サイバーセキュリティは脆弱なものであり、サプライチェーンには常に危険が潜んでいる。重要なのは「最も危険な脆弱性は何で、それはどこにあるのか」、その脆弱性に対し「自社で制御できるのか、あるいは実際に対処できるものなのか」と自問自答することだ。

サプライチェーンとは、原料から商品に至る、あらゆるプロセスで構成されるものだ。そこには、原料の納入業者から、製造工程、流通、そして消費者までが含まれる。例えばミネラルウォーターの販売にあてはめて考えると、消費者の手元に商品が届くまでのプロセスのどこかで汚染物が混入してしまえば、サプライチェーン全体を危険にさらしてしまう。

損なわれる企業の信頼

サイバーセキュリティも例外ではない。マルウェアなどに感染したチップセットが、ルーターなどの機器に混入してしまうと、当然、完成品も感染することになり、消費者に悪影響が及ぶ。ソフトウェアにおいては「コンポーネント（プログラムを構成する部品）が侵害された際のシナリオ」が想定されるだろう。これは、セキュリティベンダーのFireEye社が最近ハッキングを受けた際に用いられた手法だ。同社がサイバー攻撃を受けたと気付いた際、詳細な調査により、攻撃者はサプライチェーンに含まれるSolarWinds社のOrionと呼ばれるネットワーク管理製品に、マルウェアを含んだ更新プログラムを仕掛けていたことが明らかとなった。

FireEye社が「SUNBURST」と名付けたこのバックドアは、ESET社により「MSIL/SunBurst.A」として検出しているものだ。このバックドアは、FireEye社にコードが提供される前にOrionに組み込まれていたため、完成品として消費者の手に渡ることになった。この場合の「消費者」とは、約18,000の企業や政府機関を指し、Orionに潜んだバックドアによって悪意のある更新プログラムがインストールされ、被害を受けることになった。少なくとも100の企業や組織がハッキングの標的となり、攻撃者が企業のネットワークの奥深くに侵入し、不正なプログラムをさらに送り込んだ。

サプライチェーン攻撃の被害の大きさは、この事例にも表れている。それは、たった１社のベンダーへ侵入を許しただけで、そのベンダーの広範なユーザーに対して自由にアクセスでき、検出が困難になる可能性があるからだ。

サプライチェーン攻撃の現状

サイバーセキュリティの分岐点となったSolarWinds社の事件は、過去に発生した同種の攻撃の反響を巻き起こした。例えば、2017年と2018年にあったCCleanerの問題、あるいはランサムウェアになりすましたNotPetya（別名 Diskcoder.C）が挙げられるだろう。これは、M.E.Docと呼ばれる正規の税務会計ソフトウェアの更新機能を介して拡大した。また、2013年にはTarget社が、同社の取引先である冷暖房空調設備業者からログイン情報が盗まれたことで、情報漏えいの被害者となった。事実、この事件以降、サプライチェーン攻撃への関心は高まることになった。

最近の状況に話を戻すと、ESET社の研究者が、わずか数カ月の間にいくつかの攻撃の実例を明らかにした。不正侵入されたセキュリティ・アドオンを悪用するLazarusグループから、企業向けの著名なチャット・ソフトウェアを攻撃したOperation StealthyTrident、認証局に不正侵入するOperation SignSight、そしてAndroidエミュレーターを悪用するOperation NightScoutまで含まれる。

攻撃の手法やパターンはそれぞれ異なるが、その標的は細かく絞られている。韓国人やモンゴル人、ベトナム人など、それぞれのターゲットに合わせた攻撃が行われた。ばらまき型の手法に比べ、顧客層を絞ったマーケティング活動のように効果的なものである。標的型攻撃のターゲットは、その動機や目的によって変化していく。

サプライチェーン攻撃は私たちの人生にも影響を及ぼす

サプライチェーンは、私たちのデジタル・ライフをつなげる「粘着テープ」のような存在だ。サプライチェーンの中には組み立てロボットや、私たちが使う無数のデバイスが含まれている。携帯電話を自宅に忘れてきたら、きっと取りに帰るはずだ。それだけ携帯電話に依存しているということで、同様に医療機器にも依存している。それらがハッキングされたかどうか、あなたに知る術はあるだろうか？ もはやそれは、あなただけの問題ではないことだ。

