2021 年には、コード カバレッジ レポートと統計を生成するソフトウェア テスト プラットフォームである Codecov が、 サプライチェーン攻撃の標的となった Docker アップロード スクリプトを操作したものです。 Codecov の環境は、危険信号を一切発することなく侵害されました。 Codecov は IBM、Google、HP、ワシントン ポスト、アトラシアン、GoDaddy、プロクター アンド ギャンブル、ロイヤル バンク オブ カナダを含む 29,000 を超える企業顧客にサービスを提供しているため、被害は甚大でした。大規模な侵害は数カ月にわたって検出されずに続きました。 31年2021月1日に開始したにもかかわらず、2021年XNUMX月XNUMX日まで発見されませんでした。
別の悪名高い事件では、ユビキタスなコンピューター クリーニング ツールが CCleaner が侵害されていた ハッカーによって1か月以上にわたって攻撃されました。 CCleaner を所有するアバストは、ユーザーがダウンロードしているソフトウェア アップデートをマルウェア バックドアで汚染しました。数百万台のコンピュータが危険にさらされ、この事件により次の脅威が強化されました。 いわゆるデジタルサプライチェーン攻撃、信頼できる広く配布されているソフトウェアが実際に感染している場合。
サードパーティ攻撃またはバックドア侵害とも呼ばれるサプライ チェーン攻撃は、組織にソフトウェア サービスを提供するサードパーティ パートナーまたはベンダーを介してハッカーが企業のシステムに侵入するときに発生します。攻撃が発生する脆弱点がソフトウェア サプライ チェーンであるため、これはサプライ チェーン攻撃と呼ばれます。この種の攻撃は、範囲が非常に大規模であることが多く、検出するのが困難です。サイバー犯罪者は、一度の侵害で同時に何千もの被害者を侵害できるため、このようなソフトウェア サプライ チェーンをターゲットにすることがよくあります。
以前よりも多くのソフトウェア サプライヤーやベンダーが機密データにアクセスするようになったため、これらの攻撃のリスクはここ数年で増加しています。実際、2021 年のソフトウェア サプライ チェーン攻撃の数は前年の数字と比較して 2021 倍になったと主張する情報源は数多くあります。 XNUMX年XNUMX月、バイデン政権は ソフトウェアサプライチェーン攻撃を懸念分野として挙げた、この問題がいかに重要であるかを確認します。
ソフトウェア サプライ チェーン攻撃にはどのような種類がありますか?
他の組織にサービスを提供するソフトウェア会社は、サプライ チェーン ソフトウェア攻撃の潜在的なターゲットとなります。攻撃には、侵害されたソフトウェアが 1 つだけあれば、サプライ チェーン全体にマルウェアが拡散します。ハッカーは通常、セキュリティが不十分なソフトウェアや保護されていないネットワーク プロトコルを探し出し、ソフトウェアの構築または更新プロセスに侵入してマルウェアを隠します。脅威アクターは、サプライ チェーン攻撃を実行するために幅広い手法を使用する可能性があります。
ほとんどの場合、サプライ チェーン攻撃は組織のソフトウェア エコシステムに無制限にアクセスするために、正当なプロセスの背後に隠れています。通常、攻撃者はベンダーまたはソフトウェア サプライヤーのセキュリティ防御に侵入することから始めます。これらのベンダーの多くはサイバーセキュリティの実践が不十分であるため、これは通常、被害者を直接攻撃するよりも簡単です。
サプライ チェーン マルウェアがベンダーのソフトウェア エコシステムに挿入されると、デジタル署名された正当なプロセスに自身を接続する必要があります。攻撃者は多くの場合、ソフトウェア アップデートをエントリ ポイントとして利用して、ソフトウェア サプライ チェーン全体にマルウェアを拡散します。サプライ チェーン攻撃で使用される一般的な手法には次のようなものがあります。
侵害されたソフトウェア構築ツール
最新のソフトウェア アプリケーションを構築するプロセスは、物理的なサプライ チェーンと非常によく似ています。ほとんどの場合、アプリケーションは、さまざまなベンダーのさまざまな既製コンポーネントを使用して構築されます。これには、独自のコード、サードパーティ API、オープンソース コンポーネントなどが含まれます。最新のアプリケーションをゼロから構築することは不可能であるため、ほとんどのソフトウェア開発者は標準的な慣行としてこれらのさまざまなコンポーネントを単純に再利用します。
