このページの本文へ

前へ 1 2 次へ

昨年のAPTグループの動向から“2018年に警戒すべき脅威”として注目

いま「サプライチェーン攻撃」を恐れるべき理由、カスペルスキーに聞く

2018年01月17日 07時00分更新

文● 大塚昭彦/TECH.ASCII.jp 写真● 曽根田元

  • この記事をはてなブックマークに追加
  • 本文印刷

サプライチェーン攻撃をどうやって防ぐのか

――メールでマルウェアを送りつけるような攻撃とは異なり、サプライチェーン攻撃では、改竄されたソフトウェアが正規の提供元(ソフトウェアベンダー)から供給されます。防御側ではこの攻撃をどうやって発見し、防御すればいいのでしょうか。

ディアス氏:難しい問いだ。まず、一般的なマルウェアとは異なり、サプライチェーン攻撃ではひとつのソフトウェアの中に正常なコードと攻撃コードが混在することになる。そのため、プログラムのサイズが大きく、複雑であり、単純なマルウェアよりも分析しにくいという課題が生じる。

 また、ユーザーはソフトウェアベンダーを信頼しているという前提がある。(前述の事例のように)アップデートがひそかに改竄され、なおかつ自動更新の設定が行われていたりすると、自動的に感染してしまう。しかも、アップデートは(OSの)高い特権レベルで行われることも多く、(セキュリティ製品などが)それを止めるのは難しい。

 こうした攻撃を検知するためには、ソフトウェア実行時のふるまいを分析し、異常なふるまい(アノマリ)が見られないかどうかを確認していく必要がある。ただし、こうした作業は、改竄された不正なソフトウェアであることが発覚する「前」に行わなければならず、そこが難しいところだ。

――技術的には、現在のセキュリティ技術でも検知が可能なのでしょうか。

ディアス氏:答えとしては「状況による」。一部は現在のセキュリティ製品でも検知可能だと考えられるが、異常なふるまいとして認識できないものもあるかもしれない。

 たとえばチャットツールなど、サーバーにデータを送信するタイプのソフトが、あるとき攻撃者のC&Cサーバーにデータを送ったとしても、それを異常なふるまいだとは判断できない可能性がある。アノマリ検知においては、あらかじめ標準的な(正しい)ふるまいのベースラインを定義しておかなければならない。人間が関与して微妙なチューニング作業をしなければ、どうしても偽陽性/偽陰性が多発してしまう。

――かなり難しい問題ですね。それならばソフトウェアの開発元や配布元で、ソフトウェアの改竄を防ぐという対策はどうでしょうか。

ディアス氏:こちらも非常に複雑だ。プログラムのソースコードが何百万行もあり、何十万ものライブラリを使っていて、なおかつ何十ものバージョンがあるようなソフトウェアでは、開発に多数のエンジニアが関わっており、開発/テストプロセスは自動化されている。わずか数行の不正なコードを書き込まれても、それを発見するのは難しいだろう。

 APTグループは、国家の政府機関や軍に対する攻撃すら成功させられるような、高度な攻撃スキルとツールを備えた集団だ。ソフトウェアの専門家であるソフトウェアベンダーであっても、そうしたレベルの攻撃に耐えうるような、非常に高度なセキュリティ対策をとらなければならない。

――今後、IoTデバイスのソフトウェアに対する改竄というかたちでもサプライチェーン攻撃は増えてくるでしょうか。

ディアス氏:少なくともその危険性は絶対にある。IoTデバイスの場合、出荷後はほとんど、あるいはまったくソフトウェアがアップデートされない。感染したIoTデバイスが接続したネットワーク、そこにつながっている別のデバイスにまた感染が広がるというケースが、今後懸念される。

まずはサプライチェーン攻撃に関する社会全体の情報共有が大切

――最後に、こうしたサプライチェーン攻撃に対抗するために、ユーザー企業、ソフトウェアベンダー、そしてセキュリティベンダーのそれぞれが、これから何をすべきかを教えてください。

ディアス氏:まずは、カスペルスキーのようなセキュリティベンダーがサプライチェーン攻撃の動向を分析し、社会に広く情報共有することで、その理解を深めていくことだ。共通の理解を持ち、全体の意識が高まることで、多くの人々との連携が可能になる。

 社会全体の意識が高まれば、われわれからソフトウェアベンダーやユーザー企業に対する警告も、よりスムーズに理解してもらえるようになるだろう。

 ソフトウェアベンダーは、「自社のソフトウェアが改竄されることはない」と過信しないようにすること。サプライチェーン攻撃では、ソフトウェアベンダー自身がターゲットになりうるという事実をしっかり理解しておいてほしい。

 なおかつ、仮にそうした攻撃を受けた場合には、速やかにユーザーへの情報開示を進めることも大切だ。どのような攻撃が進行しているのかを情報共有することが社会にとっての「最大の防御」であり、それをためらわせるような雰囲気にしてはいけない。

――攻撃を受けたソフトウェアベンダーやユーザー企業の責任を単純に追及するようなことは、むしろ逆効果になりうるわけですね。それと、社会全体での情報共有を図っていくうえでは、政府/行政機関の役割も大切でしょう。

ディアス氏:もちろんだ。ただし、残念ながらどこの国でも政府行政機関の動きは遅い。特に、インターネット上でこうしたセキュリティ課題が次々に発生してくるスピードに比べると、彼らの動きはものすごく遅い。

 それでも、たとえば米国政府のように、個人情報が漏洩した場合はそのインシデントを迅速に公開するよう義務づけるなど、政府でなければできない役割もある。

 ユーザー企業、ソフトウェアベンダー、セキュリティベンダー、そして政府行政機関と、われわれは皆“同じボート”に乗っていることを認識してほしい。たとえ競合企業の間であっても、セキュリティ情報の共有については協力を図っていくことが大切だ。

前へ 1 2 次へ

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード