ソフトウェア・サプライチェーン攻撃：攻撃ベクトル、例、6つの防御策

ソフトウェア・サプライチェーン攻撃とは何か？

ソフトウェアサプライチェーン攻撃は、ソフトウェア供給ネットワークにおける安全性の低い要素を標的とする。これらの攻撃は、サプライヤーと顧客の信頼関係を悪用し、エンドユーザーに届く前にソフトウェアやハードウェアを危険にさらすことを狙います。サプライチェーンのどの段階にも侵入することで、攻撃者は機密システムやデータに不正にアクセスします。

ソフトウェアのサプライチェーンは、その複雑さと相互接続性から、魅力的な標的となっている。組織が様々なコンポーネントやサービスをサードパーティのサプライヤーに依存することが多いため、悪用される可能性が高まります。このような攻撃は、複数の事業体に影響を及ぼし、広範囲に及ぶ可能性があります。

推奨図書​：サイバー脅威インテリジェンスの4つのタイプと効果的な使い方。

ソフトウェア・サプライチェーン攻撃はどのように機能するのか？

攻撃者はまず、サプライチェーン内の脆弱性を特定する。これには、セキュリティ対策があまり厳しくないサードパーティー・ベンダーを標的にすることも考えられる。脆弱なリンクが侵害されると、攻撃者はエンドユーザーに提供されるソフトウェアやハードウェアに悪意のあるコードを注入することができる。

汚染された製品は、正規の製品に見せかけ、サプライチェーンを経由し、標的のインフラ内に配備される。侵害が発見された時点で、攻撃者はすでに目的を達成している可能性があります。その目的には、データの窃盗、システムの混乱、将来の攻撃のための基礎固めなどが含まれます。

ソフトウェア・サプライチェーン攻撃における攻撃ベクトル

攻撃者は以下の脆弱性を悪用して、ソフトウェアのサプライチェーンを攻撃することができる。

セキュリティ上問題のある依存関係

サードパーティの依存関係は、ソフトウェア開発では一般的なものだが、リスクをもたらす可能性がある。依存関係が侵害された場合、その依存関係に依存するソフトウェアが脆弱性を継承する可能性がある。攻撃者は、広く使われているライブラリやコンポーネントに悪意のあるコードを挿入することで、これを悪用することができる。

既知の脆弱性について依存関係を監視することは、特にソフトウェア・エコシステムが広範囲に及ぶ場合には困難である。攻撃者は、マルウェアを複数のシステムに効果的に拡散させるために、これらの領域における見落としを当てにしています。ソフトウェア部品表（Software Bill of Materials：SBOM）を常にチェックし、二次的な依存関係のリストをリスク・レジスタに登録し、公表されている脆弱性やパッチを追跡できるようにしてください。

CI/CDパイプラインにおける脆弱性

継続的インテグレーション／継続的デプロイメント（CI/CD）パイプラインは、ソフトウェアのデリバリーを自動化するが、弱点となる可能性がある。攻撃者がCI/CDパイプラインにアクセスした場合、デプロイされるソフトウェアを変更し、製品に直接マルウェアを注入することができます。

CI/CDパイプラインのセキュリティ確保には、堅牢なアクセス制御と、脆弱性を特定し修正するための定期的なセキュリティ監査が必要である。これを怠ると、危殆化したソフトウェアが配布され、多数のユーザーに影響を与える可能性がある。

内部脅威

インサイダーの脅威は、悪意のある目的のためにアクセス権を悪用する従業員やパートナーからもたらされる。信頼されたステータスを活用することで、内部関係者は脆弱性や悪意のあるコードを直ちに検出することなく導入することができます。

インサイダーの脅威を軽減するには、包括的なアクセス管理、継続的な監視、最小権限の原則の実行が必要である。それでもなお、人的要因を完全にコントロールすることは依然として困難な要素である。

中間者攻撃 (MitM)

MitM攻撃では、攻撃者は2者間の正当な通信を傍受する。ソフトウェアのサプライチェーンでは、送信中のコードを改ざんしたり、システムのアップデートを傍受して悪意のあるバージョンに置き換えたりすることが含まれる。