このプラグアンドプレイの実践は開発プロセスを加速しますが、セキュリティの脆弱性のリスクが生じます。その主なリスクはサプライ チェーン攻撃です。コンポーネント ソフトウェアが何らかの方法で侵害されると、そのコンポーネントを使用してアプリケーションが構築されている無数の組織が攻撃に対して脆弱になります。
盗まれたコード署名証明書、または盗まれた ID を使用して署名された悪意のあるアプリ
このタイプの攻撃では、ハッカーは企業の製品が正規で安全であることを確認する証明書を盗みます。この盗まれた証明書により、正規の企業の製品を装った悪意のあるコードを拡散することが可能になります。
中国政府の支援を受けるハッカー集団「ATP41」は、この攻撃方法を利用してサプライチェーン攻撃を行っている。 (盗んだコード署名証明書を使用して) 悪意のあるコードを正当なものに見せることで、攻撃対象のシステムのセキュリティ制御をすり抜けてコードを取得することができます。このタイプの攻撃は、検出が特に困難です。
署名された悪意のあるアプリの攻撃は、盗まれたコードの攻撃に似ています。この場合、攻撃者は、盗んだアプリの署名付き ID を使用して、侵害されたソフトウェアを正規のアプリとして偽装します。これにより、さまざまなセキュリティ対策をすり抜けて攻撃が行われる可能性があります。
ハードウェアまたはファームウェアコンポーネント内の侵害されたコード
すべてのデジタル デバイスはファームウェアに依存してスムーズに動作します。ほとんどの場合、このファームウェアは別の会社が保守しているサードパーティ製品です。ハッカーはファームウェアに悪意のあるコードを挿入し、これらのファームウェア コンポーネントを利用するデジタル デバイスのネットワークやシステムにアクセスできるようにする可能性があります。このタイプの攻撃は、これらのファームウェアを搭載したデジタル デバイスにバックドアを作成し、ハッカーが情報を盗み、さらに多くのマルウェアをインストールできるようにします。
プリインストールされたマルウェア
ハッカーは、電話、ユニバーサル シリアル バス (USB) カメラ、ドライブ、その他のデバイスなどのハードウェア デバイスに悪意のあるサプライ チェーン マルウェアを組み込むことがあります。これにより、感染したハードウェアが使用されているデバイスに接続されているシステムやネットワークを標的にすることが可能になります。
たとえば、USB ドライブを使用してキーロガーを運ぶことができ、そのキーロガーが大手小売会社のシステムに侵入する可能性があります。このキーロガーを使用すると、会社の顧客のキーストロークを記録することができ、ハッカーが支払いの詳細や顧客記録などの情報にアクセスできるようになります。
サプライチェーン攻撃から守るにはどうすればよいでしょうか?
サプライ チェーン攻撃はその性質上、これに対処するのが困難です。この種の攻撃は、企業がサプライヤーに対して抱いている信頼を利用して反撃します。これらの攻撃を防ぐことは困難ですが、その影響を軽減したりリスクを軽減したりするためにできることは次のとおりです。
インフラストラクチャを監査する
IT 部門によって承認または監督されていないソフトウェア (シャドー IT) の使用は、ビジネスがサプライ チェーン攻撃にさらされる要因の 1 つです。これらの攻撃を軽減する方法の 1 つは、組織内で使用されているすべてのソフトウェアの包括的な監査を実行することです。これにより、サプライ チェーンのハッカーが攻撃を開始するために利用できる脆弱性が明らかになる可能性があります。
すべてのソフトウェア資産の最新のインベントリを維持する
あなたが使用するすべてのサードパーティ製ソフトウェアは (どれほど安全に見えるかに関係なく)、潜在的な脆弱性を抱えています。すべてのサードパーティ ソフトウェアの最新のインベントリを保持することで、そのアップデート、アップグレード、セキュリティの問題をより適切に追跡できます。これは、潜在的な攻撃ポイントを絞り込み、必要なソリューションを展開するのにも役立ちます。
ベンダーを厳しく評価し、ゼロトラスト アプローチを適用する
