サプライチェーン攻撃対策は“待ったなし”／政府発表の注意喚起からひも解く サプライチェーンセキュリティーのポイント

サプライチェーン攻撃対策は“待ったなし” 政府発表の注意喚起からひも解く サプライチェーンセキュリティーの ポイント 国も憂慮する事態になった 状況である。 サプライチェーン攻撃 　次ページ以降ではサプライチェーンセキュリティーが求め 　生産現場のデジタル化が進む一方、ものづくり企業はサイ られる背景を深掘りし、課題解決に効果的な対策を考えて バー攻撃という深刻な課題に直面している。被害はサイバー いく。 空間にとどまらず、生産設備やラインの稼働に影響を及ぼす。 場合によっては工場が生産停止に追い込まれることもある。 サプライチェーンを守る 　ここ数年、そうした深刻な事案が国内外で多発している。 3つの有効な方策とは 生産停止によって企業は大きな経済的損失を被り、社会的 　サプライチェーン攻撃の足掛かりにされた企業が何の対策 信用も低下する。復旧には多大なコストと手間がかかり、こ も行っていなかったかといえば、答えは「ノー」だ。対策は行っ れも経営を圧迫する。 ていても、攻撃者はそれを上回る巧妙さで攻撃を仕掛けてくる。 　さらに注目すべきは、サイバー攻撃の影響が自社だけにと 　「サイバー攻撃は明らかに悪意があると分かる形では攻め どまらない点だ。2022年2月には大手自動車メーカーの国 てきません。そこに怖さがあります」とシスコの中河 靖吉氏 内全生産ラインが稼働停止に追い込まれた。取引先の部品 は指摘する。 メーカーがランサムウエア攻撃を受けたからだ。セキュリティー の手薄なところを足掛かりに、取引のある大手企業へ攻撃を 　たとえば、メールを悪用した攻撃の場合、実在の人物を 広げていく、いわゆるサプライチェーン攻撃である。サプラ かたって、メールの文面もそれらしく装う。うっかり添付ファ イチェーンの中に対策が不十分なところがあれば、重大なリ イルを開いたり、記載されたURLをクリックしたりするとマ スクにつながってしまう。 ルウエアに感染する（図1）。公開されているオープンソース の中に悪意のあるコードが仕込まれていたり、ソフトウエア 　これを受け、政府は「サイバーセキュリティ注意喚起」を のアップデートサーバーを改ざんして偽サイトにアクセスさせ、 2022年3月1日に発表し、サプライチェーンセキュリティー そこからマルウエアをダウンロードさせる手口もある。 対策強化の指針を示した。経済産業省などが改訂を進める 「サイバーセキュリティ経営ガイドライン Ver3.0」でも「サプ 　こうなると、事前に攻撃を見破るのは難しい。「侵入される ライチェーンセキュリティ対策の推進」が明記される見込みだ。 手を打たないと、産業や経済に多大なダメージをもたらす― ―。政府の強い危機意識がうかがえる。 　指針やガイドラインが求めているのは、サプライチェーン 全体にわたって適切なサイバーセキュリティー対策を講じる こと。具体的にはビジネスパートナーやシステム管理の運用 委託先に対策状況の把握を徹底させ、有事を想定して担う べき役割と責任範囲を明確化する。対策の導入支援や共同 シスコシステムズ合同会社 実施など、サプライチェーン全体で実効性を高めるための適 セキュリティ事業 サイバーセキュリティ事業営業部長 切な方策も検討する。企業側の対応はもはや“待ったなし”の 中河 靖吉氏 1

