第1回:ソフトウェアベンダーへの不正アクセスを検証する
今回は「第1回:ソフトウェアベンダーへの不正アクセスを検証する」についてご紹介します。
関連ワード (セキュリティ、ソフトウェアサプライチェーン攻撃の5つの手法等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
2021年は、ソフトウェアサプライチェーン攻撃の年になるのでしょうか。2020年末、商務省や財務省、国土安全保障省といった米国の政府機関が、悪意のあるバックドア(PC内に作る正規のものではない侵入ルート)を通した不正アクセスを受けました。このバックドアは、SolarWindsが提供するネットワーク管理ソフトウェアに、秘密裏に仕込まれていました。
数週間後、大惨事の再発を防ぐため、多数の企業がMicrosoft Exchange Serverの緊急ゼロデイパッチの導入に奔走しました。これらは、ユーザーの認証情報の窃盗、データのアクセスや改ざん、ビットコインのマイニングソフトウェアのインストール、インフラストラクチャー内の他のサーバーに水平展開することで、さらに価値あるデータの入手を試みたり、もしくは踏み台として他のコンポーネントへの足掛かりにしたりするといった悪意のある目的を遂行するために利用されたものです。ソフトウェアのバグやバックドアは、それまで知られていなかった「ゼロデイ脆弱性」の一例なのです。
最近注目が集まっているものの、ソフトウェアのサプライチェーン攻撃は、新しいものでも驚くべきものでもありません。SolarWindsへのハッキングが公表される2年前(2018年)には、情報通信技術のサプライチェーンにおける脅威について勧告を行うため、米国国土安全保障省(DHS)が官民共同パートナーシップを発足しています。また、2019年より、米国国家防諜安全保障センター(NCSC)は毎年4月を「国家サプライチェーン保全月間」と定めています。これは、民間と政府のサプライチェーンへの脅威の高まりに対する認識の向上と、これらリスクの軽減に役立つリソースの提供を目的としています。
1999年に発足され、共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)システムを管理するMitre Corporationは、これまで15万件以上の一般的に使用されるソフトウェアやコンポーネントの脆弱性を記録しています。このうち1万1500件以上はSolarWindsやExchange Serverのような極めて深刻な脆弱性です。そして、これらのCVEは、セキュリティ研究者の意図的な発表であれ、セキュリティ侵害による予期せぬ結果であれ、公開されたものに過ぎず、ソフトウェアの脆弱性の大部分は未公開の状態です。
ソフトウェアのサプライチェーンは、ソフトウェアに依存する企業やユーザーに対し、膨大なリスクを課しています。犯罪者、ハクティビスト(社会的・政治的な主張を目的としたハッキング活動)、国家支援型スパイグループなどもこのことを周知しており、攻撃者は私たちのソフトウェアサプライチェーンに対する信頼を悪用します。本連載では、大きく5つに分類されるサプライチェーン攻撃の手法について詳しく検証していくほか、現状の課題と対策について説明します。
1.ソフトウェアベンダーへの不正アクセス
ソフトウェアベンダーへの不正アクセスは、恐らくは最も高度なサプライチェーン攻撃手法です。攻撃者は標的とするベンダーのソフトウェアを使用する企業、インストールされている場所、アクセスしたい情報、権限設定、システムの種類などを把握するため、まず偵察を行います。
次に、ソーシャルエンジニアリングやフィッシングなどの手段で、ソフトウェアベンダーの従業員の認証情報を取得します。ソフトウェアベンダーのインフラストラクチャー内に足がかりを確保した後、攻撃者はソフトウェアのビルド環境へ水平展開、エンドユーザーに提供するアプリケーションのソースコードを変更しようと試みます。
そして、攻撃者はバックドアまたは遠隔の接続ポイントとして機能するマルウェアを設置します。マルウェアに感染したソフトウェアがユーザーの環境にインストールされると、攻撃者はこのバックドアコードを通し、被害者のサーバーとのネットワーク接続を直接確立、OSコマンドを実行、エンドポイント保護の無効化、さらなるマルウェアのダウンロード、機密情報の読み取りなどが可能となります。SolarWindsのケースでは、テストコードの挿入から、最終的に感染したアップデートが多数の顧客に配布されるまで、最低6カ月を要したと推定されます。
ソフトウェアベンダーのプログラムに組み込まれたバックドアは、セキュリティ診断ツール、ウェブアプリケーションファイアウォール、エンドポイント保護など、従来型の手段での検知は困難です。攻撃者は、企業の一般的な防御戦略を熟知しています。彼らのマルウェアコードは、目的を悟られないよう入念に記述されており、セキュリティ診断ツールでの検知は難しくなっています。バックドアコードは、外部からの刺激では起動しないことが多く、不正アクセスを受けたアプリケーションへの流入トラフィックを監視しても検知することは不可能です。悪意のあるコードは通常、エンドポイント保護機能を無効化・迂回するよう設計されています。
次回は、(2)サードパーティーアプリケーションと(3)オープンソースライブラリーを悪用した攻撃手法についてご紹介します。
【7月8日(木)】「セキュリティ稟議が通らない」と悩んでいるit部門の方必見! 「経営層に響くit投資の説得術」を ...
