第3回:依存関係かく乱攻撃と敵対的乗っ取り–企業が直面する課題と対策
今回は「第3回:依存関係かく乱攻撃と敵対的乗っ取り–企業が直面する課題と対策」についてご紹介します。
関連ワード (セキュリティ、ソフトウェアサプライチェーン攻撃の5つの手法等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
この連載では、ソフトウェアベンダーへの不正アクセス、サードパーティアプリケーションとオープンソースライブラリーの悪用の3種類のサプライチェーン攻撃手法に関して紹介してきました。最終回は、(4)依存関係かく乱攻撃と(5)敵対的乗っ取りについて取り上げるほか、ソフトウェアサプライチェーン攻撃を取り巻く現状の課題と対策について説明します。
4.依存関係かく乱攻撃
2021年2月、セキュリティ研究者のAlex Birsan氏は、攻撃の新たなベクトルとして「依存関係かく乱攻撃」を命名しました。これは、ソフトウェアプログラムの開発の仕組みを悪用した、巧妙かつシンプルな手法です。
ソフトウェアプログラムは、専門のソフトウェアツール群を用いて開発されます。ソースコード自体の作成には、コードの記述プロセスを効率化する専用のテキストエディターが用いられます。
記述されたコードは、バージョン管理されているリポジトリーに保存されます。ソフトウェア開発においてコードの再利用は一貫した目標であり、頻繁に使われるコードやユーティリティーコードは、多くのアプリケーションに組み込むことのできる「ライブラリー」と呼ばれるパッケージに集められます。アプリケーションを開発する際、それぞれのリポジトリーから適切なコードと、ライブラリーを利用するための「ビルドツール」が使用されます。
そして、コードをコンパイル、アセンブル、パッケージし、最終的に納品します。上記以外にも、自動テストを実行し、テスト、ステージング、本番などの定められた導入環境にアプリケーションをプッシュするための各種ツールが使用されます。一般的なアプリケーション開発では、この作業は1日に何十回も行われます。
オープンソースライブラリーとは、有用なユーティリティーコードをバンドルしたもので、「パブリック」リポジトリーを使用して無償公開されています。オープンソースソフトウェアは、多数のアプリケーションに採用されており、ビルドツールは、アプリケーションを開発する企業のみがアクセスできる「プライベート」リポジトリーと、パブリックリポジトリーの両方からコードを利用します。
依存関係かく乱攻撃では、ライブラリーコードをどこで探すのか、そして、コードが重複している場合にどのバージョンを採用するかに関する仕組みが悪用されます。攻撃者はプライベートリポジトリーのパッケージと同じ名前のパッケージをパブリックリポジトリーに登録し、本来のパッケージより高いバージョン番号をファイル名に入れることで、開発者に攻撃者のライブラリーをプルさせます。モダンなアプリケーションの複雑性と、オープンソースへの過度の依存度を考えると、この攻撃ベクトルは効果的です。
その結果による大惨事も想定されます。開発者のPCやIaaSの仮想サーバーなど、ビルドツールを実行するマシンでは、たった一度のプルの誤操作によって、攻撃者のコードが実行されてしまいます。上述のBirsan氏は、この手法を用いて概念実証(PoC)コードを作成し、Apple、Microsoft、Netflix、PayPal、Shopify、Tesla、Uberなど、ほぼ全ての標的企業の内部サーバーから、模擬攻撃者のサーバーにデータを送信できることを確認しました。この手法が公開された48時間以内には、同じ手法を試みているオープンソースパッケージの偽物が数百件も発見されました。
セキュリティ - Wikipedia
セキュリティ(英: security)は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。 一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。
情報セキュリティ - Wikipedia
情報セキュリティ(じょうほうセキュリティ、英: information security)とは、情報の機密性、完全性、可用性を維持すること。 情報セキュリティは、JIS Q 27000(すなわちISO/IEC 27000)によって、情報の機密性、完全性、可用性を維持することと定義...
セキュリティポリシー | 公開情報 | Kddi株式会社
は、KDDI株式会社 (以下「当社」という。) が、情報に対する適切な管理を重要な経営課題として認識し、情報セキュリティを確保するために、情報セキュリティに関する基本方針を定めたも.
セキュリティ ポリシーの操作 | Microsoft Docs
この記事では、Azure Security Center でセキュリティ ポリシーを操作する方法について説明します。
情報セキュリティ普及啓発映像コンテンツ - YouTube
あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~. 今 制御システムも狙われている! -情報セキュリティの必要性-.
セキュリティー・ソリューション - 日本 | Ibm
最高難度のサイバー・セキュリティー問題に世界規模で対処するIBMが、セキュリティー脅威からお客様のビジネスを守る革新的なソリューションをお届け. すべての移行段階にセキュリティー機能を組み込むことで、自信を持ってクラウドに移行できます。
Amazon.co.jp...
ケンジントン セキュリティロック Combination Laptop Lock MC64673. セキュリティロック.
セキュリティ ドキュメント - Cisco Community
コミュニティを探す. 購入する または契約更新する. コミュニティを探す. セキュリティ ドキュメント.
本人認証サービス(3Dセキュア)|楽天カード
楽天カードでは、より安全にインターネットでお買い物できるよう「本人認証サービス(3Dセキュア)」の登録を推奨しております。「本人認証サービス(3Dセキュア)」とは、会員様自身が設定された「本人認証パスワード」をご入力いただくことにより、不正使用を未然に防止するサービスです。
rakuten-bank.co.jp/security/howto/enhanced/securitycard
お客さまごとに発行されるセキュリティカードに裏面に記載された英数字が並んだ表を利用して、取引画面にて表示・指定された場所の英数字を入力することで認証を行うものです。
Watch Free アイドルエロティック
アイドルエロティック.
