ぼし、注文処理と出荷に遅延が生じました。
MOVEitキャンペーン(2023年XNUMX月)
MOVEit ファイル転送ソフトウェアは Cl0p ランサムウェア グループによって悪用され、リモート コード実行の複数の脆弱性を狙っていました。この攻撃は Norton や EY などの大手企業を含む 342 以上の組織に影響を与え、サプライ チェーン攻撃の広範囲にわたる影響と被害の可能性を実証しました。
PyTorch フレームワーク攻撃 (2022 年 XNUMX 月)
攻撃者は PyTorch 機械学習フレームワークの夜間ビルド パッケージを侵害し、ユーザーのシステムからデータを収集する悪意のあるコードを挿入しました。この侵害は、サードパーティのリポジトリに依存する危険性と、ソフトウェアの依存関係を厳密に検証する必要性を強調しました。
ファンタジーワイパーアタック(2022年XNUMX月)
この攻撃では、Kaseya VSA ソフトウェアに対する悪意のあるアップデートが配布され、世界中のシステムからデータが消去されました。この侵害は、ソフトウェア アップデートが侵害されると、大規模なサイバー攻撃の強力なベクトルとして機能しうることを実証しました。
これらのソフトウェア サプライ チェーン攻撃の例は、ソフトウェア サプライ チェーン攻撃の多様な手法と深刻な結果を示しており、堅牢なサイバーセキュリティ対策とサードパーティのコンポーネントおよびサービスの厳重な監視が極めて重要であることを強調しています。
ソフトウェアサプライチェーン攻撃を防ぐための包括的なソリューション
Scribe Securityのプラットフォームは、自動化されたSBOM(ソフトウェア部品表)管理、脆弱性スキャン、CI/CDパイプラインのリアルタイム監視を組み合わせることで、上記のようなソフトウェアサプライチェーン攻撃を検出し、防止するのに役立ちます。このプラットフォームは、 整合性チェック、出所追跡、継続的なセキュリティ検証各ソフトウェア コンポーネントが認証され、改ざんされていないことを確認します。
Scribe Security が特定の攻撃シナリオを軽減する方法は次のとおりです。
1. SiSense 攻撃 (2024 年 XNUMX 月) – GitLab リポジトリ侵害
SiSense攻撃の場合、攻撃者は侵害されたGitLabリポジトリに保存された機密の資格情報に不正にアクセスしましたが、Scribe Securityのプラットフォームは、公開された資格情報や誤った構成がないかリポジトリを継続的に監視することで、このような脆弱性に対処します。 自動スキャン と アクセス制御監視Scribe は、埋め込まれた資格情報などの潜在的なセキュリティ上のミスを検出します。これらは攻撃者の主な標的となる可能性があります。
さらに、プラットフォームは 権限昇格と不正アクセス 不正アクセスの試みを阻止し、侵害が拡大する前に検出して防止するのに役立ちます。侵害が発生した場合、Scribe の対応機能により、迅速な検出と軽減が可能になり、Amazon S3 アカウントなどの機密インフラストラクチャへの不正アクセスによって生じる潜在的な損害を軽減できます。
2. Oktaサプライチェーン攻撃(2023年XNUMX月) – 顧客サポートシステムの侵害
Okta攻撃では、脅威アクターが顧客サポートシステムの脆弱性を悪用して顧客の機密ファイルにアクセスしましたが、Scribeのプラットフォームは次のような方法でそのような侵害を防止します。 ロールベースのアクセス制御(RBAC) と 継続的なコード署名すべてのサードパーティ統合(顧客サポート システムなど)が継続的に検査、監視、アクセス制限されるようにすることで、Scribe は資格情報が侵害されるリスクを最小限に抑えます。
Scribe Securityのプラットフォームでは、 包括的な監査ログ アクティビティ追跡により不正アクセスや異常なアクティビティを検出し、組織が迅速に対応して関係者に遅滞なく通知できるようにします。
3. JetBrains TeamCityの脆弱性(2023年XNUMX月/XNUMX月) – 認証バイパス
この ジェットブレインズ チームシティ 脆弱性により、攻撃者は影響を受けるサーバーの管理権限を取得できました。Scribe Securityのプラットフォームは、 整合性チェック と 出所の検証CI/CDツール(TeamCityなど)などの重要なソフトウェアインフラストラクチャが侵害されないようにします。Scribeの 継続的な保証 機能は、ソフトウェア ビルド環境内のすべてのコンポーネントの整合性を検証し、不正なコードや悪意のあるコードの導入を防ぎます。
活用することで 認証とアクセス管理 Scribe は、プロトコルを使用することで、開発サーバーへの不正アクセスも防止し、検証された担当者だけが重要なインフラストラクチャを変更または制御できるようにします。
4. 3CX攻撃(2023年XNUMX月) – 署名済みアプリ内の悪意のあるライブラリ
