サプライチェーン攻撃は、サプライチェーンに不可欠なサービスやソフトウェアを提供している、信頼されているサードパーティベンダーを標的としたサイバー攻撃の一種です。

ソフトウェアサプライチェーン攻撃は、アプリのすべてのユーザーに感染させることを目的として、アプリケーションに悪意のあるコードを挿入します。ハードウェアサプライチェーン攻撃は同じ目的で、物理コンポーネントを侵害します。

歴史的にサプライチェーン攻撃は、信頼関係を利用した攻撃です。チェーン内のセキュリティ保護されていないサプライヤーを攻撃し、より大きな取引相手にアクセスします。これは、Targetに対する2013年の攻撃で起こったことであり、脅威アクターは、標的のシステムに侵入するために空調設備業者にアクセスしました。

そして、今日のより大きな問題となっているのはソフトウェアサプライチェーン攻撃です。ソフトウェアサプライチェーンは、最新のソフトウェアがゼロから書かれているのではなく、サードパーティのAPI、オープンソースコード、ソフトウェアベンダーのプロプライエタリコードなど、多くの既製のコンポーネントが含まれているため、特に脆弱です。

現在では、平均的なソフトウェアプロジェクトに203件の依存関係があります。人気のあるアプリに侵害された依存関係が1つ含まれている場合、そのベンダーからダウンロードするすべての企業も侵害されるため、被害者の数は指数関数的に増加する可能性があります。

また、ソフトウェアは再利用されるため、1つのアプリケーションの脆弱性が元のソフトウェアのライフサイクル以上に存続する可能性があります。大きなコミュニティの場合、フォロワーの少ないプロジェクトよりも、脆弱性が早く公開される可能性が高いため、大規模なユーザーコミュニティがないソフトウェアは特に脆弱です。

サプライチェーン攻撃の統計

以下は、クラウドストライクのグローバルセキュリティ意識調査からの2021年の統計です。

• 84%は、その回答者に類似した組織にとって今後3年以内にソフトウェアサプライチェーン攻撃が最大のサイバー脅威の1つになる可能性があると考えています。
• 過去12か月間にセキュリティ目的ですべての新規および既存のサプライヤーを精査したのは、わずか36%です。
• 回答者の組織の45%が、過去12か月間に少なくとも1回のソフトウェアサプライチェーン攻撃を経験しました（2018年は32%）。
• ソフトウェアサプライチェーン攻撃を初めて受けた組織の59%では、対応戦略が作成されていませんでした。

増加中の攻撃

サプライチェーン攻撃が430%増加しているのは、企業による適切な環境の堅牢化の対応が進むにつれて、悪意のある攻撃者は、よりたやすく攻撃できる標的に目を向け、攻撃者の試みを検知することを困難にすると同時に、望ましい標的に到達する可能性を高めるような、より独創的な方法を発見するようになってきているためです。

サプライチェーン攻撃の種類を以下に示します。

• アップストリームサーバー攻撃は最も一般的であり、悪意のあるアクターが悪意のある更新などを介してユーザーの「アップストリーム」のシステムを感染させ、それをダウンロードしたすべての「ダウンストリーム」のユーザーを感染させます。これは、SolarWindsのサプライチェーン攻撃で発生しました。
• ミッドストリーム攻撃は、ソフトウェア開発ツールなどの中間の要素を標的にします。
• 依存関係の混乱攻撃は、パブリックリポジトリに同じ名前でバージョン番号が新しい依存関係を登録することにより、内部で作成されたプライベートなソフトウェアの依存関係をエクスプロイトします。この誤った依存関係が、正しい依存関係の代わりになって、ソフトウェアビルドに取り込まれる可能性があります。
• 盗取されたSSLおよびコード署名証明書攻撃は、安全なWebサイトおよびクラウドサービスのユーザーを認証するために使用される秘密キーを侵害します。Stuxnetはこのカテゴリに分類されます。
• CI/CDインフラストラクチャ攻撃は、正当なGitHubリポジトリのクローンを作成するなどして、開発オートメーションインフラストラクチャにマルウェアを持ち込みます。
• オープンソースソフトウェア攻撃は、コードをビルドに導入し、ダウンストリームのビルドを使用するユーザーに伝播させます。