第3回：依存関係かく乱攻撃と敵対的乗っ取り–企業が直面する課題と対策

今回は「第3回：依存関係かく乱攻撃と敵対的乗っ取り–企業が直面する課題と対策」についてご紹介します。

関連ワード （セキュリティ、ソフトウェアサプライチェーン攻撃の5つの手法等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　この連載では、ソフトウェアベンダーへの不正アクセス、サードパーティアプリケーションとオープンソースライブラリーの悪用の3種類のサプライチェーン攻撃手法に関して紹介してきました。最終回は、（4）依存関係かく乱攻撃と（5）敵対的乗っ取りについて取り上げるほか、ソフトウェアサプライチェーン攻撃を取り巻く現状の課題と対策について説明します。

4.依存関係かく乱攻撃

　2021年2月、セキュリティ研究者のAlex Birsan氏は、攻撃の新たなベクトルとして「依存関係かく乱攻撃」を命名しました。これは、ソフトウェアプログラムの開発の仕組みを悪用した、巧妙かつシンプルな手法です。

　ソフトウェアプログラムは、専門のソフトウェアツール群を用いて開発されます。ソースコード自体の作成には、コードの記述プロセスを効率化する専用のテキストエディターが用いられます。

　記述されたコードは、バージョン管理されているリポジトリーに保存されます。ソフトウェア開発においてコードの再利用は一貫した目標であり、頻繁に使われるコードやユーティリティーコードは、多くのアプリケーションに組み込むことのできる「ライブラリー」と呼ばれるパッケージに集められます。アプリケーションを開発する際、それぞれのリポジトリーから適切なコードと、ライブラリーを利用するための「ビルドツール」が使用されます。

　そして、コードをコンパイル、アセンブル、パッケージし、最終的に納品します。上記以外にも、自動テストを実行し、テスト、ステージング、本番などの定められた導入環境にアプリケーションをプッシュするための各種ツールが使用されます。一般的なアプリケーション開発では、この作業は1日に何十回も行われます。

　オープンソースライブラリーとは、有用なユーティリティーコードをバンドルしたもので、「パブリック」リポジトリーを使用して無償公開されています。オープンソースソフトウェアは、多数のアプリケーションに採用されており、ビルドツールは、アプリケーションを開発する企業のみがアクセスできる「プライベート」リポジトリーと、パブリックリポジトリーの両方からコードを利用します。

　依存関係かく乱攻撃では、ライブラリーコードをどこで探すのか、そして、コードが重複している場合にどのバージョンを採用するかに関する仕組みが悪用されます。攻撃者はプライベートリポジトリーのパッケージと同じ名前のパッケージをパブリックリポジトリーに登録し、本来のパッケージより高いバージョン番号をファイル名に入れることで、開発者に攻撃者のライブラリーをプルさせます。モダンなアプリケーションの複雑性と、オープンソースへの過度の依存度を考えると、この攻撃ベクトルは効果的です。

　その結果による大惨事も想定されます。開発者のPCやIaaSの仮想サーバーなど、ビルドツールを実行するマシンでは、たった一度のプルの誤操作によって、攻撃者のコードが実行されてしまいます。上述のBirsan氏は、この手法を用いて概念実証（PoC）コードを作成し、Apple、Microsoft、Netflix、PayPal、Shopify、Tesla、Uberなど、ほぼ全ての標的企業の内部サーバーから、模擬攻撃者のサーバーにデータを送信できることを確認しました。この手法が公開された48時間以内には、同じ手法を試みているオープンソースパッケージの偽物が数百件も発見されました。

セキュリティ - Wikipedia

セキュリティ（英: security）は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。 一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。

情報セキュリティ - Wikipedia

情報セキュリティ（じょうほうセキュリティ、英: information security）とは、情報の機密性、完全性、可用性を維持すること。 情報セキュリティは、JIS Q 27000（すなわちISO/IEC 27000）によって、情報の機密性、完全性、可用性を維持することと定義...

セキュリティポリシー | 公開情報 | Kddi株式会社

は、KDDI株式会社 (以下「当社」という。) が、情報に対する適切な管理を重要な経営課題として認識し、情報セキュリティを確保するために、情報セキュリティに関する基本方針を定めたも.

セキュリティ ポリシーの操作 | Microsoft Docs

この記事では、Azure Security Center でセキュリティ ポリシーを操作する方法について説明します。

情報セキュリティ普及啓発映像コンテンツ - YouTube

あなたの会社のセキュリティドクター ～中小企業向け情報セキュリティ対策の基本～. 今 制御システムも狙われている! －情報セキュリティの必要性－.

セキュリティー・ソリューション - 日本 | Ibm

最高難度のサイバー・セキュリティー問題に世界規模で対処するIBMが、セキュリティー脅威からお客様のビジネスを守る革新的なソリューションをお届け. すべての移行段階にセキュリティー機能を組み込むことで、自信を持ってクラウドに移行できます。

Amazon.co.jp...

ケンジントン セキュリティロック Combination Laptop Lock MC64673. セキュリティロック.

セキュリティ ドキュメント - Cisco Community

コミュニティを探す. 購入する または契約更新する. コミュニティを探す. セキュリティ ドキュメント.

本人認証サービス（3Dセキュア）｜楽天カード

楽天カードでは、より安全にインターネットでお買い物できるよう「本人認証サービス（3Dセキュア）」の登録を推奨しております。「本人認証サービス（3Dセキュア）」とは、会員様自身が設定された「本人認証パスワード」をご入力いただくことにより、不正使用を未然に防止するサービスです。

rakuten-bank.co.jp/security/howto/enhanced/securitycard

お客さまごとに発行されるセキュリティカードに裏面に記載された英数字が並んだ表を利用して、取引画面にて表示・指定された場所の英数字を入力することで認証を行うものです。

Watch Free アイドルエロティック

アイドルエロティック.

セキュリティソリューション｜SecureOWL｜KCCS

京セラコミュニケーションシステムのセキュリティソリューションを紹介するページです。主にKCCSで取り扱っているセキュリティソリューション「診断・コンサルティング」、「外部脅威対策」、「内部脅威対策」、「クラウド・モバイル対策」、「運用支援」について紹介します。

Google 翻訳

ドキュメント翻訳. 言語を検出する. イタリア語. checkhistory. イディッシュ語.

会社概要／代表取締役社長・高野聖玄 / 株式会社スプラウト

セキュリティ対策/体制の評価. セキュリティコンサルティング. セキュリティ戦略策定支援. セキュリティマネジメント.

情報セキュリティ | ソフトバンクグループ株式会社

ソフトバンクグループ株式会社（代表取締役会長 兼 社長：孫 正義、英文社名：SoftBank Group Corp.）の公式サイトです。企業情報、事業内容、グループ企業、IR情報、CSR情報をご覧いただけます。

情報セキュリティ安心相談窓口：Ipa 独立行政法人 情報処理推進機構

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

個人／法人向けサイバーセキュリティソリューション | F-Secure

エフセキュアは、受賞歴のある検知と対応ソリューションをはじめとした世界トップクラスのサイバーセキュリティサービスの提供を通じて、世界中の人々とビジネスの安全を守り続けます。

トロピカル～ジュ! プリキュア | 東映アニメーション

「トロピカル～ジュ！プリキュア」(トロプリ)メイクでチェンジ！ムテキのやる気！「トロピカル～ジュ！プリキュア」2021年2月28(日)よりABCテレビ・テレビ朝日系列にて毎週日曜あさ8時30分～放送開始！どんなプリキュアたちが活躍するのか…！？お楽しみに！みんなで一緒にトロピカっちゃおー！

dlsite.com

青春×フェティシズム/逢坂成美 柚木つばめ 「莉子にしたこと、わたしにもし...

ケイン・ヤリスギ「」 (@kein_yarisugi) | Twitter

【成宮はるあ 希美かんな 美月優芽 碧木凛 一条りおん 西条沙羅】夏のパコパコパーティ!!絶頂狂いのパリぴ乱交! https://click.dtiserv2.com/Direct/9363999-363-160889/monthly/av9898/moviepages/1908/index.html …

アクセンチュアの新卒採用

最新情報を受け取る(経験者採用のみ). タレント・コミュニティにご登録いただくと、最新の募集職種、ニュースや社員からのアドバイスなど、あなたの好みに合わせた最新情報をお届けしま. す。 やりがいのある機会があなたを待っています。

会社情報 - Gsx｜グローバルセキュリティエキスパート株式会社

セキュリティ専門家を時間借りしたい. 情報セキュリティコンサルティング会社で最初のISO27001を取得.

東京大学情報セキュリティ教育 / UTokyo Information Security Education

象に、情報セキュリティ教育（e-learning）を毎年実施することになりました。 情報セキュリティ教育未受講者(不合格者を含む)は、11月1日から3月31日までの間、 UTokyo WiFiの利用を停止いたします。

Yoox...

5000以上のブランドのウェア、シューズ、バッグ、デザインアイテムが揃うYOOX（ユークス）でショッピング | 簡単でスピーディな返品 | 安全なお支払いシステム | 迅速なお届け

Обозначения в иероглифах на аукционных листах и их перевод

В данной статье мы постарались собрать самые популярные обозначения, которые указывают инспекторы при досмотре автомобиля перед выставлением на аукцион.

「お、ねだん以上。 」ニトリ公式アカウント (@nitori_official)...

インテリアと暮らしのSNS | RoomClip. 家事・収納・料理 サンキュ!

動画 - Fc2コンテンツマーケット

動画 - FC2コンテンツマーケット - 評価レビューと無料サンプルのあるダウンロード販売サイト。同人誌バックナンバーや自作サウンドデータ・プログラムなども販売・購入可能です。

人気の「ロリコン淫夢」動画 195本 - ニコニコ動画

「ロリコン淫夢」動画 196本「迫真VR射撃部・性の裏技.mp17」「ジュニアアイドルのイメージビデオで問題のBGM」「ホモと見るジュニアアイドルと弟」

Hulu(フールー): 人気映画、ドラマ、アニメが見放題! 【お試し無料】

人気の映画・ドラマ・アニメ・ バラエティが見放題２週間無料. テレビ、パソコン、スマートフォン、タブレットなどで、いつでも、どこでも見放題でお楽しみいただけます。

おすすめの人気動画を見よう | TikTok (ティックトック)

TikTok (ティックトック) から始まる。TikTokでみんなと一緒にコンテンツやクリエイターを探索して楽しみませんか？携帯端末またはウェブからご利用いただけます。

第3回：依存関係かく乱攻撃と敵対的乗っ取り--企業が直面する ...

ソフトウェアのサプライチェーンに対するサイバー攻撃のリスクが顕在化する今、大きく5つに分類されるその手法について解説します。