図1　サプライチェーン攻撃の主な経路 2-3次受け 委託元／1次受け メールによる標的型攻撃（フィッシングなど） 委託先／仕入れ先 委託先／仕入れ先 委託先／仕入れ先 委託元 ・社員宛にマルウエアを添付したメール（Emotet （国内／海外） （国内／海外） （国内／海外） など）、またはC&Cなどへの誘導リンクを含む メール（フィッシングメールなど）を利用し、侵入 サプライヤ環境 インフラ の仕込みを行う データ ネットワーク経由の攻撃（リモート） ソフトウエア／システム ・脆弱性のあるネットワーク機器をついて侵入（不 開発者・運用者・利用者 要なポートが空いている、脆弱性のあるソフトを インター ネット データ システムへの影響 利用している、など） Apps 攻撃者／組織 ・リモートアクセスのセキュリティーが脆弱である 場合、ユーザーになりすまして侵入 ネットワーク経由の攻撃（オンサイト） Apps On-Premise XaaS ・悪意を持ったユーザーが内部ネットワーク に接続し侵入（無線LAN、有線LAN） 生産／販売／サービス ・外部から持ち込んだUSBを経由してウイル 構内ネットワーク 生産／ユーザー スを侵入させる への影響 最も多いのは、フィッシングや不正プログラムを添付するメール攻撃。 システムやアプリケーションの脆弱性を突く攻撃、悪意のあるユーザーによる内部不正のリスクもある ことを前提に、マルウエアをいち早く検知し、被害を極小化 認証を強化できる。「本人しか知らないキーワードや本人固 する対策が不可欠です」と話す中河氏。政府の指針やガイド 有の生体情報がなければ認証されないため、万が一、ID／ ラインも有事の際の早急な対応の必要性を重視している。 パスワードが漏えいしても、第三者による不正なログインを 防止できます」と中河氏は話す。工場ネットワークへのアク 　しかし、その実現のハードルは高い。求められる対策は多 セスのほか、悪意を持ったユーザーの内部不正リスクにも 岐にわたる上、監視や管理など運用の手間も考慮しなけれ 有効だ。 ばならない。そのためのコストの捻出が難しい。対応を担う 人もいない。これが企業側の本音だろう。サプライチェーン 　OSやアプリケーションがアップデートされず脆弱性が放置 の中で2次受け、3次受けを担う中小企業はなおさら切実な されていたり、アンチウイルスのシグネチャが更新されてい 問題だが、各社が足並みを揃えなければ、サプライチェーン なかったりする場合は、アプリケーションやネットワークへの セキュリティーは成り立たない。 アクセスを制限する機能もある。ユーザーの認証強化だけで なく、デバイスセキュリティーの健全性に基づいた柔軟な制 　「大切なことは、有事のリスクとコストを考え、費用対効果 御も行えるわけだ。 を軸に対策の優先度を付けることです」と中河氏は主張する。 現実的なアプローチとして、シスコは1．多要素認証による 　ランサムウエアをはじめとするマルウエアは、その多くがメー 本人認証の強化、2．メールセキュリティーによる脅威侵入 ル経由で攻撃を仕掛けてくる。攻撃は巧妙化しており、組織 リスクの低減、そして3．DNSセキュリティーによる不正通 への侵入を100％未然に防ぐことは難しい。攻撃を未然に防 信の検知・防御を提案し、そのためのソリューションを包括 ぐ対策に加え、生産現場の中に既に脅威は入り込んでいると 的に提供している。 いう「侵入前提」の対策をセットで考える必要がある（図2）。 多要素認証とメールセキュリティーで 　次にメール経由の攻撃に有効な手立てとなるのが、クラ 入口対策 ウド型メール専用セキュリティー「Cisco Secure Email Threat Defense」だ。「高度なファイル／Webレピュテー 　まず、多要素認証を実現するソリューションが、クラウドベー ション、サンドボックス解析などの機能により、既知の脅威 スのセキュリティーサービス「Cisco Secure Access はもちろん、未知の脅威やゼロデイ攻撃にも対応し、送受信 by Duo（Duoセキュリティ）」である。ID／パスワードに加 メールに潜む脅威を高精度に検知・駆除します」と中河氏は え、本人だけが知る秘密の質問への回答やデバイスのハー 説明する。 ドウエアトークン、指紋などの生体認証を組み合わせることで、 2