株式会社AnityA「予算が下りない」「経営層が理解してくれない」「業務現場の同意が得られない」--IT部門がセキュリティ投資を説明する際に付きまとう問題の解決…
安全なはずの「Ssh」が抱える6大セキュリティ問題とは? 危険性と対策は:「Ssh」を安全に利用する【前編 ...
「SSH」は安全なリモートアクセスを確立するために不可欠な通信プロトコルだ。一方でSSHには、攻撃者に狙われる可能性がある幾つかのセキュリティ問題があるという。それは何なのか。
会津若松市が「MyPost」で配信ミス、市民832名の氏名など流出|サイバーセキュリティ.com
画像:会津若松市より引用 会津若松市は2021年6月29日、市政だよりを配信する際に誤送信が発生し、配信先の市民832名の氏名情報や仮名IDが流出したと明らかにしました。 発表によると、会津若松市では日本郵便が自治体や法人向けに
Windows 11、チップからクラウドまでのセキュリティ バイ デザインを実現 - News Center Japan
この 1 年は、PC が家族や友人とのつながりを保ち、事業継続を実現してくれました。この新たなハイブリッドワークのパラダイムにより、マイクロソフトでは 10 億人以上の Windows ユーザーに対し、継続的に最高の品質や体験、そしてセキュリティを届けるにはどうすればいいのか考えるようになりました。
クライアントpcセキュリティ最前線 テレワーク対策実情と今、必要な解とは?解決事例ご紹介ウェビナー - 【キーマンズ ...
クライアントPCセキュリティ最前線 テレワーク対策実情と今、必要な解とは?解決事例ご紹介ウェビナーのITセミナー情報です。キーマンズネットはIT製品の導入をサポートします!スペックや導入事例、価格情報・比較情報も充実。資料請求も簡単に出来るIT情報サイトです。
企業から金銭をだまし取るビジネスメール詐欺--手口と対応策 - TechRepublic Japan
電子メールは、組織に攻撃を仕掛けるサイバー犯罪者によって悪用されることが最も多いツールの1つだ。犯罪者が特に好むのはビジネスメール詐欺(BEC)という手法だ。
「ゼロトラスト」導入だけが答えじゃない? Ipaと金融庁が示した"最適解"の出し方:半径300メートルのit ...
ゼロトラストの理解に役立てられる資料がIPAと金融庁から公開されました。実装を進める企業にとって非常に有用な、ゼロトラストを構成する技術要素の検証や導入事例が紹介されています。本コラムでは、これらの資料を読み解くポイントを解説します。
「Node.js」の2021年6月セキュリティ更新 ~深刻度「High」1件を含む4件の脆弱性を修正 - 窓の杜
「Node.js」の2021年6月セキュリティ更新 ~深刻度「High」1件を含む4件の脆弱性を修正. v12.22.2、v14.17.2、v16.4.1への更新を
【GSX、内部不正対策ウェビナー第三弾を開催 J:COM、Exabeam日本統括責任者を交えたパネルディスカッション ...
セキュリティ全体像を網羅した教育サービスをご提供します。EC-Councilセキュリティエンジニア養成講座、日本発のセキュリティ人材資格「セキュリスト(SecuriST)® 認定脆弱性診断士」などで、セキュリティ人材を育成します。 ITソリューション
「インダストリアルIoT向け、各国セキュリティ規制と対策を語る!」ウェビナー開催のお知らせ (2021年7月5日 ...
