コンテンツを開く

テーマのトレンド

Episode 28| サプライチェーン攻撃の破壊力

F-Secure Japan

20.10.20 24 min. read

サプライチェーン攻撃は近年増加しており、攻撃者は取引企業やソフトウェアに対する信頼を悪用します。なぜサプライチェーン攻撃が増えているのでしょうか?そしてこの攻撃に対して、企業はどのように対処すればよいのでしょうか? エフセキュアのシニアセキュリティコンサルタントであるJyrki Huhta(ユリキ・フタ)が、サイバーセキュリティサウナのEpisode 28に出演して、これらの破壊的攻撃に対する彼の考えと、「信頼せよ、されど検証せよ」がこれらを防ぐための合言葉になることを話してくれました。

私たちは、ウクライナのソフトウェア会社のM.E.Doc社が提供した会計プログラムのソフトウェア・アップデートが改ざんされ、NotPetyaが拡散し、ウクライナでビジネスをしている多くの企業が被害を受けたことや、British Airwaysの顧客決済データがWebショップのコンポーネントを通じて漏洩したことを覚えています。また、2013年には、米国の大手小売企業のTARGETが空調管理システムを提供していた業者を経路として攻撃受けました。サプライチェーン攻撃についてお話しするということは、これらのような事案を考えることだと思っています。

そのとおりです。それらが最も有名な事件だと思います。TARGETは、空調設備の製造会社を侵入経路にされて攻撃されたことで有名になりました。これは大変興味深い事件でした。この製造会社は、巨大企業のTARGETに比べれば遥かに小さい、確か従業員が125人しかいない小さな会社だったと思います。標的となったのは小さなサプライヤーでしたが、真の標的は、数10億ドルを売り上げる大規模小売店でした。

また、M.E. Docsを介した攻撃の話がありましたが、それは国益のために推進されました。ウクライナのM.E.Docs社の会計ソフトが攻撃され、会計プログラムのソフトウェア・アップデートが改ざんされ、NotPetyaが埋め込まれました。ベーシックなランサムウェアでしたが多くの被害をもたらしました。試算による被害額は100億ドル程度だったかと思います。

British Airwaysへのサイバー犯罪者グループ「Magecart」による攻撃も、Webサイトを標的にした好例でした。同社のWebサイトがハッキングされ、利用者の金融情報やクレジットカード情報を窃取するサイトにすり替えられていました。ブランドが一瞬のうちに乗っ取られ、エンドユーザーが犠牲になりました。攻撃者がTARGETを標的にしたのは、POS端末を我がものにしたかったためです。ウクライナがNotPetyaに攻撃されたのは、誰かが同国を見せしめにして被害を与えたかったからです。そして、British Airwaysが攻撃されたのは、彼らの顧客であるエンドユーザーから搾取したかったからです。

なるほど。これらの事例はそれぞれ異なる種類のサプライチェーンです。TARGETのケースでは、標的は同社が購入した空調システムでした。British Airwaysのケースでは、同社のWebサイトで使用されていたソフトウェアコンポーネントでした。

そうですね。そして、TARGETの攻撃者は、自分たちよりも空調設備の製造会社Fazio Mechanicalの方がTARGETのシステムへのアクセスを多く持っていると考えていたようです。どこかの記事で読んだのですが、攻撃者は請求書情報程度にしかアクセスすることができませんでした。ですから、これはサプライヤーへの攻撃のケースと言えます。M.E.Docsはソフトウェアへのサプライチェーン攻撃でした。ウクライナの会計ソフトを標的にして感染させたからです。British AirwaysではWebサイトが踏み台にされました。これはWebアプリケーションへの攻撃のケースです。これらの例のように様々な種類のサプライチェーン攻撃があることが分かります。

最近では、iPhoneなどのハードウェアに中国製のコンポーネントが埋め込まれたと疑われる事件もありました。それも1つの例ですね。物理的な攻撃もあります。倉庫の屋根にドリルで穴を開けて、医療品などを盗んだ事件があったと記憶しています。いろいろなケースがあるものです。最も有名なものはソフトウェアのサプライチェーン攻撃だと思います。ソフトウェアに感染させるもので、サプライヤーがシステムにアクセスしたとたんにサプライチェーン攻撃が始まります。

それでは、サプライチェーン攻撃の手順はどのようなものでしょうか? 何が起こるのでしょう?

大手企業の多くがリスクを意識してセキュリティ対策に投資をしてきたため、侵害しにくい対象になってしまったというのが一番の理由だと思います。先ほど述べたように、攻撃者は最も簡単な侵害方法を見つけようとすると、多くの場合は、セキュリティが高度化されていないサプライヤーになります。金融セクターを例に挙げると、銀行独自のネットワークを介してシステムにアクセスすることは非常に難しいのですが、脆弱性のある既存のコンポーネントを利用することで、銀行システムの侵害が可能になります。ソフトウェアコンポーネントの場合もあれば、アウトソーシング企業の場合、セキュリティ面が脆弱で、簡単に侵害できることもあります。また、国家を後ろ盾にしている場合もあります。軍のシステムに侵入するのは極めて困難ですが、その軍が使用しているソフトウェアコンポーネントを知っていれば、それを直接侵害することでアクセスできるようになります。

なるほど。

もう1つの理由は、サプライヤーがより多くのアクセス権を持つことがあるということです。しばしば、クライアントシステムに与えられる権限が、クライアント自身よりも多くなることがあります。通常はアウトソーシング会社がクライアントのインフラの大部分をコントロールしています。その場合、クライアントを直接攻撃することはアクセス権がないため意味がありません。クライアントは自分のシステムに対するドメイン管理者権限さえ持っていない可能性もあります。この場合、実際に攻撃できる唯一の標的はアウトソーシングパートナーになります。

分かりました。防御側の視点からはどうでしょうか?サプライチェーン攻撃は、甚大な損害を与える可能性がありますか? それほどではないでしょうか? どのように評価しますか?

サプライチェーン攻撃の被害は壊滅的だと考えています。私の経験では、サプライチェーン攻撃ほど甚大な損害を与えているケースは数えるほどしか見ていません。理由は、企業とサプライヤーの間で築かれた信頼関係を悪用するからです。そして、通常企業は取引ベンダーを100%信頼しています。

そうですね。

そして、その信頼をさらに確認するための優れた技術的手段はありません。契約、負債、SLAなどがあるかもしれませんが、実際のシステムを正確に把握することは困難です。アウトソーシング企業の場合、検知能力が不十分なケースが多いため、彼らを信頼した結果、その信頼が悪用されると壊滅的な影響を及ぼす可能性があるので非常に危険なのです。

いったい誰がこのようなサプライチェーン攻撃を行っているのでしょうか?これまで話した事例にあったように、国家的なアクターなのでしょうか? 

メディアには、最も高度な攻撃は国家や国が支援するグループによって行われているという、一般的な考え方があります。しかし、これは急速に変化していると思います。すべての犯罪者、すべての違法グループが同様の手口を使い始めています。そのため、もはや国家に限ったことではなくなりました。そして今では、厳密には国が後ろ盾になっているのはどのグループか、国家そのものかさえも判別できません。さまざまなグループが似たような手法を使って活動するようになると、どこに所属しているのかを知ることはますます難しくなります。そして、サプライチェーン攻撃は一般的なアプローチであり、さまざまな手法を利用しており、すべて国家によって行われていると決めつけることはできません。基本的には誰もが使用することができる手法だと思います。

When the well is poisoned: The devastation of supply chain attacks

サプライチェーン攻撃の具体例で、特に今まで見たこともない斬新なものや、これまでの型を壊した例として心に残るものはありますか?