サードパーティのツールを使用したり、新しいベンダーと提携したりする前に、そのツールの安全性を厳密に確認する必要があります。サプライ チェーン攻撃はほとんどの場合、ベンダーが標準的なセキュリティ慣行に従わないために発生します。リスク評価の取り組みの一環として、サプライチェーン攻撃への備えを判断するために、潜在的なベンダーに標準的なセキュリティ慣行の詳細を提供するよう依頼できます。まず、提携する予定のベンダーに SOC 2 タイプ レポートと ISO 27001 認証をリクエストします。また、購入前にセキュリティ レポートを確認し、製品の証明書を確認する必要があります。
デフォルトでは、新しいソフトウェアやユーザーを決して信頼しないでください。セキュリティ フレームワークを確認し、アクティビティや権限を制限してサービスを使用することに同意した後でも、ネットワーク上の新しいツールは脆弱性を軽減します。
セキュリティツールを使用する
ウイルス対策ツール、ファイアウォール、その他のセキュリティ ツールは、多くの場合、サプライ チェーン攻撃に対して効果がありませんが、コードの整合性を検証し、攻撃のリスクを軽減するのには役立ちます。たとえ攻撃の発生を阻止できなかったとしても、これらのツールは進行中の攻撃について警告することができます。たとえば、ファイアウォールは、マルウェアやランサムウェア攻撃の場合によくある、巨大なデータ ブロックがネットワーク上に送信されたときにそれを通知します。
エンドポイントを保護する
サプライ チェーンの攻撃者は、セキュリティが不十分なエンドポイントでソフトウェアの脆弱性を利用して攻撃を開始することがよくあります。エンドポイントの検出および応答システムを導入すると、マルウェアやランサムウェアからエンドポイントを保護できます。これにより、これらのエンドポイントを使用してネットワークの他の部分に攻撃を拡散することができなくなり、さらに拡大する前に攻撃を阻止できます。
強力なコード整合性ポリシーを導入する
アプリやコードの整合性を利用したサプライ チェーン攻撃は、厳格なルールに基づいてアプリのみを承認する強力なコード整合性ポリシーを導入することで阻止できます。これらのコード依存関係ポリシーは、疑わしいと思われるアプリや危険信号を発するアプリをブロックします。間違い電話や誤警報が発生する可能性もありますが、この方法でサプライチェーンのリスクを軽減することは、攻撃を受けるよりはまだ良いでしょう。フラグが付けられたアプリはさらに調査され、正当であることが判明した場合は承認されます。
インシデント対応計画を立てる
サプライチェーン攻撃の頻度が高まっていることを考慮すると、インシデント対応計画を作成して事前に準備しておくことが最善です。すべての組織は、運用を正常に保つために、侵害が発生した場合にミッションクリティカルなコンポーネントを保護する計画を立てる必要があります。また、侵害が発生した場合は常にパートナー、ベンダー、顧客に通知するための明確な対応およびコミュニケーション戦略を策定する必要があります。 IT チームは常に潜在的な攻撃に備えておく必要があります。適切なリスク管理計画には、潜在的な攻撃に対する準備状況を評価するために、チームで定期的にインシデント対応訓練を実施することが含まれます。
最近のサプライチェーン攻撃の例
サプライチェーン攻撃の効率性が、その蔓延を説明する主な要因です。この種の攻撃は、Target のような大企業から政府機関に至るまで、さまざまな組織に影響を与えます。過去 10 年間に、サプライチェーン攻撃の注目を集める事件がいくつかありました。最も注目すべきサプライ チェーン攻撃の例には次のようなものがあります。
-
SITA、2021年
2021年初め、航空輸送データ会社SITAは、マレーシア航空の乗客580,000万人以上の飛行記録が流出したとされるデータ侵害を経験した。
マイレージプログラム。同じデータ侵害は、ニュージーランドのフィンエアー航空や他の数社にも影響を及ぼしました。専門家らは、シンガポール航空がデータを共有しているスターアライアンスとして知られる企業を通じて攻撃されたとみている。その後、攻撃はサプライチェーン全体に広がりました。
-
パスワードの状態、2021
オーストラリアに本拠を置き、Passwordstate (パスワード管理ソリューション) の開発者である ClickStudios は、2021 年にサプライ チェーン攻撃を報告しました。この攻撃は、サードパーティの CDN でホストされているソフトウェア更新サービスを介して発生しました。このマルウェアは、攻撃時にソフトウェアを更新した顧客のデバイスに自動的にダウンロードされました。この悪意のあるソフトウェアは、顧客のデータベースに保存されているすべてのデータを復号化し、平文として攻撃者の外部サーバーに送信するように設計されていました。