IIoTセキュリティを取り巻く昨今の状況に加え、各国のセキュリティ規制と対策をご紹介株式会社アスク(本社:東京都千代田区)は、7月20日(火)、製造業のセキュリティ/QA担当者ならびに製造業のお客様へ...
できる範囲で構わないから - テリロジーワークス
いろいろな業界がサイバー脅威への対策に追われています。XXXXの業界だったら対策しなくてもよい、なんてことはなさそうです。でも逆に、いろいろ見ていると、より一層サイバー脅威への対策を考えないといけない業界というものはありそうです。
ヴイエムウェア、ゼロトラストをコアにしたセキュリティ戦略を発表 「VMware Cloud Web Security ...
ヴイエムウェア株式会社は6月30日、モダンエンタープライズにおけるセキュリティ戦略「VMware Security」のアップデートを発表、マルチクラウド ...
「バイナンスへの送金を停止すると発表」=英国の大手銀行|セキュリティ対策が課題 | CoinPartner(コイン ...
購入タイミングを待っていた人は今がおすすめ! すぐに口座開設をしてビットコインを購入! 2つ目の取引所でも初めて取引所を持つ人もきっと見つかる おすすめの仮想通貨取引所23社を徹底比較! 英国の大手銀行は ...
ETSI EN 303 645 IoT製品向けセキュリティ検証 ONWARD SECURITY JAPAN | イプ ...
ONWARD SECURITY JAPANのETSI EN 303 645 IoT製品向けセキュリティ検証の技術や価格情報などをご紹介。製品(IoT/NW機器)をEUで販売するにおいて求められる、ETSI EN 303 645のセキュリティ要件を検証致します。イプロスものづくりでは受託検査などもの技術情報を多数掲載。【価格帯】50万円 ~ 100万円
国連薬物犯罪事務所とトレンドマイクロが連携してサイバーセキュリティの専門家を育成 | トレンドマイクロ
トレンドマイクロのプレスリリース「国連薬物犯罪事務所とトレンドマイクロが連携してサイバーセキュリティの専門家を育成」についてご紹介します。
日本ネットワークセキュリティ協会、「2020年度 国内情報セキュリティ市場調査報告書」を公開 ...
SecurityInsight(セキュリティインサイト)は情報セキュリティを中心としたエンタープライズITの情報サイトです。
TerraformによるRed Hat OpenShift on IBM Cloudの構築 | セキュリティ対策のラック
クラウドネイティブなシステムを実現するには、クラウドのシステムを自動化することで、少ない労力でより確実性の高いシステムの構築を目指していく必要があります。TerraformによるRed Hat OpenShift on IBM Cloudの構築を解説します。
「インダストリアルIoT向け、各国セキュリティ規制と対策を語る!」ウェビナー開催のお知らせ - 産経ニュース
株式会社 アスクIIoTセキュリティを取り巻く昨今の状況に加え、各国のセキュリティ規制と対策をご紹介株式会社アスク(本社:東京都千代田区)は、7月20日(火)、…
コストやリスクへの影響は? 不確実な経済に対応する4つのitインフラ戦略を比較する |ビジネス+It
経済環境の不確実性が高まっている。新型コロナウイルスの影響もあり、DXへの取り組みやデジタルシフトが進む一方、サイバーセキュリティやサプライチェーンのリスクが増大し、IT運用にもさまざまな影響を及ぼしている。このように不確実な状況下でCIO(最高情報責任者)やインフラ管理者などのIT責任者は、経済環境の変化に迅速に対応できる柔軟なITインフラ戦略を策定する必要がある。本書は、ITインフラ戦略策定時に考慮すべき要素を解説するとともに、具体的な4つのIT戦略を比較する。
米IT管理サービス「Kaseya VSA」にランサムウェア攻撃 1000社以上が影響か | 財経新聞
Kaseyaは7月4日、同社のIT環境管理・自動化サービス「Kaseya VSA」が2日に高度なサイバー攻撃を受けたと発表した。
ビーウィズ 情報セキュリティマネジメントシステム(Isms)にて「リモートワーク管理」として認証登録範囲を拡大|ビー ...
