orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。



「情報セキュリティ10大脅威 2019」に初登場したサプライチェーン攻撃とは何か

f:id:orangeitems:20190130151918j:plain

 

「情報セキュリティ10大脅威 2019」の発表

本日、「情報セキュリティ10大脅威 2019」という記事がIPAから発表されています。

 

f:id:orangeitems:20190130140338p:plain

 

この情報については情報処理安全確保支援士の研修の中でも題材に必ず挙げられます。セキュリティー攻撃のトレンドについては常に最新の情報を身につけておかないと、対策の優先順位が現実とそぐわなくなるためです。

さて、特に注目すべき点として、「組織4位 サプライチェーンの弱点を悪用した攻撃の高まり」という項目があります。こちらは今年初めてライクインした項目であり、内容を理解する必要があります。今回はこのサプライチェーン攻撃に注目しておきたいと思います。

 

サプライチェーン攻撃とは

サプライチェーンと言えば、普通は物流の世界において、製品やサービスが原料の段階から消費者に届くまでのつながりのこと、という認識が一般的かと思います。それは全く誤りではないのですがコンピューターセキュリティーの世界では事情が違います。

企業はサーバーやクライアント端末などを大規模に取り扱いますが、その中身であるソフトウェアは外部ベンダーによって提供されています。外部ベンダーは製品、アップデート、パッチなどを企業に提供します。攻撃者は外部ベンダーのネットワークに侵入しこれらのプログラムに不正を埋め込むのです。企業は外部ベンダーのことを基本的に信用していますから、外部ベンダーの提供物に不正が埋め込まれていても、企業の防御をすり抜けてしまうのです。企業から見て、ソフトウェアのサプライ(供給)先から攻撃が来ることをサプライチェーン攻撃と呼んでいます。

 

サプライチェーン攻撃の実例

スーパーマイクロのマザーボードへのチップ埋め込み疑惑

この件は、米ブルームバーグがスクープした記事ですが、各企業がその事実を否定しています。内容としては、アマゾンやアップルなどが利用するスーパーマイクロ社のサーバーは中国で製造が行われるのですが、そのマザーボードにハッキング用のマイクロチップが埋め込まれているという話です。

 

www.bloomberg.co.jp

 

本件は証拠がなく、うやむやになってしまった件ですが、理論上中国が介在する形でサプライチェーン攻撃が成り立ってしまうという話で当時騒ぎになったニュースでした。

 

ファーウェイの余計なもの疑惑

こちらも、FNNが報道した、「与党関係者の証言で、ファーウェイ製品を分解したら、ハードウェアに余計なものが見つかった」という報道の件です。

 

www.itmedia.co.jp

 FNN PRIMEが7日、与党関係者の証言から「製品を分解したところ、ハードウェアに余計なものが見つかった」と報じた。また、日本経済新聞が12日、セキュリティ専門家へのインタビュー記事の中で「(これまでにHuawei製品では)仕様書にないポートが見つかった例がある」としていた。

 

ファーウェイは事実無根を主張していて、証拠もなくこの件もうやむやなままです。ただし、日本においてもサプライチェーン攻撃が話題になったのが新鮮でした。

 

CCleanerを踏み台にしたマルウェア混入

こちらは2017年の件ですが、サプライチェーン攻撃を一躍有名にした事件です。

 

gigazine.net

2017年8月から9月にかけて、PC最適化ツール「CCleaner」にマルウェアが混入された状態で配布され、IntelやMicrosoft、ソニー、富士通など世界の大企業に標的型攻撃が実行されるという出来事が発生しました。この件について、CClearnerの開発元を買収していたセキュリティ関連企業Avastが調査結果を2018年4月17日に公開し、ハッカーはリモートログインサービス「TeamViewer」を使って事件の5カ月前にサーバーに侵入してバックドアを作っていたことなどを明らかにしています。

(中略)

今回の攻撃ではマルウェアが正規のダウンロードサーバーで配布されており、配布元のPiriformに対する「サプライチェーン攻撃」であったことから、各企業は自社内だけでなくサプライチェーンのセキュリティ対策をも行う必要があるとしています。

 

業務委託先から攻撃がやってくるケース

特にIT業界ならありがちです。自社ではガッチガチにセキュリティーを固めているけれども、一部業務を外部委託していたらそこから脆弱性が持ち込まれてしまったというケースです。

 

japan.zdnet.com

情報処理推進機構(IPA)は3月26日、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」の報告書を発表した。ITに関する業務委託では、委託元企業が委託先に対するセキュリティをあまり重視していないことが分かった。

 調査は、ITシステムやサービスを提供する620社とユーザー499社に対するアンケートや、52件のセキュリティインシデントに関する文献、有識者を含むインタビューを2017年10月~2018年2月に行ったもの。IPAでは「ITサプライチェーン」を、ITシステムやサービスに関する業務を外部委託し、その委託が連鎖する形態と定義している。

 

複数のベンダーで一つのプロジェクトをこなすケースもふくめ、IT業界に閉じた形でサプライチェーンがあります。一部の企業のセキュリティー意識の低さが、全体を崩壊させるトリガーになりますので注意が必要だと思います。

 

まとめ

オンラインである限り、どんなに防御網を構築してもその「許可されたつながり」を通じて攻撃される可能性は完全にゼロにはできません。

入られないようにすることと同時に、入られたことがわかる、ということも大事です。入られてからの時間が短ければ短いほど、被害をより最小化することができます。

防御網をかいくぐるような未知の攻撃に備えて、入られることを前提に、セキュリティーを考えていかなければならないと思います。