サプライチェーン脅威管理主要戦略

01. 大規模サイバー攻撃の原因、サプライチェーン攻撃

様々なものの融合化・複合化は経済・社会の構造転換を加速し、現在の産業パラダイム全般に影響を及ぼした。サプライチェーンへも影響を与え、サプライチェーンの価値が再編されることで、サプライチェーンの構造が使用者の多様な要求事項を反映できるように製造工程との連結性を強化する方向に変化した。サプライチェーンの構成要素である、供給者(Supplier)が製品やサービスを消費者(Consumer)に伝えるプロセスを構成する組織・人力・資源などと、サプライチェーンのアーキテクチャに対する理解が改めて必要である。

これまで、要求事項の分析を基にハードウェアやソフトウェアを設計(Raw Material)し、製造業者や開発業者が具現した産出物を消費者(Customer, Consumer)に配布(Disttribution)するのが一般的なサプライチェーンの管理プロセスだった。しかし、最近はそのプロセスにICT技術と融合されサプライチェーンの自動化(Automation)、オーケストレーション(Orchestration)、制御(Control)、管理(Management)を介してビジネスの柔軟性を確保し、生産性を向上させるなど全般的な価値を極大化している。

しかしながら、このような融合化・複合化は社会発展といった肯定的な効果と共に、人工知能、ビックデータ、クラウド、IoT、IIoTなどその範囲は拡大しているが、その反面、サイバー攻撃の攻撃対象の増加に繋がり、新たな脅威要素として作用される。

【▲ サプライチェーン管理プロセス】

攻撃対象の拡大は、サプライチェーンを構成するハードウェアやソフトウェアの改ざん行為であるサプライチェーン攻撃(Supply Chain Attack)の増加につながっている。1次サプライチェーン(Primary Production)から最終消費者(Program Office)まで、サプライチェーンを構成するハードウェア、ソフトウェア、ファームウェア、データは悪意的な攻撃(Malicious Insertion)の対象になり、正常ファイルやプロセスが変更され、機密性と整合性は棄損し、最終的に製品やサービスの可用性にも影響を及ぼす。

サプライチェーン攻撃は、サプライチェーンを構成するプロセス全般から発生し、初期プロセスで攻撃を受けると、次の段階のハードウェアやソフトウェアにも連鎖的に影響を及ぼすためとても脅威的である。例えば、整合性が確保されていない偽造部品やモジュール、ライブラリなどが製品の初期段階から含まれると、その部品やモジュールが使用する2次産出物にも悪影響を及ぼす。これは単純に特定の製品やサービスをターゲットにする攻撃ともみえるが、究極的にはスマートシティ、自動運転、スマートファクトリーのようなICT産業全般に潜在的な攻撃対象になれることを意味する。

【▲ サプライチェーン攻撃フレームワーク、左：攻撃対象及び攻撃タイプの観点、右：Work Flow観点 (参考：MITRE : Supply Chain Attack Framework and Attack Patterns内のPoint of Attack一部再構成)】

MITREから発表した「サプライチェーン攻撃のフレームワーク及び攻撃パターン(Supply Chain Attack Framework and Attack Patterns)」によると、サプライチェーン攻撃の発生地点は、大きく物理的側面(Physical Flow)と情報及びデータ的な側面(Information and Data Flow)に分かれる。物理的な側面には製品製造工程やパッケージングの過程から意図しない部品や機能が含まれる可能性あり、情報及びデータの側面からはサプライチェーンを構成しているCI/CDインフラの脆弱性、分散運用環境、アクセス制御の不備などでデータの漏洩や主要システム破壊などの攻撃が発生しうる。このように発生しうるサプライチェーン攻撃の範囲が広いため、実際の攻撃事例の分析で攻撃のタイプごとの脅威要素及び対応方法を調べ、サプライチェーン環境からの効果的な脅威管理戦略を探してみる必要がある。

02. サプライチェーン事故事例分析を介した攻撃タイプ分析

2017年から最近5年の間発生したサプライチェーンの攻撃事例は大きくハードウェア基盤とソフトウェア基盤で分類できる。

まず、ハードウェア基盤のサプライチェーン攻撃の場合、ICチップ、PCB、ファームウェアなどを対象にした▲ハードウェアトロイ攻撃(HT, Hardware Trojan)、▲サイドチャンネル攻撃(SCA, Side Channel Attack)、▲FPGA攻撃(Field-Programmable Gate Array)などを起こしてハードウェアデバイスの論理的な欠陥を誘発し、最終的には情報漏洩やシステム破壊を持ってくる。特にプログラミングができる半導体、FPGAはハードウェアとソフトウェアのメリットが結合しているため、航空機器、自動車、医療機器、通信機器など多様な分野で活用されているが、サプライチェーン攻撃に悪用される場合も多い。プログラミングが可能になっているため、FPGA製造プロセスの過程に設計者が意図しない機能を含めたり、ハードウェアトロイの攻撃と結合し特定の条件をトリガーとしてその機能が起動して攻撃者が設定した悪意的な作業を実行させたりする。

2019年に発生されたThrangrycatとStarbleedは、FPGA上の論理的な欠陥による脆弱性である。まずCVE-2019-1649で命名されたThrangrycat脆弱性はFPGAのファームウェアファイルのBitstreamからセキュリティ機能を担うTrust Anchor Moduleの論理的な欠陥を利用して権限上昇を誘発する。StarbleedもXilinxとAltera製品から発見されてその影響は大きかった。

年	発生事故	攻撃方法	攻撃対処
2017	セキュリティ企業(Avast)サーバ攻撃	セキュリティ企業AvastのCCleanerのダウンロードサーバハッキング及びマルウェア配布による230万ユーザーへの攻撃影響	SW
	会計管理ソフトウェアMEDocサーバ攻撃	会計管理ソフトウェアMEDocのアップデートサーバハッキング及びPetyaランサムウェア配布による約1兆円損失	SW
	ネットサランサーバ管理ソフトウェア改ざん	ネットサランコンピューターのビルドサーバに侵入し改ざんした配布パッケージをネットサランユーザーに配布	SW
2018	Supermicro社、スパイチップ	サーバ製造業者Supermicro社のマザーボードに中国政府機関のスパイチップ搭載	HW
2019	ASUSアップデートサーバ攻撃	台湾コンピューター製造社ASUSのSWドライバー、ファームウェアアップデートに活用されるLibe Updateを利用して1百万名にマルウェア配布	SW
2020	SolarWindsサプライチェーン攻撃	ハッキンググループUNC2452からSUNBURSTマルウェアを利用してSolarWindsソフトウェアアップデートを利用して配布アメリカ国土安保省、MS、インテルなど政府機関及び企業などを攻撃して情報漏洩発生	SW
2021	MS ExchangeサーバZero Day脆弱性	MS Exchangeサーバの脆弱性(VE-2021-26855, CVE-2021-26857, CVE-2021-26858及びCVE-2021-27065)で3万個以上の機関被害発生	SW
	Codecovマルウェア配布	ソフトウェアをテストするためのテストコード提供プラットフォームのCI/CDパイプラインを操作してバックドアマルウェア配布	SW
	コロニアル·パイプラインランサムウェア感染	ハッキンググループDarkSideによるランサムウェア感染でアメリカ東南部地域のガソリン供給一時中止 500万ドルの身代金を支払い、バイデン政権では「サイバーセキュリティ強化命令」を発表	SW
	Kaseyaランサムウェア配布	Kaseya VSAソフトウェアZero Day脆弱性(CVE-2021-30116)でハッキンググループREvilによるランサムウェア配布	SW

【▲ 最近５年間発生したサプライチェーン攻撃の現況(2017-2021)】

ハードウェア基盤の攻撃をあげていたが、ソフトウェア基盤のサプライチェーン攻撃がハードウェア基盤攻撃と比べて技術的に著しく簡単でその影響が低いわけではない。２０２０年多数の政府機関と民間企業に破壊的な影響を及ぼしたMicrosoftのExchageサーバの脆弱性とColonial Pipelineのランサムウェア感染、SolarWindsのサプライチェーン攻撃事態は3rd Party Softwareによる攻撃の影響を認識できる代表的な事例である。3rd Party Softwareをターゲットにしたサプライチェーン攻撃は▲改ざんパッチファイルの配布、▲CI/CDツール脆弱性攻撃、▲アクセス制御バイパスなどの攻撃でソフトウェアユーザー多数をターゲットで確保できるため、攻撃拠点及び攻撃経路として活用されている。

