1分でふんわり分かるかも？「サプライチェーン攻撃」
～攻撃の起点は色んな所に潜んでいる～

ハードウエア製造・販売のサプライチェーンのどこかでウイルスを埋め込むサプライチェーン攻撃

ハードウエア製造・販売におけるコンポーネントの製造会社、受託製造、物流などの過程のどこかでウイルスやバックドアなどを仕込まれるというパターンです。これを防ぐためにハードウエアメーカーはHSM（ハードウエアセキュリティーモジュール）というモジュールを使って、ファームウエアの不正書き換え防止対策を行っていたりします。こういったことが起こるのはごくまれではあると思いますが、ユーザー企業としてはNTA（ネットワークトラフィック分析）やNDR（ネットワークディテクション＆レスポンス）などにより異常な通信を発見することで対策を行うことができます。

Webサイト開発におけるサプライチェーン攻撃

「リモートブラウザーアイソレーション」の回にも少しご紹介した通り、Webサイトはさまざまなコンポーネントにより成り立っています。開発者は便利だと思って使っているコンポーネントの中にも、表向きは善良そうに見えて実は悪さをするようなコンポーネントも存在します。サプライチェーン攻撃として語られることは少ないですがこれもサプライチェーン攻撃の一つと言えます。ユーザー企業としてはURLフィルタリングやリモートブラウザーアイソレーションなどで対策を行うことができます。

ソフトウエア・アプリケーション開発におけるサプライチェーン攻撃

これも一つ前のものと似てはいますが、図ではモバイルアプリを例に説明しています。例えば、アプリケーション開発に利用しているSDK（ソフトウエア開発キット）やオープンソースソフトウエアに悪意のあるソフトウエアが紛れ込んでいることもあります。アプリケーションの開発者の場合はSCA（ソフトウエアコンポジション解析）などといったツールを使ってそういったものが紛れ込まないようにチェックを行うといったことをやっています。ユーザー企業の場合はMDM/MAMといったツールを使って、アプリケーションのインストールを制御したり、アプリケーション間の干渉を制限したりすることで対策ができます。

セキュリティー対策が弱い企業を狙うサプライチェーン攻撃

これまでに説明したサプライチェーン攻撃は、サプライチェーンの内部に悪意のあるものが紛れ込んでいるというパターンが多いですが、このサプライチェーン攻撃については、サプライチェーンの中でセキュリティー対策が弱い企業を狙い、そこからサプライチェーン全体に攻撃範囲を広げていくというもので、現在騒がれているサプライチェーン攻撃の中でも最もポピュラーなものであると思います。
サプライチェーン間でプライベートに接続されたネットワークを通して侵入することもありますが、図ではまずは脆弱な企業のPCを乗っ取って、そこから別の企業にメールなどで侵入を広げるといったものを例にしています。ユーザー企業はメールセキュリティー、EDR（エンドポイントディテクション＆レスポンス）などの製品を使って早期に発見し対処することもできますし、最近ではサードパーティーのセキュリティーレベルをチェックしてくれるサービスも多く出てきているので、そういったツールを使って取引企業が適切にセキュリティー対策できているかチェックを行うということもできます。

松尾