サプライ チェーンに脅威を与えた SolarWinds 事件から 2 年、影響は今も続く

※この投稿は米国時間 2022 年 12 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。

四半期ごとの Security Talks シリーズでは、Google Cloud セキュリティ チームや業界の専門家を集め、最新のセキュリティ プロダクト、イノベーション、ベスト プラクティスに関する情報をお届けします。以下は、12 月 7 日に開催された Mandiant の Security Talks プレゼンテーション「前線から見た Mandiant の事例: サプライ チェーンへの侵害に対するサイバー防御の有効化」の概要です。

2020 年 12 月、SolarWinds のサプライ チェーンの侵害が発覚しました。世界中で発生したこのコンピュータ侵入攻撃により、さまざまな組織やセキュリティ リーダーがサイバー脅威プロファイル、リスク評価、防衛体制を一から見直すことになりました。この事件は、経験豊富なセキュリティ リーダーや IT の意思決定者にとって大きな転機となりました。業界やセクターを問わずさまざまな組織のセキュリティ チームが、特に、重要なインフラストラクチャのシステム、ネットワーク、データの保護方法を改善しました。事件から 2 年を経た今、当時の事件とその経験から学んだこと、事件をきっかけに現在も続いているさまざまな組織やセキュリティ チームの変化を振り返ります。

ソフトウェア開発会社である SolarWinds への侵害では、同社の Orion ビジネス ソフトウェアへのアクセスを悪用して、マルウェアを含む不正なアップデートが配布されました。その後、Mandiant は、この侵害はロシアを拠点とし、ロシア対外情報庁（SVR）の支援を受けるスパイグループ「APT29」によるものと考えられると発表しました。この侵害で APT29 がアクセスできるようになった組織の数は世界中で約 18,000 に及ぶと推定されます。今後、APT29 が必要とする情報を入手しようとして、これらの組織がさらに攻撃対象となる恐れがあります。

SolarWinds の侵害の発覚以来、セキュリティ業界では、規模と対象の広さにおいてこの侵害事件に匹敵する事件はまだ発生していませんが、Google Cloud が最近発表したソフトウェア サプライ チェーンのセキュリティに関する調査レポートによれば、ほぼ全セクターでソフトウェア サプライ チェーンへの攻撃が急増していることが判明しています。

Mandiant の分析では、2021 年に 2 番目に多かった最初の感染経路としてサプライ チェーンの侵害を挙げています。最初の感染経路としてサプライ チェーンが占める割合は、2020 年は 1% 未満でしたが、2021 年は 17% でした。さらに、2021 年に発生したサプライ チェーン侵害の 86% が、SolarWinds の侵害に関連したものでした。

また、Mandiant によれば、2020 年以降、金銭目的の脅威アクターがソフトウェア サプライ チェーンを狙うケースが増加しているとのことです。こうした脅威アクターは、ランサムウェア、暗号通貨マイナー、バンキング型トロイの木馬などをデプロイするために、広く使用されているソフトウェア パッケージだけでなく、モバイルアプリまで侵害しています。広く使用されているパッケージに不正なコードが挿入されたケースでは、米国サイバーセキュリティ・インフラストラクチャ セキュリティ庁（CISA）が侵害に関する警告を発しました。

リスク軽減のための推奨案

SolarWinds 事件の発覚以来、世界中でサプライ チェーン侵害の脅威への意識は高まりました。ソフトウェア サプライ チェーンおよびソフトウェアの依存関係によるリスクを減らすために、政府機関やテクノロジー企業が法律の制定や調査を行い、さまざまな施策に取り組んでいます。こうした施策によって脅威アクターが不正行為を行うことは難しくなるものの、組織がサプライ チェーンの脅威を軽減するためにそれぞれ取り組むことも必要です。

Mandiant は、複数のセキュリティ ポリシー、プラン、ソリューションを重層的に適用することで、脅威をいち早く検出し、サプライ チェーンに起因する異常や侵害を最大限防ぐ取り組みを検討するよう組織に推奨しています。このガイダンスは、ソフトウェア サプライ チェーンのセキュリティ向上のために Google Cloud がおすすめするベスト プラクティスと一致しています。

Mandiant は以下のような、組織が検討すべきより一般的な対策も推奨しています。

• ベンダー審査プロセスを確立して、ハードウェアまたはソフトウェアをデプロイする前にベンダーのセキュリティ対策を評価する。

• 変更管理プロセスと変更管理委員会を設立して、組織内で使用するすべてのハードウェアとソフトウェアの変更を管理する。また、IT や IT セキュリティの管理プロセスを一元化して、ダウンロード、テスト、ユーザー アップデートを管理する。

• EDR（エンドポイントにおける検知と対応）などの高度なエンドポイント セキュリティ ソリューションを使用して、感染したソフトウェア パッケージがダウンロードおよび実行された際に不正な動作を検知する。

• ソフトウェア、ハードウェア、インターネット間で常に適切なロギングとモニタリングが実施されるようにする。

• ソフトウェアやハードウェアを導入する際に、インターネット アクセスを最小限に抑えたネットワーク セグメンテーションを使用する。

• 従業員向け研修プログラムやポリシーを制定して、開発中のコードのセキュリティ監査など、セキュリティのベスト プラクティスに従うよう促す。

次のステップ

SolarWinds とサプライ チェーンの脅威の現状に関する Google Cloud Security Talks のプレゼンテーションをこちらでご覧いただけます。また、ソフトウェア サプライ チェーンのセキュリティを高める Google Cloud のソリューションの詳細については、こちらをご覧ください。また、一般的なお問い合わせやご質問に関しては、Google Cloud に直接ご連絡いただくか、営業担当者にお問い合わせください。具体的なサポート内容をご案内いたします。