自動化は理にかなっている。自動化において、ロボットは人よりも優れているものだ。しかし、ロボットが言うことを聞かないときはどうなるだろう？ ロボットが東京の街を踏み潰すのはアニメのようで現実味が無いかもしれないが、建物を制御するソフトウェアにひそかにバックドアを仕掛けられたとしたらどうだろう？ 発見できる見込みは低いだろう。

かつてはハードウェアとソフトウェアの境界は明確だった。しかし今ではそれが以前より曖昧になってきている。マイクロチップやSoC（システム・オン・チップ）から、Xylinx社のFPGA用のコードに至るまで、メーカーやインテグレーターは、たくさんのソフトウェアをチップに詰め込み、基板にはんだ付けする。
プログラム・コードのうち、手間のかかる部分はオープンソースか既に誰かが開発したものだ。エンジニアはそれらをダウンロードし、まとめあげた上で完成品を出荷する。その工程のどこかでコードが破損していないことが条件だが、このやり方で十分なのだ。しかし昔からある初歩的なツール群は、過去のプロトコルを改変したものや、安全でないプロトコルを用いているため、サイバー攻撃の格好の餌食となってしまうだろう。

近年、不正侵入は凶暴さを増し、盛んに行われるようになった。

どのようなサプライチェーンでも、不正プログラム混入のリスクがないと断定するのは難しい。ネットワーク・トラフィックを盗み見するためのコードが仕掛けられた偽のチップから、破損したSoC（System on a chip）のコードまで幅広く検出するのが困難だからだ。攻撃者にとっては、インターネットからアクセスできるバックドアをソフトウェアに仕込むのはメリットが大きい。後から攻撃をしやすくするために、彼らはどんな手段を使ってでも混入させようとするのだ。

これは現在、大きな市場をも巻き込んだ世界的な動きとなっている。エンジニアが深刻なソフトウェアのバグを正しく申告したとしても、Tシャツやわずかな報奨金しか得られない。一方、国際的な犯罪組織にバグの情報を売り込めば、自分の島を買う頭金になるほどの金額が得られる。このような状況下では、サプライチェーンをむやみに信じるのは難しい。実際、トラブルも頻繁に起こっている。

信頼を保つには

企業が自社のサプライチェーンを完全にコントロールし、消費者に至るまでの過程で完成品やサービスに「異物」が混入されないよう保証できる確率は、ほとんどゼロに近いと言ってもよい。サプライチェーン攻撃のリスクを軽減するには、リスク管理と法令遵守を徹底し続けるしかない。実際、SolarWinds社の事件では、攻撃後に行われたサードパーティ製品に対する詳細な調査により、コードの深くに埋め込まれた脆弱性がようやく特定されたのだ。

ソフトウェア・サプライチェーンの脆弱性に起因するリスクを軽減する10個の方法について、以下に概要を記す。

• ソフトウェアについてよく理解する。自社で扱っているオープンソースや既成のツールを網羅した一覧表を作成する。
• 既知の脆弱性に注意し、パッチを適用する。問題のある更新プログラムを使った攻撃は脅威だが、更新をおろそかにしてはいけない。
• サードパーティのソフトウェアベンダーに影響する情報漏えいに注意する。
• 不必要な、あるいは古くなったシステム、サービス、プロトコルの使用を停止する。
• 供給業者のリスクを評価し、彼らのセキュリティ・プロセスについて理解を深める。
• ソフトウェア供給業者に対し、セキュリティ要件を定める。
• 定期的なコードの監査を実施し、セキュリティ・チェックやコードの変更管理プロセスについて確認する。
• 潜在的な問題を発見するためのペネトレーションテストについて確認する。
• ソフトウェア開発プロセスとビルドパイプラインを保護するためのアクセス制御と二要素認証（2FA）を要求する。
• 多層防御のセキュリティ・ソフトウェアを実行する。

企業は、すべての供給業者と、提供されるコンポーネントを適切に管理し、自社で策定したポリシーやプロセスによって監視する必要がある。サプライチェーン攻撃は自社の評判に大きな影響を与える。法的な契約を結び、供給業者に責任を負わせるだけでは十分ではない。最終的には、消費者が製品を購入したり、サービスを受けたりした企業自体に責任が伴うからだ。