3CXデスクトップアプリに悪意のあるライブラリファイルを挿入した攻撃者による3CX攻撃は、 コードの整合性. スクライブセキュリティの 継続的なコード署名 と 出所確認 すべてのビルドとソフトウェア パッケージが認証され、署名され、改ざんされていないことを確認します。
3CXがこのような継続的な検証ツールを採用していれば、ビルドプロセス中に署名されたアプリケーションが侵害されたことを検出できたはずです。このプラットフォームは、 侵害された証明書 証明書の有効性を監視し、署名プロセスにおける異常をチームに警告します。
5. アプライドマテリアルズのパートナー侵害(2023年XNUMX月) – サプライヤーへのランサムウェア攻撃
ランサムウェア攻撃によりサプライチェーンが混乱したApplied Materialsのケースでは、Scribeのプラットフォームがサプライチェーンの回復力を確保しました。 SBOMベースのサプライチェーンの透明性Scribe は、すべてのサードパーティ サプライヤーを継続的に監視することで、組織がリスクのあるコンポーネントを把握し、サプライ チェーンを保護するための積極的な対策を講じることを可能にします。
さらに、スクライブの 脆弱性の検出 ツールはサプライヤー全体の潜在的なリスクを特定し、サプライチェーン全体に脆弱性をもたらす可能性のある、古くなったソフトウェア コンポーネントやパッチが適用されていないソフトウェア コンポーネントにフラグを立てます。
6. MOVEit キャンペーン (2023 年 XNUMX 月) – 悪用されたファイル転送ソフトウェア
Cl0pランサムウェアグループによるMOVEitファイル転送キャンペーンは、ファイル転送ツールのような重要なソフトウェアの脆弱性が広範囲にわたる影響を及ぼす可能性があることを浮き彫りにした。Scribeの 自動脆弱性スキャン MOVEit などのサードパーティ製ソフトウェアのこのような脆弱性を継続的にチェックし、組織が脆弱性が悪用される前にパッチを適用できるようにします。
Scribe Securityは、以下の方法でセキュリティを強化します。 依存関係管理すべてのソフトウェア依存関係(ファイル転送ソフトウェアなど)が最新であり、既知の脆弱性がないことを確認します。
7. PyTorchフレームワーク攻撃(2022年XNUMX月) – 侵害されたサードパーティリポジトリ
PyTorchフレームワーク攻撃は、サードパーティのリポジトリに依存するリスクを示しました。Scribe Securityのプラットフォームは、 誠実さと出所 すべてのソフトウェア コンポーネントのソースとセキュリティを検証します。これは、サードパーティのリポジトリからのものでも、社内の開発環境からのものでもかまいません。各コンポーネントのソースとセキュリティを検証することで、Scribe は悪意のあるコードが夜間ビルドや開発フレームワークに挿入されるのを防ぎます。
さらに、スクライブの SBOMトラッキング すべてのコンポーネントの起源を特定し、組織が侵害されたリポジトリによってもたらされるリスクを迅速に特定して軽減できるようにします。
8. ファンタジーワイパー攻撃(2022年XNUMX月) – 悪意のあるアップデートの配布
この ファンタジーワイパーアタックKaseya VSAソフトウェアを介して悪意のあるアップデートを配布したというこの事件は、侵害されたソフトウェアアップデートの危険性を浮き彫りにしている。Scribe Securityの ソフトウェア更新の継続的な監視 アップデートがネットワーク全体に展開される前に、アップデートに不一致がある場合はフラグが付けられます。すべてのアップデートの出所を検証することで、Scribe は正当かつ安全なアップデートのみが本番環境にプッシュされることを保証します。
さらに、スクライブの ロールバック機能 悪意のあるアップデートが検出された場合に組織がソフトウェアの安全なバージョンに迅速に戻すことができるため、ダウンタイムと中断を最小限に抑えることができます。
結論: Scribe Security によるソフトウェア サプライ チェーンの保護
Scribe Securityのプラットフォームは、ソフトウェアサプライチェーンのセキュリティを確保するための多層アプローチを提供します。 継続的なSBOM管理, 脆弱性スキャン, リアルタイム監視, 整合性チェックこのプラットフォームは、SiSense、Okta、3CX などが直面しているようなサプライ チェーン攻撃を組織が検出し、防止するのに役立ちます。
Scribe Security は、開発ライフサイクルのすべての段階にセキュリティを統合し、ソフトウェア サプライ チェーンを継続的に監視することで、組織が悪意のある行為者による脆弱性の悪用を防ぎ、コンプライアンスを維持し、サードパーティ コンポーネントに関連するリスクを軽減できるようにします。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。