欧州ネットワーク情報セキュリティ機関(ENISA)は現地時間7月29日、ソフトウェアサプライチェーンに対する最近の24件の攻撃を分析したレポート「ENISA THREAT LANDSCAPE FOR SUPPLY CHAIN ATTACKS」(サプライチェーン攻撃に関する脅威の状況)を公開し、その中で一元的なセキュリティ保護だけでは不十分だと結論付けた。
ENISAが分析した最近のサプライチェーン攻撃には、SolarWindsの「Orion」ソフトウェアのほか、CDNプロバイダーであるMimecastや、開発者向けツールを手がけるCodecov、エンタープライズ向けのITシステム管理サービスを手がけるKaseyaの製品を通じたものが含まれている。
ENISAはAPT(Advanced Persistent Threat)型のサプライチェーン攻撃に焦点を当てており、そういった攻撃で用いられたコードやエクスプロイト、マルウェアは「高度」(Advanced)なものではない一方で、計画や段階的な実施、実行は高度で複雑なものだったと記している。また、サプライチェーン攻撃のうちの11件は既知のAPTグループによって実行されたとも記している。
レポートには「こういった特徴を知っておくことが、独自に優れた防御体制を敷いている組織であってもサプライチェーン攻撃に脆弱となり得るという点と、攻撃者は組織のサプライヤーを狙うことで、そうした組織に侵入するための新たな道を模索している点を理解する上で重要だ」と記されている。
サプライチェーン攻撃は悪化するとENISAは予想している。「影響を緩和しながら、将来のサプライチェーン攻撃の可能性を防ぎ、対応する新たな保護対策が緊急に導入される必要がある理由はそこにある」としている。
ENISAの分析によると、報告された攻撃のおよそ66%において、攻撃者はサプライヤーのコードに着目していたという。また、公表されるまで攻撃に気付かなかったサプライヤーも同じ割合で存在したという。
ENISAは「この値は、組織がサードパーティーのコードやソフトウェアを導入する前に、そういったものが改ざんされておらず、かつ(何者かに)統制されていないことを保証するための検証に注力すべきだということを示している」と記しているものの、その実行は言うほど簡単な話ではない。
SolarWindsのインシデントに関する情報公開の後にThe Linux Foundationが強調していたように、オープンソース部分と監査されていないプロプライエタリーなソフトウェアの双方のソースコードをレビューしていたとしても、おそらくあの攻撃を防ぐことはできなかったはずだ。
ENISAは欧州連合(EU)レベルでの連携を呼びかけており、顧客とベンダーに向けた9つの提言をまとめている。
顧客に向けた提言は以下の通り。
- サプライヤーとサービスプロバイダーの洗い出しと文書化
- サプライヤーと顧客の依存関係、そして核となるソフトウェアの依存性、単一障害点といった、さまざまな種類のサプライヤーやサービスに対するリスク基準の定義
- サプライチェーンのリスクと脅威の監視
- 製造/サポート終了となる製品やコンポーネントの取り扱い手続きを含む、製品やサービスのライフサイクル全体にわたるサプライヤーの管理
- サプライヤーと共有する、またはサプライヤーがアクセスできる資産や情報の分類と、そのアクセスや取扱いに関する適切な手続きの定義
サプライヤーに向けた提言は以下の通り。
- 製品やコンポーネント、サービスの設計や開発、製造、調達に用いられるインフラにおける、サイバーセキュリティプラクティスへの準拠
- 一般に受け入れられている製品開発プロセスとの整合性を有した製品開発/保守/サポートプロセスの実現
- サードパーティーのコンポーネントを含め、内外の情報元から報告されるセキュリティ脆弱性の監視
- パッチに関連する情報も含めた資産目録の維持管理
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。