-
依存関係の混乱 2021
これはサプライチェーン攻撃の広がりをテストするための意図的な攻撃でした。セキュリティ研究者の Alex Birsan は、Microsoft、Uber、Tesla、Apple などの企業のアプリケーションがエンドユーザーにサービスを提供するために使用する依存関係プロトコルを利用して、その企業のシステムに侵入しました。これらの依存関係により、ネットワーク上のさまざまな著名ユーザーに偽造データ パケットを送信することが可能になりました。
-
マイムキャスト、2021
Mimecast デジタル証明書の侵害により、2021 年に最も話題になったサプライ チェーン データ侵害の 365 つが発生しました。Microsoft 2020 Exchange Web サービス上の Mimecast のサービスの一部を認証するために使用されたデジタル証明書が侵害されました。調査の結果、このハッキングの背後にいるグループが 10 年の SolarWinds 攻撃にも関与していたことが明らかになりました。この攻撃は Mimecast の顧客の最大 XNUMX% に影響を与えました。
-
SolarWinds 攻撃、2020 年
これはおそらく、過去 18,000 年間で最も注目を集めたサプライチェーン攻撃事件です。外国の悪意のあるプレイヤーと思われるハッカーが、IT サービス プロバイダーである SolarWinds として知られるサードパーティ ベンダーを通じて複数の米国政府機関を攻撃しました。攻撃の影響を受けたソーラーウィンズの顧客XNUMX万XNUMX社には、エネルギー省、国家核安全保障局、米国国務省、商務省、財務省、国土省などXNUMXつの米国政府省庁が含まれている。安全。
-
ASUS、2018年
2018年、悪意のある攻撃によりASUSのライブアップデートソフトウェアが悪用され、600万台以上のコンピュータにバックドアマルウェアがインストールされました。このサプライ チェーン攻撃では、ハッカーは自動アップデート機能を利用して、ユーザーの PC にマルウェアを導入しました。このマルウェアは正規の ASUS セキュリティ証明書で署名されていたため、検出が困難でした。幸いなことに、ハッカーのリストはわずか XNUMX 人のユーザーに限定されており、そのリストに載っていない他の数千人のユーザーには大きな影響はありませんでした。
-
イベントストリーム、2018
2018 年のイベント ストリーム攻撃では、ハッカーが GitHub システム内のリポジトリにマルウェアを注入しました。 GitHub は何百万もの開発者のためのバックアップ サービスであったため、この攻撃により数人のユーザーが潜在的なマルウェア攻撃にさらされました。ただし、悪意のあるコードは、特に Copay ビットコイン ウォレットをターゲットにするようにプログラムされていました。マルウェアの影響を受けた Copay 開発者が攻撃中にリリース ビルド スクリプトを実行した場合、悪意のあるコードがアプリケーションにバンドルされ、少なくとも 1000 ビットコインを保持している Copway ユーザーの秘密キーとアカウント情報が収集されたでしょう。アカウント。
-
Equifax サプライ チェーン攻撃
世界最大のクレジット カード報告機関の 2018 つである Equifax は、147 年にサプライ チェーン攻撃に見舞われました。悪意のあるコードは、同社の Web サイト上のアプリの脆弱性を介して配信されました。この攻撃により、XNUMX 億 XNUMX 万人以上の Equifax 顧客が影響を受け、住所、社会保障番号、生年月日などの機密個人データが流出しました。
まとめ
この記事から理解すべきことが 1 つだけあるとすれば、それは次のとおりです。ソフトウェア サプライ チェーン攻撃は差し迫った脅威です。それについては疑いがない。
したがって、ベンダーの署名付き製品やアップデートは信頼できません。コードがすでに変更または追加されている可能性があります。では、システムが悪意のあるファイルに感染しないようにするにはどうすればよいでしょうか?各ライブラリ所有者またはプログラム ベンダーが完全な SBOM を提供していることを確認してください。SBOM について詳しくは、こちらをご覧ください。 こちら—そして、信頼できる証明書をリクエストすることで、ベンダーまたはライブラリの所有者から期待どおりのものを確実に取得できるようにします。