昨年のAPTグループの動向から“2018年に警戒すべき脅威”として注目

いま「サプライチェーン攻撃」を恐れるべき理由、カスペルスキーに聞く

2018年01月17日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp　写真● 曽根田元

サプライチェーン攻撃をどうやって防ぐのか

――メールでマルウェアを送りつけるような攻撃とは異なり、サプライチェーン攻撃では、改竄されたソフトウェアが正規の提供元（ソフトウェアベンダー）から供給されます。防御側ではこの攻撃をどうやって発見し、防御すればいいのでしょうか。

ディアス氏：難しい問いだ。まず、一般的なマルウェアとは異なり、サプライチェーン攻撃ではひとつのソフトウェアの中に正常なコードと攻撃コードが混在することになる。そのため、プログラムのサイズが大きく、複雑であり、単純なマルウェアよりも分析しにくいという課題が生じる。

　また、ユーザーはソフトウェアベンダーを信頼しているという前提がある。（前述の事例のように）アップデートがひそかに改竄され、なおかつ自動更新の設定が行われていたりすると、自動的に感染してしまう。しかも、アップデートは（OSの）高い特権レベルで行われることも多く、（セキュリティ製品などが）それを止めるのは難しい。

　こうした攻撃を検知するためには、ソフトウェア実行時のふるまいを分析し、異常なふるまい（アノマリ）が見られないかどうかを確認していく必要がある。ただし、こうした作業は、改竄された不正なソフトウェアであることが発覚する「前」に行わなければならず、そこが難しいところだ。

――技術的には、現在のセキュリティ技術でも検知が可能なのでしょうか。

ディアス氏：答えとしては「状況による」。一部は現在のセキュリティ製品でも検知可能だと考えられるが、異常なふるまいとして認識できないものもあるかもしれない。

　たとえばチャットツールなど、サーバーにデータを送信するタイプのソフトが、あるとき攻撃者のC&Cサーバーにデータを送ったとしても、それを異常なふるまいだとは判断できない可能性がある。アノマリ検知においては、あらかじめ標準的な（正しい）ふるまいのベースラインを定義しておかなければならない。人間が関与して微妙なチューニング作業をしなければ、どうしても偽陽性／偽陰性が多発してしまう。

――かなり難しい問題ですね。それならばソフトウェアの開発元や配布元で、ソフトウェアの改竄を防ぐという対策はどうでしょうか。

ディアス氏：こちらも非常に複雑だ。プログラムのソースコードが何百万行もあり、何十万ものライブラリを使っていて、なおかつ何十ものバージョンがあるようなソフトウェアでは、開発に多数のエンジニアが関わっており、開発／テストプロセスは自動化されている。わずか数行の不正なコードを書き込まれても、それを発見するのは難しいだろう。

　APTグループは、国家の政府機関や軍に対する攻撃すら成功させられるような、高度な攻撃スキルとツールを備えた集団だ。ソフトウェアの専門家であるソフトウェアベンダーであっても、そうしたレベルの攻撃に耐えうるような、非常に高度なセキュリティ対策をとらなければならない。

――今後、IoTデバイスのソフトウェアに対する改竄というかたちでもサプライチェーン攻撃は増えてくるでしょうか。

ディアス氏：少なくともその危険性は絶対にある。IoTデバイスの場合、出荷後はほとんど、あるいはまったくソフトウェアがアップデートされない。感染したIoTデバイスが接続したネットワーク、そこにつながっている別のデバイスにまた感染が広がるというケースが、今後懸念される。