2021年はサプライチェーン攻撃の年:3倍増の件数と3つの大きな課題

Software Supply Chain Attacks Tripled in 2021: Study

2022/01/20 SecurityWeek — 2021年は、ソフトウェア・サプライチェーン攻撃の年だったと言えるだろう。SolarWinds が世界の目を見開かせ、脅威の大きさを明らかにした年だ。それ以外にも、Kaseya/Codecov/ua-parser-js/Log4j などの大規模な攻撃があった。いずれの場合も、攻撃者にとって魅力的なのは、分散したコードにおける1つの違反/危殆化/脆弱性が、数千人にもいたる犠牲者を出す可能性があることだ。

Argon (Aqua Security が買収) による、顧客セキュリティの6ヶ月にわたる分析の結果である 2021 Software Supply Chain Security Report で、犯罪の焦点となる主要な領域を強調している。それらは、オープンソースの脆弱性と、コードの整合性の問題に加えて、 ソフトウェアのサプライチェーン・プロセスとサプライヤの信頼を悪用した、マルウェアやバックドアの配布などである。

共通しているのは、オープンソース・ソフトウェアである。それは、多くの場合、本質的に信頼性が高く、社内のシステム開発者が日常で使用するコードのソースである。

Argon の Senior Director である Eran Orzel は、「この1年間に発生した攻撃の数と、1つの攻撃がおよぼす影響の大きさは、アプリケーション・セキュリティ・チームが直面している、大きな課題を浮き彫りにしている。残念ながら、ほとんどのチームには、サプライチェーン攻撃に対処するためのリソース/予算/知識が不足している。さらに、この攻撃経路に対処するアプリケーション・セキュリティ・チームは、開発チームや DevOps チームの協力が必要であるという事実を加えれば、そこにも克服すべき困難な課題があることが理解できるだろう」と述べている。

Argon の分析では、オープンソース・アプリケーションの脆弱性/パイプライン・ツールの危険性/コード・アーティファクトの整合性という、3つの問題領域が強調されている。

1つ目のアプリケーションのサプライチェーンに潜む脆弱性を悪用する攻撃としては、すでに広く配布/インストールされているアプリケーションの脆弱性に関するものと、ダウンロード前のソース・パッケージをポイズニングするものとの、2つの分野に焦点を当てている。

前者の例としては Log4j 攻撃があり、後者の例としては us-parser-js パッケージ・ポイズニングがある。

2つ目の攻撃ベクターは、パイプライン・ツールの侵害である。Argon の 2021 Software Supply Chain Security Report は 、「SolarWinds インシデントの攻撃者は、ビル・ドプロセス中のコード変更や、悪意のコード注入などにより、アプリケーションを改ざんできた。また、侵害されたパッケージ・レジストリを使用して、正規のアーティファクトではなく、侵害されたアーティファクトをアップロードした。また、Codecov 攻撃では、パイプラインにアクセスして攻撃を仕掛けるために悪用が可能な、数十もの外部依存関係が接続されていた」と述べている。

3つ目となる、研究者が指摘するリスク領域は、ソースコード・レポジトリへの不良コードのアップロードである。それにより、成果物の品質やセキュリティ態勢に影響が生じる。Argon Report では、「多くの場合、発見された問題の数は圧倒的であり、暴露を減らすためには、シークレット・クリーニングやコンテナ・イメージの標準化などの、特化したクリーンアップ・プロジェクトが必要だった」 と述べている。

全体的に見て、2021年のソフトウェア・サプライチェーンへの攻撃件数は、2020年と比較して3倍になったと Argon は捉えている。それに納得する人は多いだろう。2021年5月のバイデン大統領令では、サプライチェーン攻撃が懸念事項として盛り込まれている。さらに最近では、2022年1月13日に、米国政府と大手ハイテク企業の代表者が参加するホワイトハウス・サミットが開催され、オープンソース・ソフトウェアのセキュリティについて議論された。

2021年は、オープンソース・ソフトウェアのサプライチェーン攻撃が成功した年である。したがって、2022年を通して、犯罪組織と国民国家の両方にとって、重要な要素であり続けることはほぼ間違いない。Argon Report は、「この傾向は、サプライチェーン攻撃の頻度と巧妙さにおいて加速すると予想される」と警告している。

Argon は、セキュリティ・チームと DevSecOps の担当者が協力して、ソフトウェアのサプライチェーンに内在するリスクを考慮した、新しいセキュリティ戦略と取り組みを定義/実行する必要があると提言している。具体的には、「開発環境のセキュリティを強化し、ソフトウェアにおけるインフラ/プロセス/デプロイメントの保護を強化し、次の高度な攻撃に備える必要がある」と述べている。

たしかに、2021年は、ソフトウェア・サプライチェーン攻撃に始まって終わった年でしたね。端的にマトメられている記事ですが、オープンソース・アプリケーションの脆弱性/パイプライン・ツールの危険性/コード・アーティファクトの整合性という、3つの問題領域の切り分けは、スッキリしていてとてもわかり易いです。よろしければ、カテゴリ SupplyChainAttack をご参照ください。Log4Shell に関しては、また、攻撃前ということで、ココには殆どは入っていません。そちらは、ページ Log4j となります。

%d bloggers like this: