Back to Blog ブログ一覧へ戻る

サプライチェーンの攻撃を

特定し、防止するために

By
Matthew Pieklik
|
May 26, 2021

ビジネスにとって、成長、成功は重要ですが、一方で悪評もつきものであるとして考えられてきました。しかし、20年以上前にラッパーのビギー・スモールズが出したシングル曲『Mo money Moproblems』(金が増えれば問題も増える)のタイトルが示す通り、大金のあるところには、より多くの問題が生じます。もちろん、この曲ででてくる「問題」はサイバー攻撃を指しているわけではありませんが、攻撃者は収益の大きな企業をターゲットにします。そして、万全の対策を行っていたはずの大企業が不正アクセスによって大打撃を受けると、人々はショックを受けるものです。

企業のサイバーセキュリティ対策費用は増加しています。Gartner 2021 CIOAgenda Survey(ガートナー、2021年のCIOアジェンダ)でも新規出費の最優先事項として、サイバーセキュリティが挙げられています。企業は特に攻撃や侵入を引き起こすような間違ったことをしているわけではなくても、攻撃される対象の領域が拡大し続けているため、新しい領域を防御するためのアプローチについて考え方を更新していく必要があるのです。

クラウドの導入とデジタルトランスフォーメーションによって、攻撃されうる対象が拡大しているとも言えます。しかし今、人をつなげ、生産性を維持するためのクラウドアプリケーションがなかったらどうなるでしょうか?また、攻撃対象として見過ごされてきたもう一つの領域には、サプライチェーンがあります。この領域は、2020年に発生したSolarWinds社へのサプライチェーン攻撃によって、脆弱になり得ることが、より知れ渡りました。

 

サプライチェーン攻撃とは何か?

サプライチェーン攻撃とは、サプライヤーやサービスプロバイダーなどの外部パートナーを経由して、攻撃者がシステムにアクセスすることを指します。すなわち、ビジネスや組織の成長のために新しいサービスやパートナーを採用すると、サプライチェーンが拡大し、攻撃対象も拡大するということです。

他の企業や組織のためにソフトウェアやハードウェアを製造している企業は、サプライチェーン攻撃の標的となる可能性があります。実際、一般的に使われているソフトウェアを侵害することができれば、そのソフトウェアを利用しているすべての企業にアクセスできるため、攻撃者にとっては大きなチャンスとなるのです。一方で、攻撃者がサプライチェーンを狙っていることを把握するのは重要ですが、それだけに集中すると、別のトラブルに巻き込まれる可能性もでてきます。

サプライチェーンに対する攻撃は阻止することができる、という考えもありました。しかし、SolarWinds社の攻撃を例に挙げると、攻撃者は9ヶ月間も発見されることなく潜伏することができてしまったのです。今回の攻撃で影響を受けたのは、大手ハイテク企業であり、いずれもセキュリティチームが存在し、対策ツールも導入していました。このような攻撃に対する理解を深めるために、当社は最近のサプライチェーン攻撃の調査を実施しました。そして、攻撃者が、広く普及している製品へのアクセスを利用して、多くの組織のローカルエリアネットワークにアクセスしていることを確認しました。その詳細は、Vectra AIの最新のスポットライトレポート「ビジョンと可視性:MicrosoftAzure ADとOffice 365の脅威検知トップ10」にて紹介していますが、ここではその中からいくつかのポイントをご紹介します。

注目すべき点は、SolarWinds社へのサプライチェーン攻撃のような事例において、攻撃者が、ネットワークのサンドボックス、エンドポイント、多要素認証(MFA)などの予防的対策を回避するために、多大な労力とスキルを費やしていることです。サプライチェーンの攻撃者が防止策を回避するために使用する手法には、次のようなものがあります。

  • サンドボックスやその他のマルウェア解析環境の中にないことを徹底的にチェックする
  • エンドポイントの一般的な制御を回避するために、コード署名や正当なプロセスを使用する
  • コマンド&コントロール(C&C)ビーコンを配布する際に、ファイルベースの解析を回避するための新しいインメモリ・ドロッパーの使用
  • 盗まれたSAML(Security Assertion Markup Language)セッション署名鍵を使用してMFAを回避する

当社のスポットライトレポートでは、攻撃者が最初のバックドアからクラウドに至るまで、環境を介してどのように攻撃を進行させるかを紹介しています。攻撃者がエンドポイントの制御を巧みに回避するために必要なスキルと集中力のレベルは、最近のエンドポイント検知および対応(EDR)の進歩に対抗するためと言えます。これは、強い意思と高いスキルを持つ攻撃者は、常に防止策やエンドポイント制御を回避することができるということを示す重要な指摘です。

では、何をすれば良いのでしょうか?侵入されることを前提に考えるべきでしょうか?その答えは、こうです。重要なのは、侵入されたときに適切なツールとサポートを用意して、攻撃を食い止めることです。今回のスポットライトレポートのためにデータを収集した際に行ったことの一つは、サプライチェーン攻撃において報告された行動が、Vectra AIの定義された脅威の検知にどのようにマッピングされるかを示すことでした。例えば、ハッカーがSAMLトークンを偽造してAzure ADOffice 365にアクセスし、MFAやその他のセキュリティポスチャーの検証を回避した場合、Vectra AIの検知のトリガーとなり、セキュリティチームに問題として警告します。

ほんの一例のご紹介となりましたが、攻撃者の振る舞いがどのようにしてサプライチェーン攻撃に結びつくのか、ぜひレポートを確認いただければと思います。

レポートはこちらからダウンロード可能です。サマリー版もご用意しておりますのでぜひご確認ください。