世界中でサイバー攻撃が増えているが、企業が特に注意すべきはサプライチェーン攻撃だろう。IPAが前年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をまとめた「情報セキュリティ10大脅威」2024版の組織編でも、「サプライチェーンの弱点を悪用した攻撃」が第2位にランクインしている。

自社に弱点がなくても、取引先や委託先が脆弱であれば、サプライチェーン攻撃を受ける恐れがある。サプライチェーン攻撃にはいくつかパターンがあるが、ソフトウェアにマルウェアなどを混入する「ソフトウェアサプライチェーン攻撃」はユーザーが多いだけに被害が拡大しやすい。

今回、パロアルトネットワークス 日本・アジア太平洋地域担当サイバーセキュリティ ストラテジー 兼 テクノロジー ディレクター ミスラ・アジェイ氏に、サプライチェーン攻撃の現状と対策について聞いた。

  • パロアルトネットワークス 日本・アジア太平洋地域担当サイバーセキュリティ ストラテジー 兼 テクノロジー ディレクター ミスラ・アジェイ氏

ソフトウェアサプライチェーンを取り巻く現状

アジェイ氏は、ソフトウェアサプライチェーン攻撃について、「ハッカーがライブラリに脅威を混入し、ソフトウェアが乗っ取られた状態で実行される。ハッカーがソースコードに入り込み、CI/CDを乗っ取り、コードを書き替える。ソフトウェアのあらゆるところにリスクがある」と説明した。

  • サプライチェーン攻撃の流れ

そして、ソフトウェアサプライチェーン攻撃といえば、「SolarWindsの事件を語らないでは済まされない」と、アジェイ氏は続けた。ソフトウェアサプライチェーン攻撃が大きな注目を集めたのはこの事件がきっかけだった。

2020年12月、SolarWindsが提供しているIT管理ソフト「Orion Platform」正規のアップデートを通じてバックドアが仕込まれ、同製品を利用していた世界中の約1万8000の企業・組織が被害に遭った。複数の米国政府機関に加え、日本でも被害が確認されている。

別なサプライチェーン攻撃の例として、アジェイ氏は、3CXのVoIPソフトウェア「The 3CX Client」の正規版のインストーラファイルが改竄されたことを紹介した。同社の顧客リストには日本企業も名を連ねていたといわれている。

対策に困難を極めるソフトウェアサプライチェーン攻撃

前述したように、ソフトウェアの開発工程で脅威を仕込まれてしまうソフトウェアサプライチェーン攻撃を防御することは簡単ではなさそうだ。

アジェイ氏は、「完璧なセキュリティはありえず、特にソフトウェアサプライチェーン攻撃への対策は非常に難しい」と語る。

「ソフトウェアサプライチェーン攻撃は、ソースコードにおける潜入期間が長いという特徴がある。攻撃が始まると、サプライチェーンを介して水平攻撃が生まれる」

また、今日のソフトウェア開発において、オープンソースソフト(OSS)が不可欠であることもサプライチェーンのリスクを高めている。例えば、プログラミング言語として広く利用されているJava、Pythonのいずれもオープンソースとして利用されている。

オープンソースはコミュニティによって開発されており、脆弱性の管理や対処が難しい。しかし、「OSSを使わないという選択肢はない」とアジェイ氏は話す。

生成AIの利用進むソフトウェア開発、AIとプラットフォームで対抗すべき

では、どうしたら、ソフトウェアサプライチェーン攻撃の被害を回避することができるのだろうか。

アジェイ氏はサプライチェーン攻撃への対策の一つとして、「ポイントソリューションが敵」として、プラットフォームの導入を挙げた。エンドポイントからネットワークまで、プラットフォームによって一貫した対応が必要だという。「脅威は迅速に対応する必要があり、検知から対応までのスピードが求められる。それにはプラットフォームが不可欠」とアジェイ氏。

同社は、コードからクラウドまでカバーするCode-to-Cloudのプラットフォームを掲げている。アプリケーションライフサイクルのセキュリティ全体をサポートすることで、コーディング、構築、導入、実行のすべての段階を可視化して保護する必要があるという。

なお、セキュリティ業界ではプラットフォームがトレンドであり、プラットフォーム戦略を掲げるベンダーは多い。アジェイ氏は「プラットフォームの定義を確認する必要がある」とアドバイスする。

「ソフトウェアサプライチェーン攻撃では、ソースコードにマルウェアが混入して数週間潜伏し、ペイロードをダウンロードして水平展開される。中には、プラットフォームをうたっていても、部分でしか対応できない製品がある。ハッカーは動きが速く、新しい攻撃手法をすぐに考える。こうした攻撃者の動きに沿った形で機能を搭載していたら、それはプラットフォームといえる」(アジェイ氏)

さらに、アジェイ氏はAIの活用にも言及した。昨今、アプリケーション開発を支援する生成AIソリューションが増えている。「アプリ開発に生成AIを使うことで生産性が10倍程度も向上している。一方で、AIで生成されるコードが安全なものでないという可能性も高まっている」とアジェイ氏。

開発からランタイムに至るまでのセキュリティリスクの管理および可視化を実現するために、同社の製品では、ネットワークやエンドポイントについて、生成AIに質問すると回答・分析してくれる。また、AIによるセキュリティポスチャ管理を利用することで、データベースやアプリケーションの設定ミスを原因としたデータの漏洩を防ぐことができる。

SBOMはやるべき、なのに広まらない理由

さて、ソフトウェアサプライチェーンのセキュリティ対策といえば、SBOM(Software Bill of Materials:エスボム)を忘れてはいけないだろう。SBOMとは、ソフトウェアを構成するコンポーネントや互いの依存関係をリストにしたデータで、ソフトウェアの脆弱性管理の手法として注目を集めている。

経済産業省は今年4月、サイバー攻撃への備えとして、「SBOM」を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表した。つまり、国を挙げてSBOMの導入を進めている。

SBOMは世界的に導入が進んでおり、米国ではバイデン政権が2021年に大統領令によって、連邦政府と取引のある企業にSBOMを導入するよう求めた。

アジェイ氏は「どんなソフトウェアを使っているかがわからないと、インシデントが発生した時、対応が長引く。SBOMを導入しないと、クラウドが止まってしまう。もはや、SBOMは必須になっている。SBOMの導入において米国が最先端であり、日本は企業での関心は高まっているものの米国と比較すると遅れている」と話す。

日本でSBOMの導入が進まない理由を聞いたところ、アジェイ氏は「政府の発言と企業の理解の足並みをそろえる必要ががあるのでは」との見解を示した。