サプライチェーン攻撃が急増
近年、最も被害が大きく、注目を集めているサイバーセキュリティインシデントの多くは、サプライチェーン攻撃です。 この急増には多くの要因があるかもしれませんが、最も重要なものの1つは サイバーパンデミックです。
COVID-19は現代のビジネスを変革し、多くの組織がリモートワークやクラウドの導入を余儀なくされました。 その結果、サイバーセキュリティのスキルギャップにより人手が不足することが多いセキュリティチームは、圧倒され、追いつけなくなっています。
サプライチェーン攻撃の例
リモートワークや圧倒的なセキュリティチームによって生み出された新たな攻撃ベクトルにより、サイバー犯罪者はサプライチェーン攻撃を実行する多くの機会を得ています。 近年の最大のものには、次のようなものがあります。
- SolarWinds: 2020年、ハッキンググループがSolarWindsの本番環境にアクセスし、ネットワーク監視製品Orionのアップデートにバックドアを埋め込みました。 悪意のあるアップデートを実行しているSolarWindsのお客様は、データ侵害やその他のセキュリティ インシデントに見舞われました。
- カセヤ: REvilランサムウェア集団は、マネージドサービスプロバイダー(MSP)にソフトウェアを提供するソフトウェア会社であるKaseyaを悪用し、1,000人以上の顧客を ランサムウェアに感染させました。 このグループは、影響を受けたすべての顧客に復号化キーを提供するために、7,000万ドルの身代金を要求しました。
- Codecov: Codecovはソフトウェアテスト組織であり、そのBashアップローダースクリプト(コードカバレッジレポートを会社に送信するために使用される)が攻撃者によって変更されました。 このサプライチェーンのエクスプロイトにより、攻撃者はソースコードやシークレットなどの機密情報をCodeCovの顧客から自社のサーバーにリダイレクトすることができました。
- NotPetya: NotPetyaは、コンピューターを暗号化する偽のランサムウェアマルウェアでしたが、復号化のために秘密鍵を保存しませんでした。 それを「ワイパー」に変えるというものです。
- NotPetya攻撃は、ウクライナの会計事務所が侵害され、マルウェアが悪意のあるアップデートに含まれていたことから、サプライチェーン攻撃として始まりました。
- Atlassian: 2020 年 11 月、 チェックポイント リサーチ (CPR) は、SSO 経由で接続されているアカウントとさまざまなアトラシアン アプリを制御するために悪用される可能性のある一連の脆弱性を発見しました。
- この脆弱性がサプライチェーン攻撃の可能性があるのは、攻撃者がこれらの欠陥を悪用してアカウントを制御できると、将来利用できるバックドアをインストールできることです。
- これにより、損傷が発生した後にのみ検出および制御される重大な危害が生じる可能性があります。
- チェックポイント リサーチは責任を持ってこの情報をアトラシアン チームに開示し、ユーザーがさまざまなプラットフォームで安全に情報を共有し続けられるようにするためのソリューションを導入しました
- ブリティッシュエアウェイズ: 2018年、ブリティッシュ・エアウェイズ(British Airways)はMagecart攻撃を受け、同社のウェブサイトで38万件以上の取引が侵害されました。 この攻撃は、航空会社のベンダーの1つを侵害し、ブリティッシュ・エアウェイズ(British Airways)やチケットマスター(Ticketmaster)などの企業に広がったサプライチェーン攻撃によって可能になりました。
サプライチェーン攻撃の仕組み
サプライチェーン攻撃は、異なる組織間の信頼関係を利用します。 すべての組織は、自社のネットワーク内に自社のソフトウェアをインストールして使用したり、ベンダーとして協力したりする際に、他社に対して一定の暗黙の信頼関係を築いています。
サプライチェーン攻撃は、信頼の連鎖の最も弱いリンクを標的にします。 ある組織が強力なサイバーセキュリティを持っていても、安全でない信頼できるベンダーを持っている場合、攻撃者はそのベンダーを標的にします。 ベンダーのネットワークに足場を築いた攻撃者は、その信頼関係を利用して、より安全なネットワークに軸足を移すことができます。
