2018年最も警戒すべきセキュリティ脅威「サプライチェーン攻撃」

先日、サイバーリーズンは「THE YEAR OF THE DEFFENDER ~2018年のサイバーセキュリティに関する5つの予測~」と題したレポートを発表しました。これは、2017年のサイバーセキュリティの動向を振り返るとともに、2018年の動向を予測したものです。この中では、2018年に大きな問題になることが予想される幾つかのセキュリティ脅威について論じていますが、中でも最も注目すべきなのが「サプライチェーン攻撃」です。

実は同じ時期に、弊社以外のセキュリティベンダーからも同様の予測レポートが幾つか出されていますが、それらの中でもやはりサプライチェーン攻撃が「2018年最も警戒すべき脅威の1つ」として挙げられています。ではそもそも、サプライチェーン攻撃とは一体どのような手口なのでしょうか?

「サプライチェーン攻撃」とは

今日問題化しているサプライチェーン攻撃は、主にソフトウェア製品のサプライチェーンの脆弱性につけこんで、製品そのものやアップデートプログラム、パッチモジュールなどにマルウェアやバックドアを埋め込む手法のことを指します。攻撃者はソフトウェアベンダーのネットワークに侵入し、ターゲットとなるソフトウェア製品の開発環境に置かれたソースコードに密かに不正コードを埋め込みます。コードを改ざんされたことに気付かずリリースされたソフトウェアをユーザーが実行すると、マルウェアに感染したり、埋め込まれたバックドアを通じてマルウェアがダウンロードされるというわけです。

この手口が悪質なのは、ユーザー心理を巧みに突いて既存のセキュリティ対策を巧妙にすり抜けてしまう点にあります。ユーザーは一般的に、普段から利用しているソフトウェア製品の開発元のことをほとんど疑いません。「この製品の開発元が配布するものだから、安全に決まっている」、そうしたユーザーの思い込みを巧みに利用し、たとえ強固なセキュリティ対策を施した企業であっても、ソフトウェア製品のアップデートやパッチ適用の経路を通じて巧妙に侵入を果たすのです。

「サプライチェーン攻撃とは?」〜サイバーセキュリティ入門者向けトレーニング動画〜

シリーズ第12弾の「サプライチェーン攻撃とは?」では、サプライチェーン攻撃についての最新の動向、攻撃パターンや実際の対策などについて約3分で分かりやすく解説しています。

標的型攻撃の手口として「サプライチェーン攻撃」が多用される恐れ

2017年には、このサプライチェーン攻撃が数多く観測されました。最も被害数が多かったのは、Windows環境のクリーンアップ用フリーソフト「CCleaner」のアップデートモジュールに仕掛けられたバックドアでした。一説によれば、世界中でおよそ200万台のPCがマルウェアに感染したとも言われています。

また、ウクライナの多くの企業で利用されている会計ソフトウェア「M.E.Doc」のアップデートを通じてランサムウェアがばら撒かれた事件も、セキュリティ関係者に大きな衝撃を与えました。この攻撃は、CCleanerのような「不特定多数へのばらまき攻撃」ではなく、明らかにウクライナ地域の企業にターゲットを絞り、かつ同国においてちょうど確定申告が行われる時期を狙っています。つまり「標的型攻撃」の手法として、サプライチェーン攻撃が有用であることが証明されてしまったのです。

標的型攻撃の常套手段としては、メールの添付ファイルを介した”直接的な”侵入手法が昔からよく使われてきました。しかし近年では防御する側の対策も進化してきたため、より手の込んだ”間接的な”手段も多く用いられるようになってきました。例えば、正規のサイトを改ざんして、そこへアクセスしたユーザーの端末を自動的に感染させる「水飲み場攻撃」などはその典型例ですが、サプライチェーン攻撃もこれと同様に、正規のソフトウェアを改ざんし、そのダウンロード・インストールのプロセスに寄生する形で巧みに侵入するのです。

侵入後の不審な動きをいち早く検知することが大事

では、具体的にどのような対策を施せばいいのでしょうか?1つ確実に言えることは、現在のセキュリティ対策の技術では、サプライチェーン攻撃による侵入を100%防ぐのは極めて難しいということです。何しろ、正規の発行元による正規の電子署名がなされたモジュールの中に紛れているわけですから、既存の侵入対策では脅威をなかなか検知できません。そこで重要になってくるのが、たとえ侵入を許してしまったとしても、その後にいち早く不審な動きを検知できる仕組みを整えておくことです。

例えば、バックドアを通じてマルウェア本体をダウンロードしようとする動きをいち早く検知し、その通信をシャットダウンしたり、原因となる不正ソフトウェアを除去できれば、たとえサプライチェーン攻撃による侵入を許してしまったとしても、実質的な被害は食い止めることができます。

こうした対策を行う上で有効なのが、サイバーリーズンが提供する「Cybereason EDR」「Cybereason Complete Endpoint Protection」に代表されるEDR(Endpoint Detedtion and Responce)製品です。エンドポイント端末上で「C&Cサーバーとの通信」のような不正な動作が行われると、検知してアラートを発行します。これにより、従来のセキュリティ対策では防ぎきれなかったサプライチェーン攻撃による被害を、最小限に食い止めることが可能になります。

現在、複数のセキュリティベンダーからEDR製品が提供されていますが、その中でもサイバーリーズンの製品は「高精度なリスク検知」と「使い勝手の良さ」を高いレベルで両立する製品として、世界中の数多くのユーザー企業から高い評価を受けています。今後確実に増すであろうサプライチェーン攻撃の脅威に対抗していく上では、最も適した選択肢の1つであると自負しています。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/white-paper/606/

ホワイトペーパー「すべての組織が狙われている」