サプライチェーン攻撃:MSPが特に攻撃を受けやすい理由

2021年7月、ソフトウェア会社のKaseya VSAがサプライチェーン攻撃の被害を受けました。REvilは、KaseyaのVSAソフトウェアのゼロデイ脆弱性を悪用し、Kaseyaのマネージドサービスプロバイダー(MSP)の顧客60社と1500社以上の中小企業(SMB)に悪意のある自動更新を強制的に実行させました。

Kaseya VSAのケースは、当時は異常値のように見えましたが、現在では広範なサイバー脅威となっています。欧州ネットワーク情報セキュリティ機関(ENISA)による2021年の調査では、昨年末までに、サプライチェーン攻撃の量が2020年の合計数の4倍になると予測されていました。この予測に続いて、最近の調査では、組織の80%が過去12か月間にサプライチェーンの脆弱性や攻撃に関する通知を受けていたことが明らかになりました。

この記事では、サプライチェーン攻撃の脅威を掘り下げ、ハッカーの間で関心が高まっている理由を探ります。次に、マネージドサービスプロバイダー(MSP)が格好の標的となる理由と、悪用から身を守るために組織ができることについて検討します。

サプライチェーン攻撃の分析

Kaseya VSAの例が示すように、サプライチェーン攻撃は、サードパーティのサプライヤーの脆弱性を悪用して、顧客とパートナーの拡張ネットワークを急速に侵害しようとします。ENISAが行った2021年の調査では、サプライチェーン攻撃の66%がサプライヤーのソフトウェアコードを標的にして顧客を侵害しており、顧客への攻撃の62%がサプライヤーとの信頼関係を利用したものであることが分かっています。

ハッカーは、マルウェアの配信、身代金目的の機密情報の窃取、スピアフィッシングやフィッシングキャンペーンの開始などのプラットフォームとしてサプライヤーを標的にする可能性があります。サプライチェーン攻撃は、地域のコミュニティや経済を混乱させるためにもよく使われます。これは、高度標的型攻撃(APT攻撃)グループの攻撃手段であり、ENISAの調査でサプライチェーン攻撃の50%がAPT攻撃者によるものであるのもそれが理由です。

サプライチェーン攻撃は2段階で発生します。第1段階は、サプライヤーのネットワークにアクセスすることが目的で、第2段階は、サプライチェーン内の組織に対してより大胆な攻撃をしかけることに焦点を当てています。サプライチェーン攻撃では、フィッシング、スピアフィッシング、マルウェア、データの窃取と暗号化など、両方の段階でさまざまな種類のサイバー脅威が使われる可能性があります。

サプライチェーン攻撃の要因

組織がより広範な攻撃対象領域を保護することを余儀なくされ、サプライチェーンがさらにデジタル化し、相互に関連し合うようになるにつれて、サプライチェーン攻撃は、ますます普及しています。クラウドコンピューティング、サービスとしてのソフトウェア(SaaS)製品やインターネット接続デバイスが発展したことで、組織が保護しなければならないユーザやエンドポイント、アプリケーションの数が増加しています。たとえば、一部のサプライヤーは、サービスを提供するために内部ネットワークにアクセスしなければならないために、組織に新たな脆弱性が生まれ、その組織のセキュリティ体制は、セキュリティ対策が最も貧弱なサプライヤーと同等のものになってしまいます。

他の種類のサイバー脅威と比較して、サプライチェーン攻撃は、ハッカーに対する抵抗力が最も弱く、ハッカーが最大の報酬を得られる攻撃経路になっています。そのため、サイバー犯罪者の間で人気が高まっており、MSPなどの組織がこの攻撃を警戒しなければならないことが頷けます。

サプライチェーン攻撃の標的

サプライチェーン攻撃は、被害者を悪用して拡散する手段としてソフトウェアを利用するため、この種の攻撃はソフトウェア開発者とサプライヤーを第一の標的にしています。Kaseyaのケースから分かるように、MSPは、中小企業(SMB)の広大なネットワーク用のソフトウェアを運用化して、情報システムを制御しているため、サプライチェーン攻撃のもう1つの標的になっています。また、中小企業も、大企業のようなサイバーセキュリティリソースが不足しているため、第一の標的になります。Verizonの2022年データ漏洩/侵害調査報告書によると、中小企業は、大企業の2倍以上の数のサイバー攻撃とデータ侵害を経験しました。

会社を守る方法

MSPとして、サプライチェーン攻撃から保護することで、自社の財務的影響やイメージの悪化、規制や法的影響を回避できるようになります。さまざまな要因により、このサイバー脅威がますます普及しており、防御するのが困難になっていますが、次の一連のソリューションを導入することで、サプライチェーン攻撃を防げるようになります。