サプライチェーン攻撃の一般的な標的の1つは、マネージドサービスプロバイダー(MSP)です。 MSPは顧客のネットワークに深くアクセスでき、攻撃者にとって非常に貴重です。 MSPを悪用した後、攻撃者は顧客ネットワークに簡単に拡張できます。 サプライチェーンの脆弱性を悪用することで、これらの攻撃者はより大きな影響を与え、直接攻撃するのがはるかに難しいネットワークにアクセスできる可能性があります。 このようにして、Kaseyaの攻撃者は非常に多くの組織をランサムウェアに感染させることに成功しました。
その他のサプライチェーン攻撃では、ソフトウェアを使用して組織の顧客にマルウェアを配信します。 たとえば、SolarWindsの攻撃者は、同社のビルドサーバーにアクセスし、ネットワーク監視製品「SolarWinds Orion」のアップデートにバックドアを注入しました。 この更新コードが顧客にプッシュされると、攻撃者は顧客のネットワークにもアクセスできるようになりました。
サプライチェーン攻撃の影響
サプライチェーン攻撃は、攻撃者に組織の防御を突破する別の方法を提供するだけです。 これらは、次のようなあらゆる種類の サイバー攻撃を実行するために使用できます。
- データ侵害: サプライチェーン攻撃は、データ侵害を実行するために一般的に使用されます。 たとえば、SolarWindsのハッキングでは、複数の公的機関や民間部門の組織の機密データが流出しました。
- マルウェア感染: サイバー犯罪者は、サプライチェーンの脆弱性を悪用して、標的となる組織にマルウェアを配信することがよくあります。 SolarWindsには悪意のあるバックドアの配信が含まれており、Kaseyaの攻撃により、それらを悪用するように設計されたランサムウェアが発生しました。
サプライチェーン攻撃を特定して軽減するためのベストプラクティス
サプライチェーン攻撃は、企業と他の組織との間の安全でない信頼関係を利用します。 これらの攻撃のリスクを軽減する方法には、次のようなものがあります。
- 最小特権を実装します。 多くの組織では、従業員、パートナー、ソフトウェアに過剰なアクセスとアクセス許可を割り当てています。 これらの過剰な権限により、サプライチェーン攻撃が実行されやすくなります。 最小限の特権を実装し、すべてのユーザーとソフトウェアに、ジョブの実行に必要なアクセス許可のみを割り当てます。
- ネットワーク セグメンテーションを実行します。 サードパーティのソフトウェアやパートナー組織は、ネットワークの隅々まで自由にアクセスする必要はありません。 ネットワーク セグメンテーションを使用して、ビジネス機能に基づいてネットワークをゾーンに分割します。 これにより、サプライチェーン攻撃によってネットワークの一部が危険にさらされた場合でも、ネットワークの残りの部分は保護されます。
- DevSecOps プラクティスに従う: セキュリティを開発ライフサイクルに統合することで、Orionアップデートなどのソフトウェアが悪意を持って変更されているかどうかを検出できます。
- 自動化された脅威対策と脅威ハンティング:セキュリティ オペレーション センター (SOC) のアナリストは、エンドポイント、ネットワーク、クラウド、モバイルなど、組織のすべての環境にわたって攻撃から保護する必要があります。
チェック・ポイントによるサプライチェーン攻撃からの保護
サプライチェーンの攻撃者は、組織の環境内の監視の欠如を利用します。 チェック・ポイント Harmony Endpoint は、侵害を示す可能性のある疑わしい動作についてアプリケーションを監視することで、組織がこれらの脅威から保護するのに役立ちます。
Harmony Endpointが保護する攻撃の種類の詳細については、 チェック・ポイントの2021年サイバーセキュリティレポートをご覧ください。 次に、セキュリティ 診断を受けて 、環境内のセキュリティ問題について学習します。 また、これらのセキュリティギャップを埋める方法については、 無料のデモをご覧ください。
Feedback