サプライチェーン攻撃は悪化の一途、多元的な保護対策が必要--ENISAレポート

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2021-08-04 13:05

 欧州ネットワーク情報セキュリティ機関(ENISA)は現地時間7月29日、ソフトウェアサプライチェーンに対する最近の24件の攻撃を分析したレポート「ENISA THREAT LANDSCAPE FOR SUPPLY CHAIN ATTACKS」(サプライチェーン攻撃に関する脅威の状況)を公開し、その中で一元的なセキュリティ保護だけでは不十分だと結論付けた。

 ENISAが分析した最近のサプライチェーン攻撃には、SolarWindsの「Orion」ソフトウェアのほか、CDNプロバイダーであるMimecastや、開発者向けツールを手がけるCodecov、エンタープライズ向けのITシステム管理サービスを手がけるKaseyaの製品を通じたものが含まれている。

 ENISAはAPT(Advanced Persistent Threat)型のサプライチェーン攻撃に焦点を当てており、そういった攻撃で用いられたコードやエクスプロイト、マルウェアは「高度」(Advanced)なものではない一方で、計画や段階的な実施、実行は高度で複雑なものだったと記している。また、サプライチェーン攻撃のうちの11件は既知のAPTグループによって実行されたとも記している。

 レポートには「こういった特徴を知っておくことが、独自に優れた防御体制を敷いている組織であってもサプライチェーン攻撃に脆弱となり得るという点と、攻撃者は組織のサプライヤーを狙うことで、そうした組織に侵入するための新たな道を模索している点を理解する上で重要だ」と記されている。

 サプライチェーン攻撃は悪化するとENISAは予想している。「影響を緩和しながら、将来のサプライチェーン攻撃の可能性を防ぎ、対応する新たな保護対策が緊急に導入される必要がある理由はそこにある」としている。

 ENISAの分析によると、報告された攻撃のおよそ66%において、攻撃者はサプライヤーのコードに着目していたという。また、公表されるまで攻撃に気付かなかったサプライヤーも同じ割合で存在したという。

 ENISAは「この値は、組織がサードパーティーのコードやソフトウェアを導入する前に、そういったものが改ざんされておらず、かつ(何者かに)統制されていないことを保証するための検証に注力すべきだということを示している」と記しているものの、その実行は言うほど簡単な話ではない。

 SolarWindsのインシデントに関する情報公開の後にThe Linux Foundationが強調していたように、オープンソース部分と監査されていないプロプライエタリーなソフトウェアの双方のソースコードをレビューしていたとしても、おそらくあの攻撃を防ぐことはできなかったはずだ。

 ENISAは欧州連合(EU)レベルでの連携を呼びかけており、顧客とベンダーに向けた9つの提言をまとめている。

 顧客に向けた提言は以下の通り。

  • サプライヤーとサービスプロバイダーの洗い出しと文書化
  • サプライヤーと顧客の依存関係、そして核となるソフトウェアの依存性、単一障害点といった、さまざまな種類のサプライヤーやサービスに対するリスク基準の定義
  • サプライチェーンのリスクと脅威の監視
  • 製造/サポート終了となる製品やコンポーネントの取り扱い手続きを含む、製品やサービスのライフサイクル全体にわたるサプライヤーの管理
  • サプライヤーと共有する、またはサプライヤーがアクセスできる資産や情報の分類と、そのアクセスや取扱いに関する適切な手続きの定義

 サプライヤーに向けた提言は以下の通り。

  • 製品やコンポーネント、サービスの設計や開発、製造、調達に用いられるインフラにおける、サイバーセキュリティプラクティスへの準拠
  • 一般に受け入れられている製品開発プロセスとの整合性を有した製品開発/保守/サポートプロセスの実現
  • サードパーティーのコンポーネントを含め、内外の情報元から報告されるセキュリティ脆弱性の監視
  • パッチに関連する情報も含めた資産目録の維持管理

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. 開発

    「スピード感のある価値提供」と「高品質な製品」を両立させるテスト会社の使い方

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]