第3回:依存関係かく乱攻撃と敵対的乗っ取り–企業が直面する課題と対策

今回は「第3回:依存関係かく乱攻撃と敵対的乗っ取り–企業が直面する課題と対策」についてご紹介します。

関連ワード (セキュリティ、ソフトウェアサプライチェーン攻撃の5つの手法等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 この連載では、ソフトウェアベンダーへの不正アクセス、サードパーティアプリケーションとオープンソースライブラリーの悪用の3種類のサプライチェーン攻撃手法に関して紹介してきました。最終回は、(4)依存関係かく乱攻撃と(5)敵対的乗っ取りについて取り上げるほか、ソフトウェアサプライチェーン攻撃を取り巻く現状の課題と対策について説明します。

4.依存関係かく乱攻撃

 2021年2月、セキュリティ研究者のAlex Birsan氏は、攻撃の新たなベクトルとして「依存関係かく乱攻撃」を命名しました。これは、ソフトウェアプログラムの開発の仕組みを悪用した、巧妙かつシンプルな手法です。

 ソフトウェアプログラムは、専門のソフトウェアツール群を用いて開発されます。ソースコード自体の作成には、コードの記述プロセスを効率化する専用のテキストエディターが用いられます。

 記述されたコードは、バージョン管理されているリポジトリーに保存されます。ソフトウェア開発においてコードの再利用は一貫した目標であり、頻繁に使われるコードやユーティリティーコードは、多くのアプリケーションに組み込むことのできる「ライブラリー」と呼ばれるパッケージに集められます。アプリケーションを開発する際、それぞれのリポジトリーから適切なコードと、ライブラリーを利用するための「ビルドツール」が使用されます。

 そして、コードをコンパイル、アセンブル、パッケージし、最終的に納品します。上記以外にも、自動テストを実行し、テスト、ステージング、本番などの定められた導入環境にアプリケーションをプッシュするための各種ツールが使用されます。一般的なアプリケーション開発では、この作業は1日に何十回も行われます。

 オープンソースライブラリーとは、有用なユーティリティーコードをバンドルしたもので、「パブリック」リポジトリーを使用して無償公開されています。オープンソースソフトウェアは、多数のアプリケーションに採用されており、ビルドツールは、アプリケーションを開発する企業のみがアクセスできる「プライベート」リポジトリーと、パブリックリポジトリーの両方からコードを利用します。

 依存関係かく乱攻撃では、ライブラリーコードをどこで探すのか、そして、コードが重複している場合にどのバージョンを採用するかに関する仕組みが悪用されます。攻撃者はプライベートリポジトリーのパッケージと同じ名前のパッケージをパブリックリポジトリーに登録し、本来のパッケージより高いバージョン番号をファイル名に入れることで、開発者に攻撃者のライブラリーをプルさせます。モダンなアプリケーションの複雑性と、オープンソースへの過度の依存度を考えると、この攻撃ベクトルは効果的です。

 その結果による大惨事も想定されます。開発者のPCやIaaSの仮想サーバーなど、ビルドツールを実行するマシンでは、たった一度のプルの誤操作によって、攻撃者のコードが実行されてしまいます。上述のBirsan氏は、この手法を用いて概念実証(PoC)コードを作成し、Apple、Microsoft、Netflix、PayPal、Shopify、Tesla、Uberなど、ほぼ全ての標的企業の内部サーバーから、模擬攻撃者のサーバーにデータを送信できることを確認しました。この手法が公開された48時間以内には、同じ手法を試みているオープンソースパッケージの偽物が数百件も発見されました。

セキュリティ - Wikipedia

セキュリティ(英: security)は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。 一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。

情報セキュリティ - Wikipedia

情報セキュリティ(じょうほうセキュリティ、英: information security)とは、情報の機密性、完全性、可用性を維持すること。 情報セキュリティは、JIS Q 27000(すなわちISO/IEC 27000)によって、情報の機密性、完全性、可用性を維持することと定義...

セキュリティポリシー | 公開情報 | Kddi株式会社

は、KDDI株式会社 (以下「当社」という。) が、情報に対する適切な管理を重要な経営課題として認識し、情報セキュリティを確保するために、情報セキュリティに関する基本方針を定めたも.

