企業のセキュリティ対策は、その企業だけでなく、供給業者や請負業者といった取引先のセキュリティ対策も大きく影響します。そのため、取引先のセキュリティ対策が万全でない場合、それが企業のセキュリティ上の弱点となることがあります。本稿では、「企業」、その取引相手を「取引先」と呼びます。
より大規模な企業を攻撃するために、その取引先が利用された事例は過去にもありました。例えば、米国大手小売業「Target」の情報漏えい事例は、冷暖房空調設備を納品していた請負業者への攻撃から始まりました。2011年に確認された軍事企業「Lockheed Martin」への攻撃も、RSA社の「SecurID」のトークンから漏えいした情報がその原因の一部でした。また、「HAVEX」は産業制御システムへの攻撃と関連していました。
こうして報告された事例は氷山の一角にすぎません。取引先の多くはセキュリティに注力できるだけの十分な人員や資金を持たず、標的型攻撃を受けているかどうかを判断する手段さえないこともあります。
■取引先を攻撃するためのさまざまな手法
こうした取引先を標的にする攻撃者は、「戦略、技術、手法(Tactics, Techniques and Procedures、TTP)」の一部として、以下のような、ありとあらゆる攻撃手法を利用します。
- ソースコードの改変
- 攻撃者が取引先の製品のソースコードにアクセスし、変更が可能になれば、そのソースコードにバックドア型不正プログラムを簡単に組み込むことができるようになります。そして、持続的なバックドア活動を通じて、その取引先と取引するすべての企業に簡単にアクセスできるようになります。この攻撃は、ソースコードを持つサーバや研究開発で利用される PC を侵害するか、もしくは使用中のソース管理サービスの認証情報を窃取することによって実行可能です。不正プログラム「HAVEX」ファミリ(別名:Dragonfly、Energetic Bear)は、産業のトロイの木馬化したソフトウェアのバージョンを利用したことで知られています。
- こうした攻撃は非常に効果的ですが、複数の PC やアカウントを乗っ取らなくてはなりません。しかし、例えば、ソースコード管理システムへの認証は、Eメールなどの認証とは別のものが使用されています。あるいは、社内やクラウドに置かれたサーバ自体が攻撃を受ける可能性があります。ソースコードにアクセスするためには、標的とした企業へのかなり広範囲な攻撃が必要です。
- ファームウェアの改変
- 取引先が納品したシステムのバイナリコードに攻撃者がアクセスし、変更することが可能になれば、攻撃者はコードを変更してバックドア型不正プログラムを追加することができます。そして、既存の自動更新の機能を介して不正活動を開始する可能性があります。システムに更新プログラムが適用されると、相手先の企業は不正なコードを受信します。サイバー攻撃を仕掛けた攻撃集団「Equation」は、ハードドライブの不正なファームウェアを攻撃に利用したと考えられています。
- ファームウェアへの攻撃は、ソースコードと同様に困難です。その上、さらに考慮すべき問題があります。標的とした機器に実際に実装できるファームウェアを作成するためには技術的な情報が必要です。そのためには、企業内で情報を入手するか、もしくは市販のハードウェアを解析するしかありません。
- Webサイトおよび社内ポータルサイトの改ざん
- 攻撃者はまた、取引先が企業との通信で使用する Webサイトや社内ポータルサイトを攻撃する可能性があります。これは企業への「水飲み場攻撃」として利用できます。「HAVEX」もこの手法を用いて、産業制御システムの特定の機器を利用して企業を攻撃しました。
- この攻撃を成功させるためには、攻撃者は、取引先や企業が使用するブラウザの傾向について情報を収集しなければなりません。また、Webサーバを実際に攻撃するためには、Webマスターやサーバ管理者の認証情報も収集する必要があります。そのためには、攻撃者は取引先のネットワークに精通している必要がありますが、ソースコードやファームウェアほど難しくないでしょう。
- 信用関係のある取引先から送信された標的型メール
- 取引先のシステムや認証情報にアクセスできるようになると、攻撃者は、取引先から送られたように見える Eメールを簡単に企業へ送信することができます。この手法により、企業の上層部は容易に犠牲者となる可能性があります。
