「サプライチェーン」の侵害が顕在化:国内における標的型攻撃(2020)-セキュリティブログ

NIST SP800-171など、サプライチェーンの上流から末端までをケアする動きが政府調達を中心に日本でも始まりつつあります。
今回はそんなサプライチェーンへの攻撃を含む、国内における標的型攻撃について、トレンドマイクロ セキュリティブログより紹介します。

トレンドマイクロでは、2020年の1年間に確認した、日本国内における「標的型攻撃」に関しての分析を行っている。
組織のネットワークに侵入する標的型攻撃は、法人組織にとっては深刻な被害につながりかねない危険な存在であることは言うまでもない。
また、この危険な攻撃の背後には、一般に「State-Sponsored」などと呼ばれる国家や政府との関連が推測される攻撃者の存在も見え隠れする。


図:ネットワークに侵入する標的型攻撃の攻撃段階概念図

具体的な攻撃の流れとしては、組織のネットワーク内への侵入や侵入後のネットワーク内部での活動が継続して行われると同時に、ネットワーク内への侵入発見を避けるための隠蔽工作が行われます。
このため侵害自体に気づくことが難しく、被害自体が認識されないことすらある。

標的型攻撃では以前から、「環境寄生型(英:Living Off The Land)」攻撃と呼ばれる攻撃戦略が常套手段的化していた。「ファイルレス活動」に代表される巧妙な活動痕跡の隠蔽とともに「正規」を利用し、自身の活動に気づかせずに潜伏する手法が進み、さらに「気づけない攻撃」になっている。
この組織ネットワークへの侵入と自身の活動の隠蔽を達成する攻撃戦略は巧妙な攻撃手法故に効果が高く、以前は標的型攻撃のみで見られていた攻撃手法だったものが、今やランサムウェア攻撃などの金銭目的の攻撃など不特定多数を狙うようなサイバー犯罪においても常套手段となっている。
つまり、標的型攻撃で使用される攻撃手法を把握することは、最先端の攻撃手法を把握することでもある。

孫氏の教訓にも「敵を知り、己を知れば、百戦して殆(あや)うからず」という言葉があるが、まずは攻撃手法を知ることが、防御の第一歩といえよう。

そして、2020年に確認した標的型攻撃においては、ネットワーク侵入時に組織の持つ「サプライチェーンの弱点」につけこむ攻撃が顕在化してきている。
この一般に「サプライチェーン攻撃」と呼ばれる攻撃の起点は、以下の3種に分けられる。

  1. 「ソフトウェア」:ソフトウェアの製造・提供の工程を侵害し、ソフトウェアそのものやアップデートプログラムなどに不正コードを混入し実行させる攻撃
  2. 「サービス」:MSPなどのサービス事業者を侵害し、提供サービスを通じて利用者に被害を及ぼす攻撃
  3. 「ビジネス」:標的組織の関連組織や子会社、取引先などを侵害し、業務上の繋がりを利用して標的組織への攻撃の踏み台とする攻撃

2020年にトレンドマイクロが観測した侵入事例においては、これらのサプライチェーン攻撃と呼ばれる3種すべての事例が見つかっている。
特に組織間のビジネス上の関係性を悪用する「ビジネスサプライチェーン攻撃」の事例としては、日本組織の海外拠点の侵害から国内ネットワークに侵入された事例を複数件確認しているという。

標的型攻撃を行う攻撃者は自己の目的達成のために常に標的組織の弱点を探している。その中でサプライチェーンの弱点はどこの組織にもあてはまる弱点として、今後、悪用が常套化していく可能性が高いと考えられる。

 

情シスとしては、このような視点も忘れずにいることも必要である。

 


本記事は、トレンドマイクロ様の許諾の元、「トレンドマイクロ・セキュリティブログ」の内容をベースに作成しております。
ソース:https://blog.trendmicro.co.jp/archives/28732

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. シリーズ【SSL可視化とセキュリティ】3)クラウドサービス活用時代における ネットワークセキュリティの必要性

  2. 「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

  3. DX時代の情報システム部門をアップデートする『情シスサミット 2021 ONLINE』開催

  4. シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

  5. Are you ready for DX? あなたは「DXの本質」を理解してますか?

  6. セキュリティ事故が発生した場合の被害額って想像できてますか!?~JNSAレポートより~

  7. 松田軽太の「一人情シスのすゝめ」#20:PDCAはKPTと合わせ技で行うと効果的!?

  8. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

  9. Microsoft 社 Internet Explorer のサポート終了(EOS)について-IPA

  10. DX時代の情シス基礎知識#01【IT戦略編】

プレスリリース

登録されているプレスリリースはございません。

関連サービス

IT-Manager AS

IT-Manager SD

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る