1.メールによる脅威に対する高度な防衛対策

ENISAによると、マルウェアはサプライチェーン攻撃で使われる最も一般的な脅威です。そして、マルウェアを配信する最も一般的な手段はメールであり、それがMSPとその顧客にとって最も重要な脆弱性となっています。

従来のメールセキュリティソリューションは、既知のシグネチャを備えたマルウェアを検出してフィルタリングすることはできますが、これらのソリューションは、ポリモーフィック型マルウェアや環境を意識するマルウェア(検出を回避するためにコードを変更する亜種)などの動的で新しい脅威には対応できません。

そのため、MSPには従来のメールセキュリティに代わる将来を見据えた代替手段が必要です。AIを基本とした脅威の検出と対応は、予測防御を提供します。つまり、過去の攻撃に依存しない保護を提供します。このテクノロジーにより、既知および未知のマルウェアの亜種からの攻撃に対して、プロアクティブな防御を行います。また、メールの脅威検出は100%効果的であるとは言えないため、このテクノロジーは配信後に脅威を継続的にスキャンして削除し、ユーザが侵害されるのを防ぎます。

高度な保護には、AIテクノロジーのコアセットと、それを強化するためのデータが必要です。コンピュータビジョン、マシンラーニング、自然言語処理を活用するAIを基本としたソリューションと、リアルタイムの関連性のある大規模なデータセットを探しましょう。これらのソリューションは、最も高度なマルウェアの種類とその他のメールによる脅威をキャッチして無力化します。

2.ベンダーのリスク管理

サプライチェーン攻撃に対抗するために、組織は攻撃面の重大な脆弱性に対処しなければなりません。それは直接的な即時制御が及ばない対象、つまり、サードパーティのベンダーです。ベンダーがもたらすリスクを制限するために、組織には、パートナーシップの存続期間にわたってサードパーティのセキュリティ体制を評価するためのフレームワークが必要です。これには、契約締結前にサイバーセキュリティリスクの評価を実施すること、ベンダー契約にセキュリティ標準とセキュリティ対策を組み込むこと、コンプライアンスの定期的な監視と監査のプロセスを形式化することが含まれます。

3.ゼロトラストセキュリティ

ゼロトラストセキュリティは、境界セキュリティモデルの欠点に対処する戦略的なサイバーセキュリティフレームワークです。その名が示すように、ゼロトラストは、ネットワークに内部アクセスできるユーザーを本質的に信頼するのではなく、すべてのユーザーに対してネットワーク内のデジタルインタラクションごとに継続的に認証と承認を求めます。サプライチェーン攻撃に関して言えば、ゼロトラストは、攻撃者がネットワークに侵入したり、横方向に移動したり、インサイダー攻撃をしかけたりする能力を最小限に抑えます。ゼロトラストは、多要素認証(MFA)、アクセス制御、ネットワークセグメンテーションなど、複数のツールとポリシーを組み合わせます。

4.シャドーITポリシー

シャドーITとは、IT部門の認識や承認なしに、ソフトウェアアプリケーションを不正に使用することです。リモートワークとクラウドベースのソリューションの発展に伴い、ユーザーがセキュリティ対策の不十分なソフトウェアを使用することで内部ネットワークに脆弱性が持ち込まれる可能性があるため、シャドーITの問題が組織間にまん延しています。侵害のリスクを制限するために、組織は、シャドーITの危険性についてユーザーを教育するポリシーを策定すると同時に、ユーザーが日常業務に必要なツールに確実にアクセスできるようにしなければなりません。

5.ユーザーの認識トレーニング

Verizonの2022年データ漏洩/侵害調査報告書によると、ほとんどのデータ侵害は人的要素に起因しています。つまり、組織はフィッシング攻撃の発見と対応を含む、より適切なサイバー衛生慣行を採用するようにユーザーを教育する必要があります。教育は、個人の状況に合わせた内容のもので、自動的に配信され、必要に応じて継続的に管理されなければなりません。

サプライチェーン攻撃:ビジネスを保護する方法

サプライチェーンの脆弱性がすぐになくなることはありません。技術革新のペースは、攻撃対象領域の規模と複雑さが増すにつれて、加速する可能性が高いことを示しています。そのため、MSPなどの組織にとって、サプライチェーン攻撃を排除するのに役立つソリューションを、先を見越して積極的に採用することが重要です。

White paper - Email Security for M365 - JP