セキュリティ ポリシーの操作 | Microsoft Docs

この記事では、Azure Security Center でセキュリティ ポリシーを操作する方法について説明します。

情報セキュリティ普及啓発映像コンテンツ - YouTube

あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~. 今 制御システムも狙われている! -情報セキュリティの必要性-.

セキュリティー・ソリューション - 日本 | Ibm

最高難度のサイバー・セキュリティー問題に世界規模で対処するIBMが、セキュリティー脅威からお客様のビジネスを守る革新的なソリューションをお届け. すべての移行段階にセキュリティー機能を組み込むことで、自信を持ってクラウドに移行できます。

Amazon.co.jp...

ケンジントン セキュリティロック Combination Laptop Lock MC64673. セキュリティロック.

セキュリティ ドキュメント - Cisco Community

コミュニティを探す. 購入する または契約更新する. コミュニティを探す. セキュリティ ドキュメント.

本人認証サービス(3Dセキュア)|楽天カード

楽天カードでは、より安全にインターネットでお買い物できるよう「本人認証サービス(3Dセキュア)」の登録を推奨しております。「本人認証サービス(3Dセキュア)」とは、会員様自身が設定された「本人認証パスワード」をご入力いただくことにより、不正使用を未然に防止するサービスです。

rakuten-bank.co.jp/security/howto/enhanced/securitycard

お客さまごとに発行されるセキュリティカードに裏面に記載された英数字が並んだ表を利用して、取引画面にて表示・指定された場所の英数字を入力することで認証を行うものです。

Watch Free アイドルエロティック

アイドルエロティック.

セキュリティソリューション|SecureOWL|KCCS

京セラコミュニケーションシステムのセキュリティソリューションを紹介するページです。主にKCCSで取り扱っているセキュリティソリューション「診断・コンサルティング」、「外部脅威対策」、「内部脅威対策」、「クラウド・モバイル対策」、「運用支援」について紹介します。

Google 翻訳

ドキュメント翻訳. 言語を検出する. イタリア語. checkhistory. イディッシュ語.

会社概要/代表取締役社長・高野聖玄 / 株式会社スプラウト

セキュリティ対策/体制の評価. セキュリティコンサルティング. セキュリティ戦略策定支援. セキュリティマネジメント.

情報セキュリティ | ソフトバンクグループ株式会社

ソフトバンクグループ株式会社(代表取締役会長 兼 社長:孫 正義、英文社名:SoftBank Group Corp.)の公式サイトです。企業情報、事業内容、グループ企業、IR情報、CSR情報をご覧いただけます。

情報セキュリティ安心相談窓口:Ipa 独立行政法人 情報処理推進機構

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

個人/法人向けサイバーセキュリティソリューション | F-Secure

エフセキュアは、受賞歴のある検知と対応ソリューションをはじめとした世界トップクラスのサイバーセキュリティサービスの提供を通じて、世界中の人々とビジネスの安全を守り続けます。

トロピカル~ジュ! プリキュア | 東映アニメーション

「トロピカル~ジュ!プリキュア」(トロプリ)メイクでチェンジ!ムテキのやる気!「トロピカル~ジュ!プリキュア」2021年2月28(日)よりABCテレビ・テレビ朝日系列にて毎週日曜あさ8時30分~放送開始!どんなプリキュアたちが活躍するのか…!?お楽しみに!みんなで一緒にトロピカっちゃおー!

dlsite.com

青春×フェティシズム/逢坂成美 柚木つばめ 「莉子にしたこと、わたしにもし...

ケイン・ヤリスギ「」 (@kein_yarisugi) | Twitter

【成宮はるあ 希美かんな 美月優芽 碧木凛 一条りおん 西条沙羅】夏のパコパコパーティ!!絶頂狂いのパリぴ乱交! https://click.dtiserv2.com/Direct/9363999-363-160889/monthly/av9898/moviepages/1908/index.html …

アクセンチュアの新卒採用

最新情報を受け取る(経験者採用のみ). タレント・コミュニティにご登録いただくと、最新の募集職種、ニュースや社員からのアドバイスなど、あなたの好みに合わせた最新情報をお届けしま. す。 やりがいのある機会があなたを待っています。

会社情報 - Gsx|グローバルセキュリティエキスパート株式会社

セキュリティ専門家を時間借りしたい. 情報セキュリティコンサルティング会社で最初のISO27001を取得.

