この数ヶ月で明るみなったFireEye / SolarWindsのセキュリティ侵害から何か学ぶべきことがあるとすれば、企業があまりにも長い間放置してきたサプライチェーンにおけるリスクに対する問題意識です。過去のWannaCryやNotPetyaでは、ランサムウェアの壊滅的な影響に対抗する手段として、オフラインのバックアップとリカバリに関するポリシーの見直しが余儀なくされました、さらには、ランサムウェアの攻撃者にとっても戦術の変更が余儀なくされました。同様に、最近のサイバーセキュリティ危機についても、前向きな対抗策が期待されます。
SolarWindsの侵害で出現した多数の新しいマルウェア(SUNBURST、SUPERNOVA、GoldMax、Sibot、GoldFinderなど)をきっかけに、すべての企業は、サプライチェーン攻撃ベクトルを真剣に意識する必要があります。
本ブログでは、サプライチェーン攻撃とは何か、どのような種類の脅威アクターが実行されているのか、さらにはどうすれば企業が効果的にリスクを軽減できるのか説明します。
サプライチェーン攻撃とは?
MITRE ATT&CKフレームワークでは、サプライチェーン攻撃を「最終消費者が、製品もしくは製品の配送手段を受け取る前に、敵対者が、データやシステムのセキュリティ侵害の目的のために操作する」方法であると定義されています。MITREでは、サプライチェーンの侵害の原因、影響、メカニズム、および防御戦略の構造的な分析を提供しています。
サプライチェーン攻撃は、サプライチェーンの次のような、すべての段階で発生する可能性があります。
- 開発ツールの操作
- 開発環境の操作
- ソースコードリポジトリの操作(パブリックまたはプライベート)
- オープンソースの依存関係におけるソースコードの操作
- ソフトウェアの更新/配布メカニズムの操作
- 侵害された/感染したシステムイメージ(工場で感染したリムーバブルメディアについて複数のケース)
- 正規のソフトウェアの変更されたバージョンへの置き換え
- 正規の販売業者への改変/偽造品の販売
- 出荷の禁止
APT攻撃の常套手段
サプライチェーン攻撃は、国家主導型サイバー攻撃でよく用いられる手法です。中国は長年にわたり米国のサプライチェーンを悪用して侵入し機密情報を窃取してきました。Microsoft Exchangeサーバーのゼロデイ攻撃は、中国を拠点とするAPT集団である Hafniumの仕業だったと考えられてます。無数の組織が依存しているサードパーティ製品が隙穴となっていました。
リトアニアとウクライナでの攻撃キャンペーンに対するロシアの関与に関する最近のニュースでは、これらの国々も、国家主導型サイバー攻撃におけるサプライチェーン攻撃の技術を習得していることを示しています。
北朝鮮のハッカーは、2017年から2020年にかけて、フランスの企業であるCentreonに対するハハッキング行為において、同様の手法で、同社のIT監視ソフトウェアを利用して攻撃対象のホストに侵入しました。
サプライチェーン攻撃の金銭的な動機付け
サプライチェーン攻撃を成功させるための行為の複雑性を考えると、それらは、国家主導型のAPT攻撃の一環だと思われがちです。しかしながら、同様な攻撃は、高度なサイバー犯罪者によって純粋に金銭的な利益を得るために行われることがあります。
儲かりそうな標的に対してセキュリティ侵害を行おうとしてるサイバー犯罪者は、最も手っ取り早い方法を模索しています。その中で、防御の厳しい組織に侵入するために、サプライチェーンを遡っていく場合があります。セキュリティメカニズムが弱く、防御が不十分な攻撃対象を特定し、そこから、選んだ標的に侵入するのです。
2013年に小売業者であるターゲットストアに対して行われたサプライチェーン攻撃は、このタイプの攻撃ベクトルに対する注目を集めることとなりました。これは違いなく、最も悪名高いサードパーティデータ窃取インシデントのひとつだと言えます。約4100万人の顧客のクレジットカード情報と約7000万人の顧客の個人情報が窃取されました。攻撃者は、小売業者のネットワークにアクセスした空調設備業者のログイン情報を窃取することで、同社のシステムを侵害したのです。
もちろん、ターゲットストアだけでなく、他の多くの企業でも、複数のクライアントにとってシステムの入り口として機能しているので、直接、もしくはサプライチェーンを通じてセキュリティ侵害が発生しています。2019年にITのアウトソーシングとコンサルティングの巨大企業であるWiproが侵害され、少なくとも十数社の顧客のシステムを標的とする攻撃の出発点として利用されました。
BlueVoyantに対してpinion Mattersが2020年6月に実施した調査によると、組織の80%がベンダーによって引き起こされたセキュリティ侵害を経験しています。サプライチェーンのリスクは、テクノロジー業界やデジタルプロバイダー業界に限定されません。英国の製造業界でPWCが実施した最近の調査によると、サプライチェーンリスクは大多数(63%)の回答者にとって大きな懸念事項となっています。
SolarWinds、Microsoftへのハッキング行為 – 広範囲に多大な影響
「従来型の」サプライチェーン攻撃と、金銭的に動機付けられた最近のSolarWindsやMicrosoftへのハッキング行為と比較すると、洗練性と戦術の両面で、攻撃者がゲームをまったく新しい次元に引き上げたことは明らかです。
「従来の」サプライチェーン攻撃は、より間接的なリンクを介して企業に攻撃を仕掛けましたが、ほとんどが直接的な方法で行われました。通常は、資格情報を取得して企業に接続しますが、(感染したUSBドライブを利用したStuxnetサイバー攻撃の場合のように)感染したデバイスをベンダーから最終的な標的に物理的に接続することさえありました。
最近の攻撃はさらに深化しています。巨大な拠点ネットワークを持つベンダーを特定し、多額な投資を行って(Microsoftでは、SolarWindsの侵害で使用されたマルウェアの開発には、1,000人のソフトウェアエンジニアが取り組んでいたと推定しています)、一斉に数千人の犠牲者に対してアクセスを行います。攻撃者の目的によっては、単なる巻き添え被害となる場合とそうでない場合があります。このように信頼性の高いベンダーが危険に晒されるとなると、十分なステルス性さえあれば、脅威アクターは数か月から数年も自由に活動できるようになります。
サプライチェーン攻撃を軽減する方法とは?