予防策としては、暗号化、安全な伝送プロトコル、完全性チェックなどがある。しかし、攻撃者は絶えず通信を傍受または妨害する新しい方法を開発しているため、警戒が必要である。

関連コンテンツガイドを読む脅威ハンティング

最近のサプライチェーン攻撃の例

ここでは、ソフトウェア・サプライ・チェーンに対する著名な攻撃の例をいくつか紹介する。

Okta・サプライチェーン攻撃

2023年10月、IDおよび認証管理サービスのプロバイダーとして知られるOktaは、脅威者が個人顧客データにアクセスするセキュリティ侵害を報告した。この侵害は、Oktaの顧客サポート管理システムに対する漏洩した認証情報を介して発生し、最近のサポートケースで特定の顧客がアップロードしたファイルへの不正アクセスが可能になりました。

この事件は、Oktaの広範なアクセスと機密性の高い機能により、Oktaが脅威行為者の格好の標的であることを浮き彫りにし、サプライチェーンを通じてOktaの顧客に対するより広範な影響について懸念を抱かせました。

JetBrains サプライチェーン・アタック

継続的インテグレーション/継続的デプロイメント（CI/CD）に広く使用されている JetBrains TeamCity サーバーの重大な脆弱性が攻撃者に悪用され、サプライチェーン攻撃が容易になる可能性があった。政府当局は、ロシア対外情報庁（SVR）に関連するロシアの脅威アクター、Cozy Bearによるこの重大な認証バイパス脆弱性の悪用について警告していた。

この欠陥により、HTTP(S) アクセスを持つ認証されていない攻撃者がリモートでコードを実行し、影響を受けるサーバーの管理制御を得ることが可能となる。TeamCity サーバーは大規模なソフトウェア企業で広く使用されているため、広範囲に影響を及ぼすリスクが高まっていました。

MOVEit サプライチェーンアタック

MOVEitサプライチェーン攻撃は、機密ファイルを安全に転送するツールであるMOVEit Transferのユーザーを標的とし、BBC、ブリティッシュ・エアウェイズ、エアリンガスなどの著名企業を含む620以上の組織に影響を与えた。スタッフの住所やIDなど、個人を特定できる情報（PII）が漏洩した。

ランサムウェアグループCl0pはこの攻撃に関連しており、重大な脆弱性を悪用して大きな被害をもたらした。この攻撃は、多数の個人のセキュリティとプライバシーに対するサプライチェーン攻撃の広範な範囲と深刻な結果を浮き彫りにした。

3CXサプライチェーンアタック

3CXのサプライチェーン攻撃は、VoIPデスクトップクライアントである3CXのソフトウェアサプライチェーンを標的とし、悪意を持って改ざんされたバージョンのソフトウェアを配布しました。これらの改ざんされたバージョンには悪意のあるライブラリファイルが含まれており、コマンドと制御命令を含む暗号化されたファイルを実行し、ダウンロードしました。

注目すべきは、悪意のあるアプリが有効な3CX証明書で署名され、3CXの公式サーバーから配布されていたことで、同社のビルド環境が侵害されたことを示しています。この攻撃は、侵害されたソフトウェアが正当なものであったため、特に憂慮すべきものでした。

ソフトウェア・サプライチェーンの攻撃を防ぐ6つの方法

ここでは、ソフトウェアのサプライチェーンを保護するための重要な対策を紹介する。

1.開発環境の確保

開発環境のセキュリティを確保することは、サプライチェーンの攻撃から守るための基本である。これには、開発ツールやリソースへのアクセスを許可された担当者のみに制限すること、強力な認証方法を使用すること、静止時および転送時に機密データを暗号化することなどが含まれる。また、開発ツールや開発環境を定期的に更新し、パッチを適用することで、既知の脆弱性の悪用を防ぐことができる。