私のサプライチェーン攻撃に関する体験についてもっと話せたらよいのですが、本当に悲惨なサプライチェーン攻撃を初めて見たときは心臓が止まるような感じでした。その攻撃に気がついた時には、外注先であるサプライヤーを経由して、すでに攻撃者が再び内部に侵入していました。何をしても自社のネットワーク内で阻止できないことに気付いたときには、 すでに壊滅的な被害に及んでいたのです。

私は熱心な軍事歴史家ですが、これは第二次世界大戦のように思えます。ドイツ軍はフランスのマジノ線に向かうと思いきやベルギーを通過しましたね。

ええ、そのとおりです。私のたとえ話をすると、多くの場合、セキュリティは免疫システムと衛生状態を良好に保つことに焦点を当てており、人々は感染しないように汚染された場所を避けようとします。しかし、サプライチェーン攻撃は、飲み水のようなものです。井戸に毒が入っているとか、毒を盛られた食べ物を食べているようなものです。したがって止めようがないということです。悪いものでも食べざるを得ないのです。

あなたの仕事の関係上、あまり具体的な話を控えざるを得ないと思いますが、サプライチェーン攻撃での個人的な経験を、少しだけ戦争の話のように、あるいは一般的な話に変えて紹介してもらえませんか?

公開されている事例があるのは良いことですし、体験を率直に話す企業もあります。また、持続的標的型攻撃のアクターから公開されている情報もあります。エネルギー分野では、アウトソーシング企業を利用した標的型攻撃が行われていることは周知の事実です。また、Wiproのようなアウトソーシング企業が、自社のシステムがハッキングされたことを認めているケースもあります。また、ASUS のアップデート機能を悪用していたことで有名なShadow Hammerグループが感染させたという詳細な説明をした事例もあります。

韓国のシューティングゲーム会社だったと思いますが、その会社への感染方法は狡猾なものでした。どこかの記事を読んで面白いと思ったのですが、ゲーム開発者が使っていたMicrosoft Visual Studioが感染されて、ゲームの最終製品に組み込まれたのです。そうやってゲームは感染しました。このゲームはインフェクション(感染)と呼ばれるものだったとか。これらは公になった良い例だと思います。

本来は私たちが議論することさえできない密室のような場所で起こったことだからです。アウトソーシング会社が危険にさらされ、そのシステムがクライアントに対して使用されます。もしアウトソーシング会社がネットワークの管理者であれば、攻撃者はその情報にアクセスして、クライアントに対してその情報を悪用する可能性があります。

最近起こったASUSのアップデートを悪用したShadow Hammerの手口は、標的をかなり絞っているように見えました。攻撃者は特定のMACアドレスを調べていたことから、誰を攻撃しているのか分かっていました。しかし、Wiproのような場合は、ある種の日和見主義的攻撃のように思えます。誰かがWiproを侵害して顧客情報を搾取しようとしましたが、顧客が誰ということにはほとんど無頓着のようでした。おそらく誰もが現金か、盗む価値のある資産を持っているだろうし、侵害してみればそれが分かると考えているのでしょう。そうではありませんか?

はい、それは良い指摘ですね。最近では、さまざまな種類の攻撃があり、あなたが述べたように、一部の攻撃は標的をかなり絞っています。Shadow Hammer攻撃は、60万個のMACアドレスの中から600個を標的にしていたと思います。Shadow Hammerグループは、極めて高度なサプライチェーン攻撃者と考えられます。そして、彼らの作戦から見えてきたことは、標的を限定することで発見される可能性を減らし、攻撃をより効果的にする目論みです。

この手の攻撃は、発見されてからでないと顕在化しないので非常に危険です。最初に発見するまで調査を始めることはできません。そして、彼らは企業が認識していないシステムにもアクセスできるかもしれません。したがって、自分たちが知っている以上のことを攻撃者が実行していることを心に留めておくべきです。これはとても興味深いことです。

しかし、あなたが指摘したように、攻撃者がクライアント自体に興味を持たない場合もあります。また、クリプトマイナーが今より利益を生んでいた時代には、クリプトマイナーをインストールするためだけにサプライチェーン攻撃が使われた例もあります。演算能力の大量リソースにアクセスすることだけが目的になっているのです。また、ブランドが標的になる場合もあります。

たとえば、British Airwaysの場合、ブランドへのアクセス権を取得すると、膨大な数のエンドユーザー、顧客にアクセスできるようになります。そして、その信用を逆手に取るのです。Eメールシステムに付け入るケースもあります。攻撃者にとって、有名ブランドになり代わりEメールを送信できれば、さまざまな方法で悪用することができます。すべては攻撃者が何を望んでいるかにかかっています。ときには、攻撃者がある情報を使用した後に、その情報を別の攻撃に使用するグループに販売することもあります。状況は複雑化しているのです。