東京大学情報セキュリティ教育 / UTokyo Information Security Education

象に、情報セキュリティ教育(e-learning)を毎年実施することになりました。 情報セキュリティ教育未受講者(不合格者を含む)は、11月1日から3月31日までの間、 UTokyo WiFiの利用を停止いたします。

Yoox...

5000以上のブランドのウェア、シューズ、バッグ、デザインアイテムが揃うYOOX(ユークス)でショッピング | 簡単でスピーディな返品 | 安全なお支払いシステム | 迅速なお届け

Обозначения в иероглифах на аукционных листах и их перевод

В данной статье мы постарались собрать самые популярные обозначения, которые указывают инспекторы при досмотре автомобиля перед выставлением на аукцион.

「お、ねだん以上。 」ニトリ公式アカウント (@nitori_official)...

インテリアと暮らしのSNS | RoomClip. 家事・収納・料理 サンキュ!

動画 - Fc2コンテンツマーケット

動画 - FC2コンテンツマーケット - 評価レビューと無料サンプルのあるダウンロード販売サイト。同人誌バックナンバーや自作サウンドデータ・プログラムなども販売・購入可能です。

人気の「ロリコン淫夢」動画 195本 - ニコニコ動画

「ロリコン淫夢」動画 196本「迫真VR射撃部・性の裏技.mp17」「ジュニアアイドルのイメージビデオで問題のBGM」「ホモと見るジュニアアイドルと弟」

Hulu(フールー): 人気映画、ドラマ、アニメが見放題! 【お試し無料】

人気の映画・ドラマ・アニメ・ バラエティが見放題2週間無料. テレビ、パソコン、スマートフォン、タブレットなどで、いつでも、どこでも見放題でお楽しみいただけます。

おすすめの人気動画を見よう | TikTok (ティックトック)

TikTok (ティックトック) から始まる。TikTokでみんなと一緒にコンテンツやクリエイターを探索して楽しみませんか?携帯端末またはウェブからご利用いただけます。

第3回:依存関係かく乱攻撃と敵対的乗っ取り--企業が直面する ...

ソフトウェアのサプライチェーンに対するサイバー攻撃のリスクが顕在化する今、大きく5つに分類されるその手法について解説します。

COMMENTS


51757:
2021-07-21 06:05

ソフトウェアサプライチェーン攻撃の5つの手法の第3回目

51758:
2021-07-21 00:12

「ソフトウェアサプライチェーン攻撃の5つの手法」 のつづきじゃん。

Recommended

TITLE
CATEGORY
DATE
東芝DSと三井住友海上火災、サプライチェーン保険を開始
IT関連
2022-10-30 05:45
三井住友銀、自社共通の「Vポイント」で残高チャージできるモバイル決済アプリ
最近の注目ニュース
2021-02-02 21:20
AWS、AIや機械学習環境の信頼性向上を図るサービスを発表
IT関連
2022-12-02 13:04
コロナ禍で拡大したIT・ビジネスサービス市場、2023年も堅調の見込み–IDC
IT関連
2022-11-02 11:35
NTT Com、制御システムなどへのセキュリティリスク可視化・検知サービスを開始
IT関連
2022-04-28 09:07
「ポケモンユナイト」でeスポーツ「MOBA」は日本に根付くか キーワードは知名度と「基本無料」 (1/2 ページ)
くわしく
2021-08-04 05:27
NEC、2023年度第3四半期決算も増収増益–ITサービス事業が好調
IT関連
2024-02-01 17:33
大手芸能事務所が「N高」と組む理由 “好きなことで自分探し”がエンタメ業界の糧に
くらテク
2021-02-05 15:06
NECとコニカミノルタ、ローカル5G利用の工場内移動ロボット制御技術を発表
IT関連
2022-01-19 19:50
25周年を迎えるSAP in インド–バンガロールのSAP Labs Indiaを訪ねる
IT関連
2023-11-11 08:58
オープンソースデータベースのMariaDB、新規株式公開の意向表明
IT関連
2022-02-05 18:30
神戸大など、国内初のセキュアクラウドによる高精細映像伝送を実証
IT関連
2022-01-21 10:33
KDDIら、ロボット、自動運転車、ドローン組み合わせ自動配送–山間部の配送も視野
IT関連
2024-12-07 07:26
研究予算・指導方針・就職先など全国の研究室情報と口コミを検索できる「研究室サーチ by LabBase」ベータ版が公開
ネットサービス
2021-07-03 07:17