最近公開されたNISTイニシアチブの「サイバーサプライチェーンリスク管理のキープラクティス:業界からの観察」など、サプライチェーンリスクを処理するためのフレームワークはいくつかありますが、Microsoft、FireEye、SolarWindsなど信頼できるベンダーでさえこれらを正しく行うことができないとなると、リソースがはるかに少ない組織にはどのような救いがあるのでしょうか?
最近のインシデントで示されているように、サプライチェーンの複雑さと、組織におけるすべての依存関係に対する可視性の欠如が重要なリスク要因です。例として、ソフトウェアベンダーのAccellionの場合を考えてみましょう。FTAアプリケーション(かつては大きいサイズのファイルの保存と共有で人気があったレガシー製品)は、ベンダーでは入れ替えらていましたが、多くのクライアントでは入れ替えられていませんでした。FTAは、Singtel、オーストラリアの医学研究機関であるQIMR Berghofer、ワシントン州の監査人、ニュージーランド準備銀行、オーストラリア証券投資委員会、コロラド大学、Qualysなどの組織をハッキングするために使用されました。
同様に、中国のハッカーは、最初に出荷されたMicrosoft Exchangeサーバー製品の脆弱性を悪用することに成功しています。恐らく2013年までは、その脆弱性は、一部の組織では静かに忘れられていました。Windowsデバイスの保護を目的としているWindowsDefenderでは、12年間も発見されなかった特権エスカレーションの脆弱が最近になって発見されています。そして、恐らく他にもそのような脆弱性が多くあり、現在でもITWの悪用が発生しており、それらの結果は、将来、いつかの時点になれば、きっと明らかになることでしょう。
では、今、何ができるのでしょうか?組織がベンダーのソースコードを確認し、そのような脆弱性を自ら特定することなど期待できません。ただし、サイバーサプライチェーンのベストプラクティスに関連する別のNISTガイダンスを採用することはできます。それは、「システムは必ずいつかは侵害されるという原則に基づいて防御を行う」ことです。
ソフトウェアのサプライチェーン攻撃の被害者にならないようにするための基本原則は、攻撃者による攻撃の検知の信頼性に対する評判に依存しないセキュリティソフトウェアを利用することです。
そのため、ホワイトリストに大きく依存しているセキュリティソリューションを避けるか、ソースが「信頼できる」かどうかに関係なく、マシン速度で新しい脅威を認識できる最新の自律型AIソリューションに入れ替えることが推奨されます。SentinelOne Singularityは、従来のアンチウイルスのようにシグネチャに依存して悪意のある攻撃を特定するのではなく、静的な機械学習分析と動的な振る舞い分析の両方を組み合わせることで、「信頼できる」ソースから発信されたもので、実際にはサプライチェーンのどこかで侵害された可能性がある場合も含めてシステムを攻撃から保護します。
結論
この数ヶ月のサプライチェーン攻撃は、セキュリティコミュニティに大きな打撃を与えました。サプライチェーン攻撃が引き起こす可能性のある影響範囲と潜在的な損害は、無視するには大きすぎます。サプライチェーンのセキュリティに関するバイデン大統領の大統領命令は、SolarWindsの攻撃が公的および民間組織に与えた影響が深刻であることの最も明白な証拠です。しかし、大統領命令とその後の対策が徐々に効果を発揮し、サプライチェーンセキュリティの状態が改善されるかどうかは、ごく一部の組織のみが「様子見」でいられるせめぎ合いの状態です。
各企業がそれぞれの対策を整える必要があります。サイバーセキュリティ要件を確認して、サプライチェーンの依存関係を可視化し、自社のサプライチェーンの奥深くから始まる次なるセキュリティ侵害を特定して封じ込めることができる最新のXDRプラットフォームの導入から始めるべきでしょう。
SentinelOneがもたらす効果についてや、SUNBURSTに関連するその他のリソースについては、こちらをご覧ください。詳細については、こちらからお問い合わせください。また無償の製品デモはこちらお問い合わせください。