確かに、闇市場で企業へのアクセス権が売買されていることは知っています。例えば、さまざまな企業にサービスは製品を供給しているサプライヤーを侵害して、そこに築いた足場を転売します。さらに標的を絞った攻撃者に対して、その企業と資産情報と共にアクセス権を売却すると、購入した攻撃者がその企業に損害を与えることになります。

ええ、そのとおりです。このような状況下では経済の理論が機能する余地がたくさんあるというのも面白いですね。そのため、1つの国家アクターの中にもAグループとBグループがあって、良い足場を得た後は、それぞれが異なる目的で活動します。そして、それらのチャネルが今の時代にどれほど高度な技術でシステムを制御しているのかというのも興味深いところです。彼らは、一旦内部に侵入すると、システムへのあらゆる種類のバックアップルートとアクセスを設定します。そうすれば、最初のルートが発見されても、まだシステム内に十分な足場を持っているので、そこに戻れば支配力とネットワーク内での力を取り戻すことができます。

なるほど。しかし、防御側の観点からすると非常に難しい立場になります。なぜなら、攻撃者のテクニック、戦術、手順を見れば、これは単なる日和見攻撃だと見なされるからです。実際には、その攻撃のすぐ後から侵入して来る悪者は完全に別の種類かもしれないのです。

しかも、これは意外にも頻繁に起こることなのです。これまで、ネットワーク内に複数のAPTが存在するケースを見てきました。例えば、エフセキュアのCounterceptチームがあるケースを調査していました。特定のAPTを見つけて削除する作業を請け負ったのです。作業をしていると、別のATPを発見しました。彼らは最初のATPに注力しなればなりません。「別のATPは休眠状態で何もしていない。だから、最初のATPを削除してから、2番目に取り組もう」と考えます。

もはや、誰もがやってくるハッカーパーティー状態ですね。

ええ、そのとおりです。異常だと思いますが、それが現実なのです。

しかし、複数の攻撃者が存在することに加えて、最近の企業では何十社、何百社ものサプライヤーを抱えています。では、これらのすべてのサプライヤーが適切なサイバーセキュリティ対策を実践していることを確認するにはどうすればよいのでしょうか?

それは非常によい質問です。私は悲観的になってしまいますが、100%確実に実施することは不可能だと思っています。ですから、防御のためのレベルを持たなければならないのですが、それでも安全だとは言い切ることができません。もちろん、サプライヤーを調査することは可能です。これは、使用しているアプリケーション、開発者が使用しているライブラリ、アプリケーションの作成に使用しているプラットフォーム、アウトソーシング会社など、あらゆる種類のサプライチェーンに当てはまります。最適なプレーヤーを選択していることを確認します。

それはどのような形態になるのでしょうか? 山のような書類なのか、それとも、レッドチーム演習が必須なのですか?

複数の方法を実施するのが良いと思っています。そのための良いプロセスがあるはずです。しかし、一番大切なことは、契約書等の書類だけに頼ってはいけないということです。ネットワークの重要な役割を担っているアウトソーシング会社を利用しているのであれば、その会社が信頼できるかどうかをしっかりと見極める必要があります。

信頼を築く唯一の方法は、レッドチーム演習をすることだと思います。基本的に、アウトソーシング会社にアプローチするときは、「どのようにしてセキュリティが十分だと保証しますか?」と質問します。その時、パワーポイントによるプレゼンテーションで取得した資格を示すようでは、委託するのを躊躇しますね。しかし、彼らが「利用できる最高レベルのレッドチームを使って、毎年演習を実施しています。これが最新のレポートです。このような問題点を発見して修正しています」というような説明をしてくれれば、相当信頼感が増すでしょう。

このような第三者の見解があり、些細な事態で攻撃対象にならないことを証明することが重要だと思います。特に、アウトソーシング会社が管理者のアクセス権や、機密情報および機密システムへのアクセス権を持っており、クライアント社内の重要な機能を担当している場合はなおさらです。

