IDコラム

トップページ > コラム >  【エバンジェリスト・ボイス】サ...

IDコラムとは

カテゴリー

【エバンジェリスト・ボイス】サプライチェーンに対するセキュリティ対策のすすめ 2018/01/09 (火)

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一

サイバー・セキュリティ・ソリューション(CSS)部に所属する、エバンジェリストの内山です。
少し遅くなりましたが、新年あけましておめでとうございます。本年もよろしくお願いいたします。

年始早々、「Meltdown」「Spectre」と名付けられたCPUの脆弱性が報告されていますが、OSやアプリケーションの開発元が公開する情報を確認し、攻撃の実現性を冷静に評価して対応方針を見極めたいですね。
さて、今回のエントリーはこの脆弱性ではなく、年末年始にセキュリティベンダー各社から公開された「2018年の脅威予測」の中から個人的に気になった「サプライチェーン攻撃」についてお話をしたいと思います。


【サプライチェーン攻撃とは?】
サプライチェーンは、資材の調達から製造・物流・販売といった工程を経て、サービスがお客様の手元に届くまでの一連のビジネス活動です。

当社を例にご説明しますと、当社はベンダーからソフトウェアやハードウェアを調達し、グループ企業やビジネスパートナー様と共同で開発作業を進めることによって、お客様へITシステムやサービスを提供しています。

このように、通常、サプライチェーンには複数の企業が関わっており、いまや単一企業がお客様へサービスを提供するケースは殆ど無いと言っても良いのではないでしょうか。
前置きが長くなりましたが、サプライチェーン攻撃とはサプライチェーンの脆弱な部分を狙い、マルウェアを混入したソフトウェアやハードウェア、もしくは取引先や関連企業等を通じてターゲット企業・組織へ攻撃する手法です。


【何が危険なのか?】
サプライチェーン上のソフトウェアやハードウェア、取引先や関連会社が悪用されるため、ターゲット企業・組織は攻撃に気付きにくいと言えるでしょう。

例えば、正規の開発元から提供されたソフトウェアであれば、私達は疑わずインストールしてしまう可能性が高いのではないでしょうか。

また、攻撃者が防御が手薄な関連企業を攻撃し業務メールを盗聴していた場合、関連企業になりすまし精巧な業務メールをターゲット企業・組織へ送ることが可能となるでしょう。

その場合、ターゲット企業・組織への侵入以外にビジネスメール詐欺に悪用される脅威も想定されます。


【最近の事例】
昨年発生した正規ソフトウェアの更新機能が悪用された事例を紹介いたします。
皆さまの記憶にも新しいと思いますが、2017年6月27日、ウクライナやロシアを中心に大規模なサイバー攻撃が発生しました。このとき確認されたマルウェア「NotPetya」ですが、Microsoft はウクライナの税務会計ソフト「M.E.Doc」のアップデートメカニズムを経由して感染を広げた可能性を指摘しています。


外部リンク:New ransomware, old techniques: Petya adds worm capabilities


また、同年9月、システムクリーナーソフトの「CCleaner」にマルウェアが埋め込まれて配信された問題について、Cisco Systems はハイテク企業の知的財産を狙う標的型攻撃だった可能性を指摘しています。


外部リンク:CCleaner Command and Control Causes Concern



【自社で取り組むべきこと】
先に紹介した事例のような攻撃が多数の国内企業で発生したことは確認されていませんが、攻撃者がその有効性を認めればサプライチェーンの脆弱な部分を狙った攻撃のため、重要インフラ事業者のような特定企業への脅威に留まらず、多くの企業が認識すべき脅威と言えるでしょう。

皆さん、ビジネスパートナーや外部委託先のセキュリティ対策状況は把握されていますか?
この機会にサプライチェーン全体のセキュリティ強化の取り組みとして、ビジネスパートナーとの情報連携や外部委託先管理の見直しをお勧めいたします。
サプライチェーン全体の対策および状況把握については、「サイバーセキュリティ経営ガイドライン」の重要10項目の一つとして記載されていますので、対策の見直しの参考になるでしょう。


外部リンク:サイバーセキュリティ経営ガイドライン Ver2.0



サプライチェーン攻撃に限ったものではありませんが、自社システムの構成管理状況の把握、OS・ソフトウェアの早期アップデート、バックアップ取得状況とリストア手順の点検は基本的な対策として欠かせないものです。



年始早々、大変堅苦しいお話になってしまいましたが、本年も「セキュリティ」という切り口で皆さまのお役に立てる情報を発信してまいります。


それでは、次のエントリーでお会いしましょう!

お問い合わせ