サプライチェーンの進化に伴い、新しくそして危険な脆弱性が出現しています。それらが何であるか、そしてそれらからどのように保護するかについてより明確な考えを得るために、ウィズセキュアの研究開発マネージャーであるNeeraj Singh（ニーラジ・シン）は、私たち自身とお互いの安全を守る方法について専門家の意見を述べてもらいました。

これまでの10年間は、サプライチェーンの自動化の導入・実装が中心でした。そしてここ数年では、組織は IT インフラ、決済システム、ウェブアプリケーション、クラウドサービス、データストレージなど、さまざまな目的の管理ツールを提供するソフトウェアへの依存度を高めています。その結果、組織は現在、業務の運営と自動化をこれらのプロバイダーに依存しています。

ほとんどの組織では、自社のソフトウェアサプライチェーンをまったく把握していません。そして、円滑な運営を行うため、組織はビジネスの一部をアウトソーシングすることが多くなっています。その結果、インフラを管理する権限をサードパーティのソフトウェアに依存しているのです。

場合によっては、このサードパーティソフトウェアが保存データへの無制限のアクセスを取得することもあります。組織自体は強固なセキュリティ体制を敷いているかもしれませんが、アウトソーシングと、サードパーティ製ツールやソフトウェアの使用、そしてサードパーティ製ソフトウェアへのアクセス権提供への依存によって、セキュリティに関しては弱点となっていると思います。

そのためには、脆弱性を3つの分類に分けた方がわかりやすいかもしれない。

1.ソフトウェアの搾取

最も有名な例は、MSPサービスを提供するソフトウェアの悪用です。SolarWinds や Kaseya のケースでは、ソフトウェアが悪用され、バックドアやランサムウェアが配信されたことが確認されています。よく知られたソフトウェアを悪用することは、攻撃者にとって、通常であれば侵入が困難な組織内にバックドアを仕掛ける機会となります。

2. 盗まれたデータ、認証情報、証明書

MEDOCの悪用は、盗まれた認証情報を介してソフトウェアが悪用された例です。この脅威者は、アップデートサーバーを C＆C サーバーに操作し、破壊的なランサムウェア「NotPetya」をシステムに送り込みました。

盗まれた認証情報ベースの攻撃のもう1つの例は、システムクリーンアップソフトウェア CCcleaner の汚染でした。盗まれた認証情報は、システムの TeamViewer リモートデスクトップへのログインに使用され、その後、横方向に移動してカスタムマルウェアをインストールするために使用されました。

3. ウェブベースの攻撃

もう1つの例は、2018年に発生したウェブベースの Megacart 攻撃で、侵害されたウェブサーバーからロードされたカスタマイズされたJavaScript とデジタルカードスキマーを利用しました。

ある組織は何百もの信頼できるベンダーと取引している可能性があり、これらのベンダーの脆弱性はソフトウェアからウェブサイトまで様々です。つまり、マルウェアやバックドア、情報窃取やランサムウェアなど、影響もさまざまだ。これらの侵害の中には、特定の国や組織を標的にしたものもある。MEDOC はウクライナで人気がありましたが、ShadowHammer のケースでは特定のMACアドレスを標的にしました。  

サプライチェーンへの攻撃は過去にかなりの影響を及ぼしており、侵入を試みられた場合は深刻に受け止める必要があります。ひとたび攻撃者がマルウェアやバックドアを特権を持つシステムに仕込むことに成功すれば、その影響は計り知れません。

手始めに、サプライヤーを注意深く吟味し、そのセキュリティ態勢を調査します。そして、これらのサプライヤーと、定義されたベスト・プラクティスについて話し合い、実施します。組織はまた、サードパーティベンダーに与えている権限や特権を定期的に見直す必要があります。

また、サプライヤーの安全性のみに依存することはできません。したがって、攻撃に対する検出や対応など、独自の防御策を講じることが最善です。

また、サプライチェーンへの攻撃をシミュレートするレッドチーム演習を定期的に実施することで、現在の暴露状況や防御の抜け穴をよく理解することもできる。また、模擬攻撃は、将来起こりうる攻撃を軽減できる計画を準備するためにも利用できる。 

あなたは問題の一部ですか？https://www.withsecure.com/jp-ja/expertise/resources/am-i-part-of-the-problem。

さて、ここまで述べてきたことは、サプライチェーンにおける検知と予防が難しいことを浮き彫りにしています。サプライチェーン攻撃を予測するには、ソフトウェア開発や流通のパイプラインがどのように侵害されるか、あるいは被害者が侵害されたソフトウェアをいつ使用しているかを理解する必要があります。

機械学習モデルは、信頼されたアプリケーションからの通常とは異なる動作（通常とは異なる、または疑わしいネットワーク接続への接続、通常アクセスされないファイルへのアクセス、通常とは異なるプロセスの起動や通常とは異なるDLLのロードなど）にフラグを立てるのに役立ちます。

積極的な保護のために、サードパーティに提供されるアカウントには、常に役割ベースのアクセス制御が施され、必要な権限と特権のみが割り当てられていることを確認します。ソフトウェアやアップデートのインストール時には、データの整合性チェックを使用し、新しいソフトウェアやアップデートが許可されていないソフトウェアの実行を許可しないようにする。

また、社内のコード開発については、ソフトウェア構成分析（SCA）ツールの使用を推奨する。SCAツールは、悪意のあるオープンソースパッケージを検出し、脆弱なライブラリが開発者によって使用された場合に警告を発することができるからである。これらの提案は包括的なものであるが、サプライチェーン攻撃に対する特効薬と考えるべきではありません。

サプライチェーン攻撃は今後も続きます。サプライチェーン攻撃は、常に組織に対する潜在的な攻撃ベクトルです。Covid-19の大流行により、組織はオンプレミスのソリューションではなく、クラウドベースのソリューションに移行しつつある。この新しい働き方によって、より多くのサードパーティ・ベンダーが含まれるようになり、攻撃者にとって好機が広がっている。

ハードウェアやIoTベースのサプライチェーン攻撃はまれですが、検知や軽減が難しいため、このような攻撃が増加する可能性があると思います。このような攻撃は、ソフトウェアベースの攻撃と同様に破壊的である可能性があるため、安全であるに越したことはありません。

当社のポートフォリオが脆弱性管理のために何ができるかは、こちらをご覧ください： Elements Vulnerability Management

画像クレジット - Lianhao Qu, Unsplash