レッドチーム演習や、あらゆる種類の攻撃のシミュレーションは、それが適切に行われていれば企業にとってプレッシャーテストになりますね。実際に攻撃されたらどうするか?と言うことです。あなたにとっては、それがどのように実践されるかを示す良い指標になりそうですね。

はい。また最近では、マネージドセキュリティプロバイダーが標的にされているケースも見られます。SOCの運用やセキュリティサービスのアウトソーシングを導入する際に、レッドチーム演習が含まれていないのはおかしいと思います。他に評価できる方法がないからです。テストを実施せずに、品質や正しく動作することをどのように評価することができるでしょう?

なるほど。「信頼せよ、されど検証せよ」ですね。私たちはベンダーやサプライヤーのセキュリティポジションを確立しようとしています。また、最近の企業がインサイダーの脅威について考慮しているのと同様に、これらのサプライヤーも監視すると言うことですね。

はい。「信頼せよ、されど検証せよ」です。これは今回のポッドキャストにおける素晴らしい合言葉だと思います。私は信頼することが大切だと考えます。つまり、信頼できるベンダーとソフトウェア開発サイクルだけを選択するということです。これがとても重要です。また、検証も非常に重要です。そのため、何か問題が起きているかどうかを検知する能力が求められ、最も重要なサプライチェーンを確実に可視化すべきです。これは少し難しいことかもしれません。アウトソーシングの理由の一つは予算を節約しようとしているからです。

よく分かります。

そのため、委託先を信頼できない場合は、その作業の一部を自社のリソースで補う必要があります。そして、それは一部の企業にとって非常に難しいことかもしれません。

攻撃のシミュレーションは、サプライヤーがソフトウェア販売会社の場合は意味があるでしょう。しかし、ソフトウェアで使用するライブラリや依存製品などの場合は、安全性を確保するために何ができるでしょうか?

それは非常によい質問です。これまで話してきたように、対処する必要がある脅威にはさまざまな種類があります。このようなソフトウェアサプライチェーン攻撃は、防御することが難しくなっていると思います。なぜなら、最近の開発サイクルは短く凝縮されてきているからです。より多くの開発をより迅速に行うため、ソフトウェアの品質を確認する時間が削減されます。また、使用するすべてのライブラリをチェックすることはほとんど不可能です。オペレーティングシステム、Webアプリケーションフレームワーク、使用するライブラリなどの安全性確保に関しては、各サードパーティに依存せざるを得ません。

それでも実行できることはいくつかあります。たとえば、使用するプラットフォーム、ライブラリ、アプリケーションの知名度が高い場合、それらのベンダーはセキュリティに多額の投資をしているため一般的に安全です。また、バグ報奨金制度を実施している場合は、少なくとも誰かが脆弱性を見つけた場合の報奨金を予算化しているので、これは良い傾向だといえます。

メディアの反応を参考にすることもできます。脆弱性があっても、ベンダーが「それは良くない」というだけで、脅威そのものについて非常に無知である場合は悪い兆候です。一方で、インシデント対応のメカニズムがしっかりしていて、透明性が高く、問題を修正する仕組みが優れていれば、より安全なパートナーになるでしょう。しかし、製品を提供しなければというプレッシャーが非常に大きい場合には、こうした決定を下すのが極めて難しいことは理解できます。

ソフトウェアの完全性と機能性を確保するための伝統的な手法は、ライブラリのバージョンを選択して、それだけを使用するというものでした。以降のすべての更新および変更を無視します。今でもそのようなことが可能なのでしょうか?それとも、依存製品の変化に合わせて最新の状態を維持する方法を開発しなければならないのでしょうか?