セキュリティソリューション|SecureOWL|KCCS
京セラコミュニケーションシステムのセキュリティソリューションを紹介するページです。主にKCCSで取り扱っているセキュリティソリューション「診断・コンサルティング」、「外部脅威対策」、「内部脅威対策」、「クラウド・モバイル対策」、「運用支援」について紹介します。
Google 翻訳
ドキュメント翻訳. 言語を検出する. イタリア語. checkhistory. イディッシュ語.
会社概要/代表取締役社長・高野聖玄 / 株式会社スプラウト
セキュリティ対策/体制の評価. セキュリティコンサルティング. セキュリティ戦略策定支援. セキュリティマネジメント.
情報セキュリティ | ソフトバンクグループ株式会社
ソフトバンクグループ株式会社(代表取締役会長 兼 社長:孫 正義、英文社名:SoftBank Group Corp.)の公式サイトです。企業情報、事業内容、グループ企業、IR情報、CSR情報をご覧いただけます。
情報セキュリティ安心相談窓口:Ipa 独立行政法人 情報処理推進機構
情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
個人/法人向けサイバーセキュリティソリューション | F-Secure
エフセキュアは、受賞歴のある検知と対応ソリューションをはじめとした世界トップクラスのサイバーセキュリティサービスの提供を通じて、世界中の人々とビジネスの安全を守り続けます。
トロピカル~ジュ! プリキュア | 東映アニメーション
「トロピカル~ジュ!プリキュア」(トロプリ)メイクでチェンジ!ムテキのやる気!「トロピカル~ジュ!プリキュア」2021年2月28(日)よりABCテレビ・テレビ朝日系列にて毎週日曜あさ8時30分~放送開始!どんなプリキュアたちが活躍するのか…!?お楽しみに!みんなで一緒にトロピカっちゃおー!
dlsite.com
青春×フェティシズム/逢坂成美 柚木つばめ 「莉子にしたこと、わたしにもし...
ケイン・ヤリスギ「」 (@kein_yarisugi) | Twitter
【成宮はるあ 希美かんな 美月優芽 碧木凛 一条りおん 西条沙羅】夏のパコパコパーティ!!絶頂狂いのパリぴ乱交! https://click.dtiserv2.com/Direct/9363999-363-160889/monthly/av9898/moviepages/1908/index.html …
アクセンチュアの新卒採用
最新情報を受け取る(経験者採用のみ). タレント・コミュニティにご登録いただくと、最新の募集職種、ニュースや社員からのアドバイスなど、あなたの好みに合わせた最新情報をお届けしま. す。 やりがいのある機会があなたを待っています。
会社情報 - Gsx|グローバルセキュリティエキスパート株式会社
セキュリティ専門家を時間借りしたい. 情報セキュリティコンサルティング会社で最初のISO27001を取得.
東京大学情報セキュリティ教育 / UTokyo Information Security Education
象に、情報セキュリティ教育(e-learning)を毎年実施することになりました。 情報セキュリティ教育未受講者(不合格者を含む)は、11月1日から3月31日までの間、 UTokyo WiFiの利用を停止いたします。
Yoox...
5000以上のブランドのウェア、シューズ、バッグ、デザインアイテムが揃うYOOX(ユークス)でショッピング | 簡単でスピーディな返品 | 安全なお支払いシステム | 迅速なお届け
Обозначения в иероглифах на аукционных листах и их перевод
В данной статье мы постарались собрать самые популярные обозначения, которые указывают инспекторы при досмотре автомобиля перед выставлением на аукцион.
「お、ねだん以上。 」ニトリ公式アカウント (@nitori_official)...
インテリアと暮らしのSNS | RoomClip. 家事・収納・料理 サンキュ!
動画 - Fc2コンテンツマーケット
動画 - FC2コンテンツマーケット - 評価レビューと無料サンプルのあるダウンロード販売サイト。同人誌バックナンバーや自作サウンドデータ・プログラムなども販売・購入可能です。
人気の「ロリコン淫夢」動画 195本 - ニコニコ動画
「ロリコン淫夢」動画 196本「迫真VR射撃部・性の裏技.mp17」「ジュニアアイドルのイメージビデオで問題のBGM」「ホモと見るジュニアアイドルと弟」
Hulu(フールー): 人気映画、ドラマ、アニメが見放題! 【お試し無料】
人気の映画・ドラマ・アニメ・ バラエティが見放題2週間無料. テレビ、パソコン、スマートフォン、タブレットなどで、いつでも、どこでも見放題でお楽しみいただけます。
おすすめの人気動画を見よう | TikTok (ティックトック)
TikTok (ティックトック) から始まる。TikTokでみんなと一緒にコンテンツやクリエイターを探索して楽しみませんか?携帯端末またはウェブからご利用いただけます。
第3回:依存関係かく乱攻撃と敵対的乗っ取り--企業が直面する ...
ソフトウェアのサプライチェーンに対するサイバー攻撃のリスクが顕在化する今、大きく5つに分類されるその手法について解説します。
51757:
2021-07-21 06:05ソフトウェアサプライチェーン攻撃の5つの手法の第3回目