図2　マルウエアの感染拡大活動 不正通信検出 ※Command&Control C&Cなどの不正通信の C&C 可視化と防御 web web なりすまし メール拡散 ・コールバック通信 mail ・クレデンシャルや mail メーラー情報 Eメールセキュリティー などの流出 ・活動司令 ・追加のモジュールや Eメールセキュリティーの強化 別のマルウエア ユーザー周知やマクロ無効化を 含む防御対策 マクロ実行や リンク先アクセス メール送信を含む 不正活動 感染・影響範囲の 特定と封じ込め 水平拡散 （ラテラルムーブメント） 水平拡散 （ラテラルムーブメント） メール添付のマクロを実行させたり、リンク先をクリックさせたりしてマルウエアに感染する。感染後は潜伏してシステムや情報資産を調査。 C＆Cサーバーと通信して活動をエスカレートさせ、情報搾取や暗号化などの本格的な攻撃を展開し、外部へも拡散していく 　Secure Email Threat DefenseはMicrosoft 365 できないIoTデバイスなどがある。「Umbrellaを活用するこ とAPIで連携する。メールの配送先を決定するMXレコード とで、セキュリティー的に無防備なデバイスも保護できます」 の変更は不要だ。「API連携後は、メールボックスに保存さ と中河氏は語る。このセキュリティー性能は第三者評価機関 れている送受信メールがすべて検索対象になります。過去の でも高く評価されている。 ものも含めてメールに潜む脅威を包括的に検知・駆除できる のです」と中河氏はメリットを述べる。 　メールや外部通信の高精度な脅威検知力は、シスコが誇 る脅威インテリジェンスによるものだ。400人以上のセキュ 不正外部通信を遮断し、 リティー専門家が所属する世界最大規模のセキュリティー解 被害の拡散を防ぐ 析組織「Cisco Talos」が、グローバルの脅威情報を24時 間365日収集・解析し、その結果を脅威インテリジェンスと 　最後に侵入前提の対策だが、これについては、不審な挙 してシスコ製品・サービスに直ちにフィードバックする。「こ 動や外部との不正通信を早期に検知する必要がある。その れにより、未知の脅威やゼロデイ攻撃、巧妙な不正通信も 対策に有効なのが、クラウドベースのセキュアDNSサービス 逃さず検知できるのです」と中河氏は語る。 「Cisco Umbrella」である。クラウド上のUmbrellaが DNSサーバーの役割を担い、ドメイン名とIPアドレスとの対 　サプライチェーン攻撃は多くの取引先がつながる製造業に 応付けを行う。「どれが安全なサイトで、どれが不審なサイトか。 とって大きな脅威である。対策が手薄な会社があると、そこ その判断は常に最新の脅威情報に基づいて行われます」（中 が狙われる。サプライチェーン全体でセキュリティーの足並 河氏）。 みを揃えることが重要である。 　マルウエアはターゲットに侵入後、外部のC＆Cサーバー 　今回紹介したソリューションはいずれも30日間無償でトラ へ誘導し、攻撃をエスカレーションしていく。Umbrellaは イアル可能だ。「既存環境にほとんど手を入れることなく、す DNSセキュリティーにより、不正な外部通信を検知・ブロッ ぐに導入できます。まずは実際に使ってみていただきたい」と クし、本格的な攻撃の発生を防ぐ。生産現場にはサポート 話す中河氏。それがサプライチェーンセキュリティー改革の 切れのOSを使っている制御端末や、アンチウイルスを導入 出発点になる。 ◉お問い合わせ シスコシステムズ合同会社 URL：https://engage2demand.cisco.com/LP=617　TEL：0120-092-255 日経BPの許可により、2023年2月15日～ 2023年5月9日掲載の日経クロステック Active Specialを再構成したものです。©日経BP 3