特にIoTの世界において、IoTデバイスはパッチを当てるのが難しいという議論が出ていますが、それは非常に興味深いことだと思います。IoTデバイスに脆弱性が存在してもパッチを当てられないこともあり、極めて危険です。ですから、今は修正プログラムを適応できる機能を持った製品をだけを利用することが重要です。それは、IoTデバイスのような小さなものにも当てはまるのです。

しかし、これはより大きなシステムにも当てはまります。金融や軍事などの非常に重要なシステムでは、修正できないシステムやレガシーシステムが多過ぎてパッチを当てるのが危険な場合があります。システムが壊れてしまうかもしれません。壊れても修復できない可能性があります。あらゆる回避策を用意して修正作業に取り組まなければなりません。

これはサプライチェーン攻撃にも関連しています。サプライチェーン攻撃はパッチを介して行われる可能性があるからです。パッチサイクルが侵害されることもあります。危険なことも発生し、かなり厳しい状況になります。必要なのはリスクを認識しておくことです。それこそが今回の話の趣旨だと思います。

それでは、サプライチェーン攻撃がすでに発生していることを企業が検知する方法はありますか?

それは非常に重要な問題だと思います。なぜなら、すべての企業はその最終的な能力を有するべきで、攻撃活動を客観的に検知できるような防御レベルを備えている必要があるからです。そのため、攻撃者が企業のネットワーク内に侵入して、最も重要な場所に到達している場合は、検出機能を使用して攻撃者を探し出す必要があります。また、適切な対応方法を用意すべきです。

ネットワークの奥深く入り込み、すでにそれなりのカバレッジを確保している攻撃者を検知した場合は、最適な対応を行う必要があります。したがって、単に感染したマシンを再インストールしたり、第4世代のファイアウォールにIOCの署名を追加するだけでは不十分です。適切なフォレンジックを実行し、直面している問題を明確に把握し、ネットワーク内の脅威アクターを発見し、計画を策定し、回避する方法を決定する能力が求められています。

客観的に見た攻撃活動のことを話しているのですね。つまり、適切な検知方法を用いれば、外部関係者や悪意のある内部関係者、そしてサプライチェーンを経由する脅威をすべて検知できるということですね。

そのためにはメカニズムが必要です。すべてを検知できるわけではないと思いますが、十分な検知能力があれば1つでも多くのミスを検知できるでしょう。検知したら根本原因を突き止めるメカニズムでネットワーク内の火元を見つける必要があります。何事においても100%の可視性を得ることはできませんが、攻撃者の最終ステップを検知する機能に投資すべきです。

そのため、企業にとって貴重な資産は何か、それらにどうやってアクセスできるのか、また攻撃者が接近してきたことを察知する機構をどのように作るのかなどを明確にします。攻撃者は何とかしてそれらの資産を探し出してアクセスしようとしています。

なるほど。現在、企業のCISOは、懸念事項を山ほど抱えています。もしあなたが大手企業のCISOだとしたら、サプライチェーン攻撃は懸念事項リストのどの位置にあるのでしょうか?

もし金融、製造、あるいは電力業界に勤めているのであれば、サプライチェーン攻撃は特にリストの上位にくると思います。

その理由は何ですか?

特に2018年から、2019年、そして最近にかけて、どのセグメントよりも多く標的にされているからです。アウトソーシングサービスを利用している場合、特定のアウトソーシングサービスに大きな信頼を置いている場合、またはアプリケーションを含む製品が特定のコンポーネントに依存している場合、それらが侵害されていないことを確認するために多大な努力を払うことになります。

はい。リスクを考慮したうえで、依存部分がどれだけ重要かということになりますね。ベンダーやそのベンダーが提供しているものにどの程度依存しているのか。彼らのシステムへのアクセスの深さはどの程度か。それによって、その脅威へのアプローチの仕方が決まります。

そのとおりです。今ではほとんどの企業でサプライチェーンが極めて重要になっています。前にも話したように誰かが井戸を汚染したら、村全体が破壊されるのです。

はい。したがって信頼している相手がその信頼に値することを確認したいのですね。

そうです。やみくもに信頼を深めようとしてはいけませんね。信頼に値することを検証する方法が必要になります。

そこで、「信頼せよ、されど検証せよ」ですね。

そうです。「信頼せよ、されど検証せよ」です。

それでは時間になりました。今日はポッドキャストに出演してくださりありがとうございました。

ありがとうございました。

 

F-Secure Japan

20.10.20 24 min. read

カテゴリ

注目記事

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。