大量のポケベル爆発から学ぶサプライチェーンの教訓

原文のブログはこちらからご覧いただけます。  

中東のレバノンで数千台のポケベルが相次いで爆発し、イスラム組織「ヒズボラ」の戦闘員を含む多数の死傷者が出ました。このニュースが世界中を駆けめぐったあと、オンラインでさまざまな憶測と議論が湧き起こりました。当初、人々はポケベルのバッテリーが一斉に爆発したのは、ある種のサイバー攻撃によるものだと推測していました。そして、一部の人々は「自分たちのスマホも同様の攻撃を受けて爆発するかもしれない」という不安を抱きました。

しかし、この議論はすぐに別のシナリオに移りました。それは、ポケベルがサプライチェーンの途中で奪われ、各ポケベルの内部に遠隔で爆発を引き起こす仕掛けが施されたのではないかというものです。攻撃者は以前にも類似した攻撃を行ったことがありますが、今回ほど大規模なものではありませんでした。

原因の解明や分析が進められている最中ですが、こうした攻撃は、すべての組織に対して重要な警鐘を鳴らしています。つまり、自社の物理的およびバーチャルなサプライチェーンを支えるベンダーについて、改めて重要な問いかけをすべき時だということです。この攻撃が現実世界に多大な影響を与えたことは明らかですが、注目すべきは、今回の事件が多くの組織にとって何が最も重要であるかという議論を社内で促すきっかけになるという点です。すなわち、ソフトウェアサプライチェーンのセキュリティという問題です。

このブログでは、過去のソフトウェアサプライチェーン攻撃から学んだ重要な教訓をいくつかご紹介します。

過去のソフトウェアサプライチェーン攻撃から学ぶ教訓

今日のデジタル時代において、ソフトウェアサプライチェーンのセキュリティは最優先の課題となっています。過去の攻撃から学んだ教訓を紹介する前に、ソフトウェアサプライチェーン攻撃とは何かを理解することが不可欠です。これらの攻撃は、ソフトウェアの開発と配信プロセスにおける最も脆弱な部分を標的とし、サプライチェーンの様々な段階で悪意あるコードやソフトウェアアップデートを仕込みます。その目的は多くの場合、広く使用されているソフトウェアを悪用し、その下流に存在する数多くのネットワークやシステムに不正にアクセスすることにあります。

 教訓1：信頼しても検証は怠らない

最近の攻撃から得た最も重要な教訓の1つは、サードパーティ製のソフトウェアとアップデートの整合性を検証することの重要性です。例えば、SolarWinds に対する攻撃では、組織がこのソフトウェア会社の更新プロセスを信頼していたことが悪用されました。組織は、自社システムに組み込むソフトウェアに悪意ある改変がないことを確認するため、厳格な検証プロセスを実施する必要があります。これにはソースコードの監査、チェックサムによる検査、デジタル署名の確認が含まれます。

教訓2：ベンダーを厳選する

ベンダーやサプライヤーと強固な関係を構築することも重要な教訓です。セキュリティ要件を明確に定め、ベンダーに対してサイバーセキュリティ対策の遵守を求めることで、組織のセキュリティ基準を確実に満たすことができます。また、ベンダーのセキュリティに関する取り組みを保証するセキュリティ認証について確認することも大切です。契約や合意事項を定期的に更新し、見直しを行うことで、潜在的なリスクに対する協力体制を強化できます。これには、脆弱性が発見された場合の対応時間に関する取り決めも含まれます。さらに、通常の連絡手段が使えなくなった場合に備えて、信頼できる認証済みの代替手段の有無も確認しましょう。

教訓3：可視性とモニタリングを強化する

ソフトウェアサプライチェーンの可視性は極めて重要です。すべての組織は、SBOM（ソフトウェア部品表）を作成し、定期的に更新すべきです。これにより、使用しているソフトウェアの提供元であるベンダーがサイバー攻撃などで侵害された場合、自社システムへの影響や情報漏洩などのリスクを素早く評価できます。SBOMによってシステムの構成が明確になることで、常時監視や即時分析の精度が上がるため、通常とは異なる動作やセキュリティ侵害の可能性をより早く発見できるようになります。AIベースのサイバーセキュリティツールと MDR（マネージド検知・対応）サービスも役立ちます。さらに、既存のセキュリティ対策をそのまま活用できる MDRサービスを検討することで、現在使っているシステムを置き換えることなく、素早くセキュリティ体制を強化できます。

教訓4：システムを定期的に更新し、パッチを適用する

古いソフトウェアやパッチが適用されていないソフトウェアは、攻撃者にとって最も一般的な侵入口の1つです。組織は、すべてのシステムに最新のセキュリティパッチが適用されるよう、強固なパッチ管理プロセスを確立すべきです。また、定期的な脆弱性評価と侵入テストを行うことで、早急な対応が必要な弱点を見つけ出すことができます。

教訓5：定期的なトレーニングと意識向上プログラムを実施する

人為的ミスは、依然としてサイバーセキュリティインシデントの主な要因の一つとなっています。従業員に定期的なトレーニングと意識向上プログラムを提供することで、フィッシング攻撃やその他のソーシャルエンジニアリング戦術の被害に遭うリスクを軽減できます。全従業員が最新の脅威とサイバーセキュリティのベストプラクティスを理解することで、組織全体の対応力と警戒意識を高めることができます。

結論

攻撃の種類を問わず、各インシデントは、発生した事象を分析し自社の潜在的な脆弱性を発見する機会となります。

ソフトウェアサプライチェーンを狙った攻撃は、今後さらに巧妙化し頻発することが予想されています。しかし、過去のインシデントから学び、包括的なセキュリティ対策を実施することで、組織はこうした攻撃に対する防御力を着実に強化できます。

留意すべきは、攻撃者がサプライチェーンの新たな弱点を狙うことで、組織のリスクが急激に高まる可能性があるという点です。そのため、サプライチェーンのセキュリティを総合的に強化することが急務となっています。

関連記事

• ソフトウェアサプライチェーンのセキュリティ：注目すべき 3 つのトレンドとは
• ソフトウェアサプライチェーンセキュリティの現状 [調査]
• Business Continuity, the True Measure of Cybersecurity
• Blue Screens, BlackBerry AtHoc, and Business Continuity: A Global Outage Story

同様の記事やニュースの配信を希望される場合は、BlackBerryブログの購読をご検討ください。

ご質問はこちらから、お気軽にお問合せください：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

• 攻撃や感染した事故対応はこちらまで　サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
• ランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
• BlackBerry Japan：https://www.blackberry.com/ja/jp
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
• LinkedIn: https://www.linkedin.com/company/blackberry/
• YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
• セミナーやトレーニング情報はこちらをご覧ください。