区分		攻撃タイプ	攻撃内容
HW側面	HW構成要素 (ICチップ、PCB、ファームウェア)	ハードウェアトロイ攻撃(HT)	サプライチェーンの工程過程でマイクロチップなどが含まれている回路(Circuit Block)を利用した攻撃方法
		サイドチャンネル攻撃(SCA)	暗号モジュールが含まれている電子機器から暗号アルゴリズムが遂行される時点で重要情報を獲得する攻撃方法
		FPGA攻撃	回路制作後、回路修正ができるFPGAの特性を利用してハードウェア設計者が意図しない機能を挿入後、特定条件を満たしたとき動作する攻撃方法
SW側面	アップデートサーバ	改ざんパッチファイル配布	アップデートサーバのファイル及びコマンド配布機能を利用して改ざんされたパッチファイル(コード、実行ファイル、アップデートファイル、モジュールなど)を配布する攻撃方法
	インフラ構成要素	CI/CD構成ツール脆弱性攻撃	Atlassian案件管理ツールJIRAのリモートコード実行及び管理者ポータルアクセス脆弱性などを利用した開発及び運用ネットワーク攻撃。 Atlassainの主な攻撃脆弱性：CVE-2019-3396, CVE-2019-11581, CVE-2019-14994, CVE-2021-26084
	アクセス制御バイパス (認証/認可)	認証書奪取	奪取したコード署名認証書で悪性プログラムの認証を通じて整合性検証バイパス及び追加攻撃に活用
		管理者ページ漏出	開発ネットワーク、運用ネットワークなどから管理機能を提供すページの脆弱性及びアカウント漏洩
		リモートアクセスプロトコルアクセスアカウント奪取	Telnet, SSH, FTP, RDP, VPNなど外部ネットワークから内部ネットワークのアクセスができるリモートプロトコル及びサービス(プログラム)のアクセスアカウント悪用
人的側面	社会工学 (Social Engineering)	Spear Phishing, Watering Hole	開発者及び管理者、DBAなど内部重要システムにアクセスできるユーザーにメール、ホームページなどの媒体を利用してマルウェア流布攻撃対象に近づいた後、Lateral Movement, Privilege Escalationなどを利用して主要システムのアクセス及びマルウェア配布

【▲ サプライチェーン攻撃のタイプ分類】

ソフトウェア基盤のサプライチェーン攻撃方法を詳細に分析するためにMITREの「ATT&CK Matrix for Enterprise」を基にマッピングしてみると攻撃プロセスは大きく4段階で分類できる。

1段階目は攻撃対象の選定及び経路確保段階で、3rd Party Software開発者、システム管理者を対象にしたスピアフィッシング、ウォーターリングホールなどの社会工学的な攻撃方法を利用して侵入点を確保したり中央管理系ソフトウェア、VPN、FWなどの管理者ページ漏出、アクセス制御不備などで内部ネットワークもしくは開発ネットワークに直接的・間接的にアクセス経路を確保する。

次の段階では収集された情報を基に、アップデートサーバ、配布サーバ、構成管理サーバなどにアクセスしてマルウェアインストール及びバックドアなどの方法で攻撃を行う。

その後、権限上昇、資格証明奪取などで管理者権限を確保し、検知ソリューションの無力化及び追加攻撃対処に改ざんされたソースコード、実行ファイル、アップデートファイル、モジュールなどのパッチファイルを配布してシステムの破壊、内部システムにマルウェア感染などを起こす。そして最後の段階では内部システムに配布されたマルウェアを利用してC&Cサーバに内部データの漏洩、システム整合性及び可用性の損傷を最後に攻撃を終了する。

