サイバーセキュリティ攻撃というと、ハッカーがネットワークの脆弱性を探っているイメージを思い浮かべると思います。あるいは、従業員のログイン情報を盗み出すフィッシング攻撃や、コンピュータにインストールされたマルウェアなど。

これらは効果的で一般的な攻撃方法ですが、もし、直接的な攻撃対象とは関係なく、ネットワークに侵入する別の方法があるとしたらどうでしょう。

サプライチェーン攻撃は、まさに、ターゲットに関連する組織を悪用し、ターゲットのサプライチェーンを攻撃するものです。では、サプライチェーン攻撃とはどのようなもので、どのような仕組みになっているのでしょうか。

サプライチェーンハック（供給網のハック）は何ですか？

サプライチェーン攻撃は、サプライネットワークの脆弱な部分をピンポイントで攻撃することで、組織を混乱させたり、組織に侵入したりすることを目的としています。サプライチェーンへの攻撃は、特に複雑なサプライチェーンネットワークを持つ組織を攻撃する場合、侵入を成功させるための複数の機会を提供します。

ほぼすべてのサプライチェーン攻撃において、最初の被害者だけが攻撃者のターゲットではありません。むしろ、サプライチェーンの要素は、より大きな魚への足がかりとなるものなのです。攻撃者は、より簡単なターゲットの脆弱性を利用し、最終的な目標に到達するためにそれを利用します。

サプライチェーンへの攻撃は珍しいと思われるかもしれませんが、2020年6月にBlueVoyantのOpinion Mattersが行った調査（PDF、要登録）では、80％の組織が「過去12カ月間に第三者に関する侵害を経験」していることがわかっています。また、77％の回答者が "第三者であるサプライヤーの可視性が低い "と回答しています。

このような数字を見ると、サプライチェーンへの攻撃が盛んなだけでなく、最初の標的から主要な組織へと移行することに成功している理由が理解できます。

サードパーティソフトウェアのサプライチェーンへの攻撃を企業が見抜くことは極めて困難です。この攻撃の性質上、悪意のあるファイルは主要なターゲットからだけでなく、サプライチェーン上の脆弱なリンクからも隠蔽されることになります。攻撃は、コンピュータがオンラインである必要さえありません。

対象となる組織が問題に気づくのは、そのデータが他の場所で販売され始めたり、同じようなことがきっかけでアラームが鳴ったりしたときかもしれません。内部ネットワークへのディープアクセスは、組織内の自由な移動を可能にし、侵入者からの信号を除去することもできる。

サプライチェーン攻撃の種類

サプライチェーンへの攻撃は一様ではありません。主要な組織のサプライチェーンには、さまざまな可動部品が含まれることがあります。攻撃者は、どのタイプのサプライチェーン攻撃をターゲットに使用するかを検討する必要があります。

ここでは、注目すべき3つのサプライチェーン・アタックを紹介します。

1 目的

2013年には、米国の小売業者Targetに対する大規模な攻撃により、同社の店舗で使用された1億1千万件のクレジットカードおよびデビットカードの情報が流出しました。盗まれたデータの総量は11GBに過ぎないが、盗まれたデータの種類が特に貴重であった。

攻撃者は、ターゲットの企業ネットワークに多数のサードパーティベンダーを発見しました。最終的な攻撃回数は不明だが、被害を受けたのは冷凍機製造のファジオ・メカニカル社である。

契約者が脅かされると、攻撃者は盗んだ認証情報を使って標的のシステムにエスカレートできるようになるまで社内ネットワーク内で待ち構える。最終的には、攻撃者はターゲットサーバーへのアクセスを獲得し、社内ネットワーク内の他の脆弱なシステムを探します。

ここから攻撃者は、ターゲットのPOSシステムを使って、数百万人の顧客からクレジットカード情報を盗み出しました。

2 太陽風

サードパーティソフトウェアのサプライチェーン攻撃の代表例として、2020年にリモート管理ソフトウェア「Orion」が侵害されたSolarWinds社が挙げられます。攻撃者は、ソフトウェアの更新プロセスにおいて、**悪意のあるバックドアを使用します。

SolarWinds社の数十万人の顧客にアップデートが配布されたとき、攻撃者のマルウェアも一緒に配布されました。アップデートのデジタル署名は正常であったため、すべて通常通り行われました。

関連：コードサイニングマルウェアとは？

通常のアップデート作業でこのソフトウェアを有効化した後、攻撃者は、米国財務省、国土安全保障省、商務省、国防省、エネルギー省、国家核安全保障局など、多数の重要なターゲットにアクセスすることができました。

Solar Windの攻撃は、史上最大かつ最も成功したサプライチェーン攻撃の1つです。

3.ワーム

史上最も悪名高いハッキング攻撃のひとつに、サプライチェーン攻撃があることをご存知でしょうか？

Stuxnetは、イランの特定の原子力発電所の、特定の種類のソフトウェアが動作するシステムという極めて特殊なターゲットを持つコンピュータワームです**。Stuxnetマルウェアは、遠心分離機の速度を劇的に増加させ、遠心分離機内の物質とプロセスのインフラそのものを破壊します。

関連記事：サイバー攻撃は、**身体的被害をもたらすか？

この高度な標的型ワームは、イランの核の脅威を排除するために、米国とイスラエル**が共同で開発したものと考えられています。

Stuxnetは、感染したUSBメモリを使ってイランの原子力発電所のサプライチェーンに導入されました。コンピュータにインストールされたStuxnetは、ネットワーク内を横方向に移動し、適切な制御システムを探してから実行されます。

Stuxnetは標的が明確であるため、自分自身に注意を向けず、仕様に合致するコンピュータに遭遇したときのみ起動する。

サプライチェーンが攻撃される時代に安全を確保するには

サプライチェーンの管理は難しいものです。多くの企業は、ビジネスのあらゆる側面を管理するために、サードパーティのソフトウェアソリューションを使用しています。リモート管理ツールや会計ソフト、さらにはMicrosoft Office 365のようなプラットフォームも含まれます。

企業は、ビジネスのあらゆる側面を1つの屋根の下に置くことはできません。また、そうであってはならない。ソフトウェア開発者やクラウドサービスプロバイダーを信頼することは、あなたやあなたのビジネスが攻撃の犠牲になる可能性を著しく高めるものであってはなりません。

企業や消費者のセキュリティを向上させることは、サプライチェーンの攻撃を誘発することにもなります。攻撃者が組織への侵入方法を見つけられない場合、次のレベルまで攻撃することが最も経済的かつ実用的なアクセス方法となります。また、企業のセキュリティシステムにも検知されにくい。

多くの場合、サプライチェーンへの攻撃は広範囲に及び、十分な調査と資金を投入した作戦です。

例えば、SolarWindsは、国民国家のハッカーチームが数ヶ月かけてサプライチェーンのハッキングを研究し、実行した作品です。偶然ではないのですが、Stuxnetは複数のゼロデイ攻撃を1つのパッケージにまとめてイランの原子力発電所を攻撃し、標的型サプライチェーンのハッキングを成功させるのに時間がかかりました。

これは、脆弱性を偶然発見した素人のスクリプト作成者の話ではない。彼らはハッカーのチームで、特定のターゲットを攻撃するために協力し合っています。サプライチェーンは、たまたま最も抵抗の少ない道であった。