- 信用関係のある取引先からのネットワークへの直接的なアクセス
- 取引先が企業のネットワークにアクセスする場合、そのアクセスが攻撃される可能性があります。例えば、VPN を介して企業のネットワークにアクセスする取引先を攻撃することによって、VPN へのアクセスに必要な認証情報が窃取される恐れがあります。同様に、窃取した認証情報を介して、保護されたネットワークへもアクセスできるようになります。
このように、攻撃者は企業への侵入と同様に、取引先にも侵入します。弊社では、企業がいかにして標的型攻撃の犠牲となるかについて論じました。不正な添付ファイルや不正な Webサイトに誘導するリンクを含んだ Eメールは、今でも頻繁に利用される感染経路です。こうした Eメールの多くは、標的とした企業と取引のある企業から送信されたように装います。
■セキュリティ対策
ネットワーク管理者は企業内のセキュリティに専念すべきであり、取引先のセキュリティはネットワーク管理者の責任ではないと言う人もいるかもしれません。確かにその通りですが、取引先のセキュリティ問題は、企業のセキュリティに直接的な影響を与えるかもしれません。以下の指針を参考にして下さい。
- 自身の企業のネットワークを保護する
- あなたの企業は標的型攻撃に対して十分に保護されていますか。攻撃を緩和するためのセキュリティ対策製品やセキュリティ対策チームが導入されていますか。セキュリティ対策製品は、ネットワークの入り口やエンドポイントに実装されていますか。取引先とセキュリティ問題について話す前に、あなたの企業でセキュリティ対策が確実に実施されていることを確認して下さい。
- セキュリティ方針を統一する
- 取引先と企業は、可能な限り同一のセキュリティ方針を採用すると良いでしょう。異なる方針は、セキュリティ上の弱点を作り出し、もう一方の企業で攻撃者が縦横無尽に動き回るために利用される可能性があります。
- コード、バイナリ、ファームウェアを精査する
- 新しいソフトウェアやハードウェアを企業に導入する前に、適切な精査ができるよう、更新プログラムや修正プログラムの導入手順を検証すべきです。ソースコードの精査は、隠ぺいされたバックドア型不正プログラムやハードコード化された認証情報、また攻撃に利用される可能性のある脆弱性を確認できます。バイナリの精査では、ファイルのハッシュ値を確認し、変更不可能なソフトウェアのバージョンだけがインストールされていることを確認できます。
- 双方のセキュリティチームが協働する
- 取引先と企業のセキュリティ関係者は、共有しているネットワークを保護するために協働すべきでしょう。スレットインテリジェンスの共有や定期的な会議は、潜在する脅威に対して、適切で、できる限り迅速な対応を可能にします。
弊社では、核となる重要な情報の保護に集中し、よく考え抜かれた方法で実行することについて論じました。情報を保護する上で、見落としがちな点は、第3者がどのようにあなたの企業の情報にアクセスするかです。企業がこの点を考慮しなかった場合、情報保護はセキュリティの輪の最も脆弱な部分となってしまいます。完全なセキュリティおよびプライバシー危機評価には、取引先のセキュリティも考慮しなければならないでしょう。
上記の対策に加え、自身のシステムを保護するために以下の対策を取ると良いでしょう。「InterScan Messaging Security」や「仮想アプライアンス」、「Hosted Email Security」といった製品は、Eメールを介して侵入する脅威を検出します。また添付ファイルを検証する「Webレピュテーション」技術と高度なサンドボックスを組み合わせることで、企業のネットワークに侵入を試みるさまざまな脅威を検出します。さらに、弊社のネットワーク挙動監視ソリューションである「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、カスタムディフェンス戦略の一部として企業への攻撃を検知し軽減します。
参考記事:
- 「Securing The IT Supply Chain」
by Ziv Chang (Director, Cyber Safety Solution)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)