ビーウィズ株式会社のプレスリリース:ビーウィズ 情報セキュリティマネジメントシステム(ISMS)にて「リモートワーク管理」として認証登録範囲を拡大
Newセキュリティ!分散型VPN『Deeper Connect Nano』が6月21日18:00にクラウド ...
通信販売を行う合同会社STEP UP(所在地:群馬県前橋市、代表者:秋山 徹)は、Newセキュリティデバイス!分散型VPN「Deeper Connect Nano」の予約販売をクラウドファンディングサイト「CAMPFIRE」にて、2021年6月21日から開始しました。 CAMPFIRE https://camp-fir...
門真市、電子メール誤送信で市民ワークショップ参加者22名のアドレス流出|サイバーセキュリティ.com
画像:門真市より引用 大阪府門真市は2021年6月28日、市が運営する(仮称)市立生涯学習複合施設の整備の市民ワークショップに関係するメールにおいて誤送信が発生し、送信先となった申込者22名のメールアドレスが流出したと明らかにしました
原子力規制委員会のシステム不具合によるメールアドレス漏えい、新たに85件確認 | ScanNetSecurity
原子力規制委員会は7月2日、6月22日に公表したシステム不具合によるメールアドレス漏えいについて、続報を発表した。
Sky、7月からオンラインイベントで情報セキュリティのスペシャルライブ | TECH+
Skyは、7月12日から、Webサイト上のバーチャルイベントとして「Sky Technology Fair Virtual 2021」を開催する。このイベントの中では、スペシャルライブ企画「情報セキュリティの未来」を公開する。
情報セキュリティ方針 | ニッセン・クレジットサービス株式会社
情報セキュリティ理念 法を遵守し、企業が保有する情報を安全に管理しながら、有効且つ迅速に活用して、事業目標を達成させることが、今日の情報化社会における企業経営に求められています。
個人向けiOS用セキュリティ製品「カスペルスキー インターネット セキュリティ for iOS」を販売開始|株式会社 ...
株式会社カスペルスキーのプレスリリース(2021年7月6日 13時00分)個人向けiOS用セキュリティ製品[カスペルスキー インターネット セキュリティ for iOS]を販売開始
GMO-GS Research Memo(2):インターネットの安全を支えるセキュリティ分野で圧倒的シェア・ブランド ...
最新投稿日時:2021/07/05 15:02 - 「GMO-GS Research Memo(2):インターネットの安全を支えるセキュリティ分野で圧倒的シェア・ブランド持つ」(フィスコ)
ゾーホーが国内ビジネス強化を目的に東京・大阪にデータセンターを開設 厳格なセキュリティニーズに対応 ...
ゾーホージャパンは、東京と大阪の2ヵ所に自社データセンターを開設し、国内ビジネスを強化することを発表した。国内データセンターでのデータ保管を強く求める金融機関や政府機関、地方自治体などのセキュリティ要...
ビーウィズ 情報セキュリティマネジメントシステム(Isms)にて「リモートワーク管理」として認証登録範囲を拡大 ...
カスタマーサービスのデジタルトランスフォーメーション(DX)化を支援するビーウィズ株式会社(本社:東京都新宿区、代表取締役:森本 宏一)は、情報セキュリティマネ…
ソフトウェアサプライチェーン攻撃の5つの手法 - ZDNet Japan
ソフトウェアサプライチェーン攻撃の5つの手法 ソフトウェアサプライチェーン攻撃の5つの手法 シェア Tweet noteで書く 新着 第1回:ソフトウェア ...
第1回:ソフトウェアベンダーへの不正アクセスを検証する ...
ソフトウェアのサプライチェーンに対するサイバー攻撃のリスクが顕在化する今、大きく5つに分類されるその手法について解説します。
ランサムウェア感染、独立記念日狙いサプライチェーン攻撃 It ...
ランサムウェア感染、独立記念日狙いサプライチェーン攻撃 IT管理ソフトのアップデート悪用(ITmedia NEWS) IT管理ソフトウェア「Kaseya VSA」のアップデートを悪用してランサムウェアに感染させるサプライチェーン攻撃が発生し、同ソフ…
