セキュリティの
学び場

今回の解説ニュース

サプライチェーン上のインシデントについての調査結果が公開されています。セキュリティの社会的課題として挙げられているサプライチェーンリスクや、そのインシデント事例について説明します。

今回の調査は、2020年4月から2021年9月末までに公表されたSaaSのサプライチェーン上で発生したインシデント情報45件及び脆弱性情報24件を収集し、その分類、発見場所、公表年、発見の経緯、区分、原因、被害内容、対応内容、再発防止策を収録しています。

同調査で収集したインシデント事例として、マッチングアプリサービスへの不正アクセス、テストカバレッジツールのスクリプト改ざんによる情報漏えい、ネットワーク管理・監視製品からの情報漏えいの3件を取り上げ、概要図を作成した上で詳細を取り上げています。

利用者急増のSaaS、サプライチェーンリスクを改めて認識

サプライチェーンリスクとは、関連企業のマルウェア感染や、利用しているソフトウェアの脆弱性など、サプライチェーン全体に潜在するリスクです。利用者が急増しているSaaSのサプライチェーン上では、複数のクラウドサービスがつながることも多く見られるため、注意が必要です。

インフラにはAWS、ソースコード管理にはGithub、タスク管理にはTorelloなどが使えます。コミュニケーションにはSlack、ドキュメントにはGoogleを使ったとすると、これだけで5つのSaaSを使っていることになります。もし、利用しているSaaSでインシデントが発生した場合は、利用者や開発プロジェクトも何らかの影響を受ける可能性がありますので、利用しているSaaSで問題が起きていないか常に確認することが必要です。

さらに、各SaaSをもっと便利に使おうとすれば、別のSaaSとつなげることもあるでしょう。このような連鎖がサプライチェーンリスクの対策を困難かつ複雑にしているとが考えられます。その他にも、OSSの利用や委託先の管理など、一般的なサプライチェーンを構成する要素についても、SaaSと同様にリスクをモニタリングすることが必要とされています。

実例からみる「サプライチェーンを巻き込むインシデント」

Orion Platformのサプライチェーンを巻き込むインシデントについて、今回の調査結果から引用して説明します。

開発段階においてのマルウェア感染から

まず、インシデントの概要として、開発工程でのマルウェア感染により、バックドアが含まれている改ざんされたコードが混入されました。その後、インターネットに公開されたバックドアを含むバージョンのOrion Platformにアップデートした組織は、管理者権限や証明書を盗取された上、別システムを経由するなどして機密情報を漏洩する等の被害を受けることになります。

対策として、影響を受けたユーザーにアップデートを促すが

インシデントの原因として、公表や修正が行われる前の脆弱性に対するゼロデイ攻撃か、サードパーティのアプリまたはデバイスの脆弱性と考えられていますが、サプライチェーンリスクに注目してみると、Orion Platform利用者への対策として、攻撃の影響を受けたソフトウェアのバージョンをダウンロードサイトから削除したり、攻撃の影響を受けたバージョンを利用する全ユーザーに対してアップデートを推奨する旨の案内をしています。

推奨対策であるはずの「最新バージョンへのアップロード」が狙われる

ここで重要なポイントとして「常に最新バージョンへアップデートする」というセキュリティで一般的に推奨されているポリシーを遵守していた組織が被害を受けている可能性があるということです。こうした、ソフトウェアの配布経路が攻撃されることで広範囲に被害が及ぶことは、サプライチェーンにおける脅威の一つと言えます。実際に、2020年3月から6月にかけて行われたOrion Platformのアップデートにより、Orion Platform全体の利用者約30万組織のうち約18,000の組織が本アップデートの影響を受けたとされています。

今回は、サプライチェーンリスクとその事例についてお届けしました。自社のセキュリティを守るためには、他社のセキュリティも意識する必要があることについて、ご理解いただけましたら幸いです。