2.ビルド・パイプラインの確保

ビルドパイプラインを保護することは、ビルドプロセス中にソフトウェアが不正に変更されるのを防ぐために不可欠である。CI/CDパイプライン内に厳密なアクセス制御、監査ツール、プロセスを導入することで、不正な変更を検出し、防止することができる。さらに、ソフトウエアの成果物に署名し、再現可能なビルドを使用することで、提供されるソフトウエアの完全性と真正性を確保することができる。ビルドパイプラインの定期的なセキュリティ評価によって、潜在的な脆弱性を特定し、修正することもできる。

3.サードパーティのコンポーネントを吟味する

サードパーティコンポーネントをソフトウェアプロジェクトに組み込む前に、徹底的なセ キュリティ評価を実施することが極めて重要である。この審査プロセスには、サードパーティベンダーのセキュリ ティ態勢のレビュー、既知の脆弱性に関するコンポーネントのスキャン、コンポーネン トのアップデートとパッチ管理のプロセスの理解などが含まれる。サードパーティ製コンポーネントを定期的にレビューし、更新するためのプロトコルを確立することは、時間の経過とともに出現する脆弱性に関連するリスクを軽減するのに役立つ。

4.ソフトウェア構成分析（SCA）ツールの活用

ソフトウェア構成分析（SCA）ツールは、オープンソースのライブラリ、フレームワーク、その他のサードパーティコンポーネントを含む、開発で使用されるソフトウェアコンポーネントの包括的な分析を提供します。これらのツールは、ソフトウェアのコードベースをスキャンして、各コンポーネントとそのバージョンを特定し、カタログ化し、脆弱性データベースと相互参照することで機能する。ほとんどのSCAツールは、特定された脆弱性に対する修正ガイダンスも提供する。

5.ソフトウェア部品表（SBOM）の実装

SBOM は、オープンソースやプロプライエタリの要素を含め、ソフトウェアで使用されるすべてのコンポーネントの包括的なインベントリを提供する。SBOM を導入することで、組織はソフトウェア内のコンポーネントを理解しやすくなり、脆弱性の特定と対応が容易になる。正確で最新の SBOM を維持することで、組織は特定された脆弱性の影響を迅速に評価し、修復作業を迅速に行うことができる。

6. セキュリティ情報・イベント管理（SIEM）の利用

セキュリティ情報・イベント管理（SIEM）システムは、ソフトウェアサプライチェーン全体からログとイベントデータを集約・分析し、セキュリティインシデントを検出して対応します。システム活動をリアルタイムで可視化することで、SIEM システムは、サプライチェーンの攻撃を示す可能性のある異常な動作を特定するのに役立ちます。SIEMソリューションを導入し、適切なアラートメカニズムを設定することで、より迅速かつ効果的に攻撃を検出し、対応する組織の能力を強化することができます。

Exabeamプラットフォームの機能：SIEM、UEBA、SOAR、内部脅威、コンプライアンス、TDIR

Exabeam Fusion Enterprise Edition Incident Responderは、AIと自動化をセキュリティオペレーションワークフローに適用することで、ソフトウェアサプライチェーンに対するサイバー脅威と戦うための全体的なアプローチを実現し、最も効果的な脅威の検知、調査、対応（TDIR）を提供します：

• AIによる検知は、ユーザー、サービスアカウント、デバイスの正常な動作を学習し、コンテキストを考慮したリスクスコアリングで脅威の優先順位をつけることで、リスクの高い脅威をピンポイントで検出します。
• 自動化された調査により、セキュリティ・オペレーションが簡素化され、異種データを相関させて脅威のタイムラインを作成することができます。
• プレイブックは、ワークフローを文書化し、アクティビティを標準化することで、調査と対応を迅速化します。
• コード・リポジトリ、ディレクトリ・サービス攻撃などのインシデントをカスタマイズし、優先順位を付けるための相関ルール・テンプレート。
• 可視化は、最も戦略的な成果とデータおよび検出のギャップを埋めるためのフレームワークに対してカバレッジをマッピングします。

これらの機能により、Exabeamはセキュリティ・オペレーション・チームがより迅速、正確かつ一貫性のあるTDIRを実現できるよう支援します。