概要

サプライ チェーン攻撃への対策の第一歩は、仕組みを知ること

クラウド サプライ チェーンへの攻撃は、新たな脅威として成長を続けています。しかし、こうした攻撃の性質と、防御手段については誤解されている部分が少なくありません。台頭する脅威について理解を深めるため、パロアルトネットワークスUnit 42®のクラウド脅威リサーチャーは世界中のさまざまな公開データ ソースのデータを分析しました。加えて、大手SaaSプロバイダの依頼により、クラウドでホストされた同社のソフトウェア開発環境に対するレッド チーム演習も実施しました。調査結果は、クラウド サプライ チェーンのセキュリティについて、いまだに誤った認識を抱いている企業が多数存在する可能性を示すものでした。

このレポートでは、Unit 42による過去のサプライ チェーン攻撃の分析を参考にしながら、サプライ チェーン攻撃の全貌を明らかにした上で、あまり理解されていないその詳しい仕組みについて説明し、企業がクラウドにおけるサプライ チェーンの保護を強化するために今すぐ実践できる効果的なベスト プラクティスを提案します。

matt signature Matthew Chiodi
クラウド担当最高セキュリティ責任者 パロアルトネットワークス
動画を見る
レポートを入手
サプライ チェーン攻撃は今に始まったことではない

SolarWindsのインシデントは、世界中で見出しを飾った初めての大規模ソフトウェア サプライ チェーン攻撃でしたが、この種の攻撃はかねてから発生していました。現在までに、Unit 42のリサーチャーが追跡してきた重大な攻撃の例を以下に示します。中には、2015年にさかのぼる攻撃もあります。

  • 2015年9月 XcodeGhost:攻撃者は改変したApple Xcodeソフトウェア(iOSおよびmacOSアプリケーションの開発ツール)を配信しました。このソフトウェアを使用してiOSアプリを開発すると、追加のコードが挿入されます。この攻撃の結果、AppleのApp Store®内で何千もの侵害されたアプリが発見されています。
  • 2016年3月 KeRanger: 人気のあるオープンソースBitTorrentクライアントであるTransmissionが、macOS用ランサムウェアをインストーラに挿入される攻撃を受けました。ユーザーがこのプログラムをダウンロードしてインストールすると、マルウェアに感染し、ファイルを人質にとられることになります。攻撃者はランサムウェアを挿入するため、Transmissionの配布用サーバを掌握する手口を用いています。
  • 2017年7月 NotPetya: 攻撃者は、ウクライナのソフトウェア企業に不正アクセスし、「MeDoc」財務ソフトウェアのアップデートを通じて、ネットワークワーム機能を備えた破壊的なペイロードを配信しました 。このマルウェアは、MeDoc財務ソフトウェアを使用するシステムに感染した後、ネットワーク内の他のホストにも拡散して世界規模の混乱を引き起こし、数千社の企業に影響を与えたのです。
  • September 2017CCleaner: 攻撃者は、PCの動作を正常に保つのに役立つユーティリティとして数百万人に利用されているAvastのCCleanerツールを侵害し、それを利用して第2段階のペイロードで世界中の大手テクノロジ企業や通信企業を標的にしました。

いずれの事例でも、攻撃者はソフトウェア開発パイプラインに侵入し、パイプラインへの信頼を悪用して他のネットワークへのアクセスを成功させています。

調査方法
クラウド サプライ チェーンへの侵入方法

パロアルトネットワークスが顧客からの依頼で実施したレッド チーム演習では、Unit 42のリサーチャーが同社のCI(継続的インテグレーション)環境への限定的なアクセス権を持つ悪意のある開発者を演じ、より広範囲のクラウド環境に対する管理者権限に成功しています。この演習により、悪意のある内部関係者がどのようにしてCIリポジトリ内の機密情報にアクセスしうるかが明らかになりました。

  • Unit 42チームは、お客様のクラウド ソフトウェア ストレージからすべてのGitLabリポジトリをダウンロードすることに成功しました。その結果、154のCIリポジトリの中から約8万個のクラウド リソースを発見できました。
  • さらに、リポジトリの中から発見した26件のハードコードされたIAMキーペアを利用して権限を昇格させ、サプライ チェーン オペレーションにアクセスすることに成功しています。

Supply chain attacks are not a new threat
Short for time? レポートを読む
主な調査結果

なぜ重要なのか: 攻撃を検出するには AWS GuardDuty とクラウド セキュリティ体制管理プラットフォームの統合が不可欠でしたこの事例では、パロアルトネットワークスのPrisma Cloudが導入されていましたが、正しく設定されたアカウントが1つだけだったため、セキュリティ オペレーション センター(SOC)で把握できた活動は、悪意のある活動のほんの一部だけだったのです。

なぜ重要なのか: サードパーティ リソースの借用や再利用を重ねることが多いIaC (コードとしてのインフラストラクチャ)ツールを使用すると、サプライ チェーンの脆弱性が雪だるま式に膨れ上がる可能性があります。下の例では、デプロイしたインフラストラクチャは完全に機能しますが、依存パッケージのデフォルト設定では必ずしも安全とは言えません。いずれの依存パッケージが侵害された場合、接続された何百万ものクラウド環境が、近年確認されているような攻撃を受けやすくなる恐れがあります。

IaC security means supply chain security
レポートを読む
BOMの可視化が不可欠

このレポートの重要なポイントは、シフトレフト セキュリティによってあらゆるクラウド ネイティブ ワークロードを可視化することが不可欠だということです。セキュリティ コミュニティでシフトレフトが大きな話題になっているにもかかわらず、サプライ チェーンの脅威への関心不足によるものか、企業は相変わらずDevOpsセキュリティにほとんど無関心です。

レポート全文を入手
解説画像を入手する
脅威レポート

Unit 42クラウド脅威レポート、2021年2H

今すぐダウンロード
PRISMA CLOUD

Prisma Cloudがお客様のクラウド脅威にどう対処できるのかをお確かめください。

詳細はこちら
クラウド セキュリティ リソース キットを入手

サインアップして、セキュリティ アラート、クラウド セキュリティ イベント、Prisma™ Cloud製品の更新などの最新情報を入手しましょう。

最新ニュース、イベント情報、脅威アラートを配信