2月25日~27日、オンラインにて開催された「TECH+ フォーラム - セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」に、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が登壇。「SHIFT LEFTから見るガバナンスとセキュリティの関係性」と題し、今注目すべきSHIFT LEFTの概念について解説すると共に、次世代の攻撃に対するゼロトラストの有効性とガバナンスの重要さを説いた。
開発環境が狙われている
西尾氏はまず、現在、ソフトウエアの開発環境がサイバー攻撃の標的になっていると指摘した。その例として同氏が挙げたのが、2020年に起きた米SolarWinds事件だ。
SolarWinds事件は、同社が開発していた「Orion Platform」というネットワーク監視ソフトのソースコードが改ざんされ、そのアップデートを適用した約1万8000件が影響を受けたという事件だ。その中には米国の政府機関なども含まれていたことから、大きな話題になった。
-
SolarWinds事件の概要
西尾氏は「こういった動きを受けて、Lazarusという北朝鮮の攻撃チームがCI/CDツールに対するサイバー攻撃を活発に行っている」と説明する。
「CI/CDツールにバックドアがあると、コードを書いてデプロイするまでのプロセスで悪意のあるコードを注入できます。製造の段階でバックドアを仕込めるので、上流を押さえられますよね。そうすると、下流のソフトウエアを使っているユーザー企業を一気に汚染することができます。攻撃者にとっては、極めて効率的な攻撃です」(西尾氏)
同氏は、このようなソフトウエアサプライチェーン攻撃では、小さな会社も被害を受ける可能氏があると警告する。攻撃者が狙うのはユーティリティであり、従業員数が少なくても関係ないからだ。
「攻撃者からすると、ソフトウエアの開発工程に対してサイバー攻撃を成功させれば、一気に数千社、数万社を感染させられるので、非常にコスパがいいのです。そのため、こうした開発工程への攻撃が非常に盛んに行われているという現状があります」(西尾氏)
攻撃者×AIが引き起こす革命
こういった動きに拍車をかけているのが、AIだという。
西尾氏は「攻撃者がAIを活用すると“武器化”のところで革命が起きる」と語る。サイバー攻撃を段階別にとらえた際、まず初めに実施されるのは偵察のフェーズだ。偵察では例えば、「この会社はOutlookを使っていて、バージョンはいくつで、どういうOSを使っていて、PDFを開くときに使っているソフトはこれで……」といった情報の取得が行われる。そして続くフェーズで、それらの脆弱性を見つけ出し、攻撃するコードを書いて送り込むためのマルウェアを用意する。これがいわゆる武器化フェーズだ。
Oracleが顧客情報流出を認める、データは古いが認証情報を含む
