2019年度 IPA10大脅威における新たな脅威

先日IPA(情報処理推進機構)より2019年版の10大脅威が発表されました。
それによると、組織では以下の脅威がランクインしています。

順位組織昨年順位
1位
標的型攻撃による被害1位
2位ビジネスメール詐欺による被害3位
3位ランサムウェアによる被害2位
4位サプライチェーンの弱点を悪用した攻撃の高まりランク外
5位内部不正による情報漏えい
8位
6位サービス妨害攻撃によるサービスの停止9位
7位インターネットサービスからの個人情報の窃取6位
8位IoT機器の脆弱性の顕在化7位
9位脆弱性対策情報の公開に伴う悪用増加4位
10位不注意による情報漏えい12位

※参考URL:https://www.ipa.go.jp/security/vuln/10threats2019.html

今回はこの中から、ランク外から第4位にランクインした「サプライチェーンの弱点を悪用した攻撃の高まり」について詳しく見ていきます。

サプライチェーン攻撃とは

「サプライチェーン」とは、製品やサービスがユーザに届くまでの一連のビジネス活動の流れ(製造過程)のことを指します。
その一連の流れにおいて、ハードウェア・ソフトウェア問わず、マルウェアに感染させる攻撃を 「サプライチェーン攻撃」と呼びます。
実例として、2017年に起きたシステムクリーナーソフト「CCleaner」の改ざんが挙げられます。
無料のシステムクリーニングツールであるCCleanerのアップデートプラグラムが改ざんされ、およそ200万台のコンピュータに対して不正なアップデートが配信される被害が発生しました。
 この事例は、CCleanerのアップデートプログラムの製造過程でマルウェアを混入されたと考えられており、「ソフトウェアサプライチェーン攻撃」とも言われています。

また、サプライチェーン攻撃には製造過程からのみではなく、ビジネス上の取引関係からくるケースもあります。
例えば、大企業や大手金融機関などのセキュリティは年々強固なものになり、攻撃者の技術力を持ってしてもなかなか容易には侵入できなくなってきています。
そこで攻撃者は、ターゲットを企業のグループ会社や取引先、業務委託先の比較的セキュリティ対策の甘い組織に絞り、そこを踏み台にして本命の大企業に侵入を試みるというものです。

以上のようにサプライチェーン攻撃はどこで仕掛けられているかわからないため、その対策は非常に難しいと言われています。
まず、ソフトウェアサプライチェーン攻撃の場合、1つのソフトウェアの中に正常なコードと悪意のある攻撃コードの2種類が含まれています。
このソフトウェアの規模が大きく、複雑になればなるほど、どこに悪意のある攻撃コードが含まれているかを特定することが難しくなります。

また、取引先を経由する場合はさらに厄介です。最近ではセキュリティ対策の代表的なものとして、メールのやり取りに電子署名を使用する組織が増えてきています。
しかし、取引先を踏み台にして攻撃を行う場合、正規の電子署名が付されたメールが送ってこられるため、内容を疑わずにそこに記載してあるURLや添付ファイルを展開しマルウェアに感染するケースが報告されています。

上記のようなことを鑑みると、現在のセキュリティ対策の技術では、サプライチェーン攻撃を100%防ぐことは極めて難しいと言わざるを得ません。
そこで重要になってくるのが、たとえマルウェアに感染してシステムへの侵入を許してしまったとしても、それをいち早く検知し駆除する仕組みを整えておくことです。

例えば、バックドアを通じてマルウェア本体をダウンロードしようとする怪しい挙動があった場合、その通信を遮断したり、原因となっている不正なソフトウェア自体を除去したりすることができれば、被害を最小限に食い止めることができます。

標的型攻撃との関連性

今回、このサプライチェーン攻撃がランク外から第4位にランクインした最大の原因は、第1位にランキングされている標的型攻撃が大いに関係しています。

標的型攻撃は従来のコンピュータウィルス等のように無差別にばら撒くタイプの攻撃ではなく、最初から特定の企業や組織を標的にして行う攻撃です。
標的型攻撃では、標的が使用しているコンピュータやネットワークシステム、従業員のログイン情報など、攻撃に必要な情報を入念に収集します。
先に述べたように、標的の企業のセキュリティが強固な場合、OSやブラウザのアップデートにマルウェアを潜ませたり、取引先の企業から必要な情報を集めたりといったサプライチェーン攻撃が悪用されます。

このように多様化する企業の情報セキュリティに対する脅威に対応するためには、専門家の意見を取り入れ、まずは、攻撃の対象とされないための方策を立て、万が一攻撃されたとしても、情報の漏えい等情報資産の損害を最小限に食い止めるために何をするべきかといった対応策も備えておく必要があります。

そのためには、情報セキュリティに精通した人材の確保や育成に積極的に投資を行い、システムだけでなく、人的にも極力十分な対策を講じるべきでしょう。