サプライチェーン攻撃の被害が深刻化している。IPAの「情報セキュリティ10大脅威 2023」においても「サプライチェーンの弱点を悪用した攻撃」は前年の3位から2位へと順位を上げており、実際に2022年はサプライチェーン攻撃により多くの企業が被害に遭った。サプライチェーン攻撃は複数の分類があるが、本連載では、ソフトウェアサプライチェーン攻撃の現状と対策について紹介する。
サプライチェーン攻撃とは何か
サプライチェーン攻撃という言葉を耳にすることが増えた。IPA(独立行政法人情報処理推進機構)が毎年公開している「IPA情報セキュリティ10大脅威」では、2019年版に「サプライチェーンの弱点を悪用した攻撃の高まり」が第4位で初登場し、2022年に第3位、2023年には第2位へと順位を上げている。それだけ2022年はサプライチェーン攻撃が多かったわけだ。
IPAではサプライチェーンを「商品の企画・開発から、調達、製造、在庫管理、物流、販売までの一連のプロセス、およびこの商流に関わる組織群」としている。このサプライチェーンを悪用したサイバー攻撃を、一般的にサプライチェーン攻撃と呼んでいる。しかし、IPAの説明に「もう一つのサプライチェーンとして『ソフトウェアサプライチェーン』もある」とある。
このように、サプライチェーン攻撃には複数の種類がある。IPAが一つ目に取り上げているのが「ビジネスサプライチェーン攻撃」だ。これは以前から存在していた攻撃手法で、サイバー攻撃者がセキュリティ対策の堅牢な大企業を狙う際に、その関連会社や下請け会社、あるいは海外の支社といったセキュリティ対策の不十分な会社を攻撃して侵入し、大企業を攻撃する踏み台にするというものだ。
ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発工程で悪意のあるコードを埋め込んだり、わざと脆弱性を組み込んだりするケースで、そのソフトウェアを使用する企業や業界を狙う攻撃である。例えば、ソフトウェアを開発する際には、基本的な機能が組み合わされたオープンソースのライブラリを使用することが多い。攻撃者は、こうしたライブラリに悪意のある“罠”を仕掛ける。
この他に、ハードウェアサプライチェーン攻撃もある。これは、ハードウェアの生産過程で悪意のあるチップを組み込んだり、不正な通信をしたりするもの。企業向けのルーターや家庭向けのスマートスピーカーに盗聴機能が入っていることが判明し、問題になったこともあった。クラウドサービスやマネージメントサービスを悪用する、サービスサプライチェーン攻撃と呼ばれるものもある。
ソフトウェアサプライチェーン攻撃の現状
ここからは、ソフトウェア・ハードウェアサプライチェーン攻撃について説明していく。そもそもソフトウェアサプライチェーン攻撃は1984年、コンピュータサイエンスのパイオニアであり、UNIXの共同発明者でもあるケン・トンプソン氏が、コンパイラを使用して正当なマルウェアを作成できることを実証した。
その際に、「ソースレベルでの検証や精査を実施しても、信頼できないコードの使用を防ぐことはできない」と宣言している。しかし、ソフトウェアサプライチェーン攻撃が世界の脅威となるまでは30年の時間を要した。ソフトウェアサプライチェーン攻撃は2010年代にインターネットの普及とともに脅威として顕在化している。
2012年には米国立標準技術研究所(NIST)が攻撃の増加を受けて、サプライチェーンのリスク管理に関するガイダンスを発表するに至った。2015年には、欧州連合のネットワークおよび情報セキュリティ機関(ENISA)がICTサプライチェーンのリスクに関する独自の概要を発表している。
2017年には、ソフトウェアサプライチェーンへの攻撃が前年比200%と急増し、2021年には前年比でさらに300%増加し、深刻な事態となっている。特に、オープンソースソフトウェア(OSS)に対する攻撃は2021年に最も増加しており、他のタイプのサプライチェーン攻撃よりも前年比650%と大幅に増加した。
攻撃手法としては、ソフトウェアサプライチェーンへの攻撃ではOSSの悪用や偽バージョンの追加などが常套手段となっている。ソフトウェア開発において基本的な通信機能や時計機能、あるいはUI・UXなどは、汎用のOSSライブラリを使用することが多い。これにより目的の機能の開発に注力することができる。実際に、商用アプリケーションの97%がオープンソースコードを含み、その88%に既知のオープンソースの脆弱性が含まれているという。
