サプライチェーン攻撃の定義と種類
サプライチェーン攻撃とは、攻撃者が被害組織を直接標的にするのではなく、被害者が信頼するベンダー、ソフトウェアサプライヤー、またはサービスプロバイダーを通じて攻撃する手法です。攻撃者はその「信頼できるサードパーティ」を侵害し、その信頼関係を利用して最終的な標的に侵入します。
主要なサプライチェーン攻撃の種類:
ソフトウェアアップデートポイズニング
攻撃者はベンダーのビルドパイプラインを侵害し、正規のソフトウェアアップデートに悪意あるコードを注入します。アップデートはベンダーのデジタル署名を持つため、セキュリティツールは通常それをブロックしません。
オープンソースパッケージポイズニング
攻撃者は npm、PyPI、RubyGems などのレジストリに悪意あるパッケージをアップロードしたり、「依存関係混乱(Dependency Confusion)」攻撃を使用して組織が悪意あるバージョンを自動的にダウンロードするよう仕向けます。
信頼できるサービスプロバイダーの侵害
IT アウトソーサー、システムインテグレーター、またはクラウドサービスプロバイダーを侵害し、それらのベンダーの正規のアクセス権を使用してすべての顧客に侵入します。MSP(マネージドサービスプロバイダー)は主要な標的です。
3 つの主要なサプライチェーン攻撃事例の分析
SolarWinds Orion (2020)
Nation-State APT
ロシアの APT29(Cozy Bear)が SolarWinds のソフトウェアビルド環境を侵害し、Orion プラットフォームのアップデート(DLL ファイル)に SUNBURST と呼ばれるバックドアを埋め込みました。アップデートが正規のデジタル署名を持っていたため、18,000 以上の組織が汚染されたアップデートをインストールしました — 被害者には米国財務省、商務省、NASA、数十の Fortune 500 企業が含まれます。攻撃者は 9 ヶ月間発見されることなく潜伏し、その間データを窃取し続けました。
3CX Desktop App (2023)
Double Supply Chain
北朝鮮の Lazarus グループはまず金融ソフトウェア会社(Trading Technologies)を侵害し、その感染パッケージを使用してさらに 3CX のビルド環境を侵害し、3CX デスクトップ通信ソフトウェアのアップデートを汚染しました。これは歴史上初めて公式に確認された「サプライチェーンの中のサプライチェーン」攻撃で、世界中の 60 万以上のビジネスユーザーに影響を与えました。
XZ Utils Backdoor (2024)
Open Source
攻撃者「JiaT75」は xz/liblzma 圧縮ライブラリの活発なコントリビューターを装い、2 年間をかけて信頼を構築してメンテナー権限を獲得し、最終的に公式リリースに SSH バックドアを埋め込みました。Microsoft のエンジニアによって偶然発見されなければ、このバックドアは世界中の Linux サーバーに広く展開されていた可能性があります。この事件はオープンソースソフトウェアサプライチェーンの脆弱性を深く露呈しました。
台湾固有のサプライチェーンリスク
台湾はグローバルサプライチェーンにおいて独自の地位を占めています — 半導体製造、PCB 生産、電子部品製造はすべてグローバルに重要です。これにより、台湾組織はサプライチェーン攻撃の非常に魅力的な踏み台となっています:台湾の半導体ファブを一つ侵害するだけで、世界のトップテクノロジー企業への扉が開く可能性があります。
台湾固有のサプライチェーンリスク要因:
- 密な IT アウトソーシング文化: 多くの中小製造業者は IT メンテナンスを地元の IT 企業に完全アウトソーシングしており、これらの企業は同時に数十のクライアントにサービスを提供していることが多く、セキュリティ管理の質はばらつきが大きいです。
- 機器ベンダーのリモートアクセス: 日本、米国、欧州の機器ベンダーは工場設備への継続的なリモートアクセスを要求しており、これらの接続は厳格に管理されていないことが多いです。
- 中国サプライチェーンの露出: 台湾企業と中国本土ベンダーとの深い商業的関係は、潜在的なサプライチェーン介入リスクをもたらします。
- 高まる顧客要件: TSMC や Foxconn などの台湾の主要企業は、サプライヤーに対してセキュリティ認証の取得を段階的に要求しており、サプライチェーン全体のセキュリティ意識を高めています。
SBOM:サプライチェーン透明性の基盤としての ソフトウェア部品表
SBOM(ソフトウェア部品表)は、ソフトウェア内のすべてのコンポーネント、依存関係、およびそのバージョンの詳細なリストで、食品ラベルの成分表示に例えられます。SolarWinds 事件を受けて、SBOM はグローバルなサプライチェーンセキュリティ管理のコアツールとなっています。
SBOM の実践的な用途:
- 新しい脆弱性(Log4Shell など)が公開された際、影響を受けるコンポーネントを使用している製品を即座に特定できます。
- ソフトウェア調達時に、デューデリジェンスの一環としてベンダーに SBOM の提供を要求します。
- 既知の脆弱性を持つ古いオープンソースパッケージの使用を特定します。
- 米国 EO 14028 や EU の CRA(サイバーレジリエンス法)などの規制要件を満たします。
主流の SBOM フォーマットには SPDX(Linux Foundation)と CycloneDX(OWASP)があります。組織は Syft や Grype などのオープンソースツールを使用して自社ソフトウェアの SBOM を生成し、サプライヤーに対して製品の SBOM 提供を要求することができます。
サードパーティリスク評価フレームワーク
組織は、一回限りのアンケートに依存するのではなく、体系的なサードパーティリスク評価(TPRA)プロセスを確立する必要があります。Hexion が推奨する評価フレームワークは 3 つの次元をカバーします:
固有リスク
サプライヤーがアクセスするデータの機密性、システムアクセスの深さ、および置き換えの困難さを評価します。高リスクサプライヤーにはより厳格な評価が必要です。
制御の有効性
ISO 27001 や SOC 2 などの認証と実際のペネトレーションテストレポートを含む、サプライヤーが実際に実施しているセキュリティ制御を検証します。
残存リスク
残存リスクが許容できるかを評価し、追加の契約上のセキュリティ要件または技術的補完制御が必要かどうかを判断します。
技術的防御措置
リスク評価に加えて、組織はサプライチェーン攻撃の被害範囲を制限するための具体的な技術的制御を導入する必要があります:
- 最小権限アクセス: ベンダーのリモートアクセスは必要最小限のスコープに制限し、PAM(特権アクセス管理)システムで細かく管理して、すべてのアクセスに承認と記録を要求します。
- ネットワーク分離: ベンダーアクセスは内部ネットワークに直接入るのではなく、専用の DMZ または ZTNA(ゼロトラストネットワークアクセス)チャネルを経由する必要があります。
- エンドポイント検出(EDR): すべてのエンドポイントに EDR を導入し、ソフトウェアアップデートのインストール後の異常行動を継続的に監視します。
- ソフトウェア署名検証: ソフトウェアアップデートを展開する際、デジタル署名の検証に加えて、ベンダーのアナウンスメントとハッシュ値を比較してアップデートが改ざんされていないことを確認します。
- ネットワーク行動監視: NGFW アプリケーション行動監視は、通常のビジネストラフィックに潜む C2 通信を、隠蔽された HTTPS ベースのチャネルも含めて識別できます。
ASSESSMENT CHECKLIST
サプライチェーンセキュリティ評価チェックリスト(10 項目)
- サプライヤーは ISO 27001 または SOC 2 Type II 認証を保有していますか?
- 過去 1 年以内のペネトレーションテストレポートを提供できますか?
- ソフトウェア製品に SBOM(ソフトウェア部品表)が含まれていますか?
- ベンダーのリモートアクセスは MFA を使用していますか?アクセスログは完全に保持されていますか?
- 明確な脆弱性開示とパッチリリースポリシー(パッチ SLA)がありますか?
- ソフトウェアビルドパイプライン(CI/CD パイプライン)にセキュリティ監査メカニズムがありますか?
- 従業員はソーシャルエンジニアリング攻撃に対する定期的なトレーニングを受けていますか?
- 明確なクライアント通知義務を含むインシデント対応計画がありますか?
- 下流サプライヤー(フォースパーティリスク)もセキュリティ管理に含まれていますか?
- 契約にはセキュリティ要件、監査権、違反責任条項が含まれていますか?
サプライチェーン攻撃
SolarWinds
SBOM
サードパーティリスク
APT
脅威インテリジェンス
専門的なセキュリティアドバイスが必要ですか?
お客様の組織に合わせたセキュリティ評価とソリューションについて、Hexion Networks にお問い合わせください。