こうした汎用のOSSライブラリに悪意のあるコードや脆弱性を埋め込んでおくことで、そのライブラリを使用し開発されたアプリケーションを侵害できる。これに近いことが2021年末に発生している。「Apache Log4j」の脆弱性だ。Log4jはロギングライブラリとして非常に多くのライブラリに組み込まれているが、これに任意のコードを実行される脆弱性が確認された。
ライブラリはソフトウェアの階層の深いところにあり、しかもソフトウェアがどのようなライブラリを使用しているのかが把握しづらいため、自社にLog4jが存在しているかどうかさえ把握できない企業が多かった。幸い、Log4jの脆弱性を悪用する大規模な攻撃はなかったものの、今後も起きないとは言い切れない。
また、攻撃手法の拡散も速くなっている。例えば、研究者がDependency Confusion(依存関係かく乱)攻撃に関する投稿を公開したところ、それからわずか34日で1万を超える模倣パッケージが実際に検出された。ソフトウェアサプライチェーン攻撃はいつ行われても不思議ではない状況であり、事実2021年には、平均的なサプライチェーン攻撃により大企業で200万ドル以上、中小企業で21万ドル以上の損害が発生している。
サプライチェーン攻撃の事例
SolarWinds社への侵害
2020年、米国のソフトウェア企業であるSolarWinds社が提供する、ネットワーク管理ソフトウェア「Orion Platform」のサプライチェーンが侵害された。攻撃者は、マルウェア「SUNBURST」を同ソフトウェアの正規の更新ファイルとして配布し、インストールした企業から情報を盗み出していた。
ソフトウェアの更新ファイルは、新たな機能を追加するほかに、既知の脆弱性を解消することもあるため、公開されればインストールするのが当然だ。ましてや、正規のルートで正規のデジタル証明書を持つ更新ファイルとなれば、拒否する理由はない。しかし、これがマルウェアであった。
SUNBURSTは非常に巧妙で高度なマルウェアであり、最大9ヶ月にわたって企業に潜伏し、気づかれないように情報窃取を行った。いわゆる高度な標的型攻撃(APT攻撃)である。セキュリティ企業として有名なFireEye社も被害に遭っており、この侵害を暴いた。今回の攻撃の背後には、ロシアなどの国家組織が存在するとみられている。
アップデートファイル配信サーバーの侵害
現在、ソフトウェア開発には「CI/CDパイプライン」という手法が使われており、これにより開発スピードが大幅に向上している。しかし、CI/CDパイプラインが狙われるケースも少なくない。2021年には、テスト対象のチェックツールであるコードカバレッジツールである「Codecov」が侵害された。
CIパイプラインのコードリポジトリには機密情報が入っていることが多く、攻撃者はこれを狙ったと考えられる。攻撃者は、Codecovが持っていたDockerのイメージを経由し、Gitリポジトリに含まれていた複数の機密情報を盗み出した。その上で、従業員を装ってGitリポジトリに悪意のあるセグメントコードを挿入した。これにより攻撃者は、最終的に約23,000名のCodecov顧客の機密情報を侵害した。
MSPを狙ったサービスサプライチェーン攻撃
最後は、MSP(マネージドサービスプロバイダー)を狙ったサプライチェーン攻撃である。MSPのようなサービスを経由して被害を拡大させる攻撃を、サービスサプライチェーン攻撃と呼ぶ。2021年、Kaseya社のリモートIT管理サービス「Kaseya VSA」を利用するMSPサービス事業者や、その顧客である多数の企業などがランサムウェア攻撃の被害に遭った。
MSPでは、ネットワークやセキュリティ関連機器を顧客に代わって管理・運用、あるいはアラートの通知などをサービスとして提供している。攻撃者は、MSPとその顧客が利用しているKaseya VSAの未知の脆弱性を悪用し、ランサムウェア「REvil」に感染させた。これにより、約1,500社の顧客企業が影響を受けた可能性があるとしている。
ソフトウェア・サービスに対するサプライチェーン攻撃は、このように開発やサービスに侵入して悪意のある攻撃を仕掛ける。その影響は、ソフトウェアやサービスの拡大につれて大きくなり、深刻な被害を受ける可能性がある。次回は、ソフトウェアサプライチェーン攻撃への対策について紹介する。