【▲ ソフトウェア基盤のサプライチェーン攻撃構成図】

ソフトウェア基盤のサプライチェーン攻撃の中で主に使用される方法は改ざんパッチファイルを利用した攻撃である。コマンドや（パぅt値ファイル？）の一括適用のためのシステムである中央管理型ソフトウェアのアップデートサーバをターゲットに発生する攻撃の事例で詳しくみる。
一般的にネットワークが分離されている環境では内部ネットワークと外部ネットワークに個別のアップデートサーバを置いてパッチ管理を実施する。以下の図の場合攻撃者がウェブハッキングで経由地を感染した後、外部ネットワークのアップデートサーバにアクセスして改ざんしたパッチファイルをアップロード、連鎖的に内部アップデートサーバまで届いてファイルがアップロードされて直接的・間接的に内部ネットワークサーバに攻撃をしなくても内部ネットワークに存在するユーザーPCにマルウェアを流布した。

【▲ アップデートサーバを利用した改ざんパッチファイルの配布サプライチェーン攻撃構成図】

最近には案件管理、構成管理、配布管理のためのCI/CDインフラを攻撃する事例が徐々に増加している。下の図は案件管理を目的に使用している商用ソリューションAtlassianのリモートコード実行及び管理者ページへのアクセスなどの脆弱性を悪用した事例を基にして作成された構成図である。攻撃者は案件管理ソリューションの脆弱性を踏み台にしてウェブシェルをアップロードし、直接アクセスができなかった開発サーバにアクセスしてマルウェアをインストールし、システム権限を奪取及びバックドアを利用して情報漏洩を成功させた。

【▲ 案件管理ソリューションの脆弱性を利用したサプライチェーン攻撃構成図】

このようにソフトウェア基盤のサプライチェーン攻撃はソフトウェアを構成するソースコード上の欠陥以外にも統合開発環境(IDE)、オープンソース基盤開発ツール、インフラ環境(SVN, GIT)などソフトウェア産出物を作るための開発環境に影響を受けざるを得ないため、運用環境セキュリティレベルに準じる開発環境のセキュリティ強化が要求されて周期的なモニタリングの体系の樹立も必要である。またユーザー入力値検証の不備、セキュリティ機能無力化、機能設定上のミス(Misconfiguration)などセキュリティソフトウェアライフサイクル(Secure Software Development Life Cycle)を考慮した多角度のサプライチェーンセキュリティ戦略を準備する必要がある。

03. 体系的なサプライチェーンセキュリティ強化方法

2021年バイデン政権はマイクロソフトExchangeサーバの脆弱性とSolarWindsの問題でアメリカ連邦政府のセキュリティ強化対策として▲サイバー脅威情報共有、▲アメリカ連邦政府のサイバーセキュリティの最新化、▲ソフトウェアサプライチェーンのセキュリティ強化、▲ソフトウェア部品表(SBOM, Software Bill of Materials)明示、▲サイバーセキュリティ脆弱性及びインシデント対応のためのプレイブック標準化などの内容を持っている大統領令(Executive Order on Improving the Nation’s Cybersecurity, 14028)を発表した。そして、その後、CISAとNISTからは後続措置の一環としてサイバーサプライチェーンの脅威管理(C-SCRM, Cyber Supply Chain Risk Management)とフレームワークSSDF(Secure Software Development Framework)を推奨するなどサプライチェーンの生態系のセキュリティ重要性を認識し、これを強化できる活動を継続している。

サプライチェーンのセキュリティ強化のための一番重要なのは部品(ハードウェア及びフレームワークなどを含めたソフトウェア)を提供する生産者(Producer)と消費者(Custoemr, Consumer)の観点ごとの対応戦略を樹立することである。

まず、生産者観点では部品の生産に参加しているハードウェア設計者、3PIP(Third-party Intellectual Property)提供者、FPGA開発者による、悪意的な攻撃コード挿入及びロジックの具現に対応するためのハードウェアセキュリティ検証の制作及び標準化と、プロセスを定立する必要がある。サプライチェーンのセキュリティアーキテクチャを設計する際、NIST SP800-193から提供するプラットフォームデバイスの整合性検証セキュリティメカニズムを活用して信頼性を確保し、FPGAのハードウェアのトロイ攻撃発生可能性を検知するマシンラーニング方法などの技術的な対応も必要である。それだけではなく、逆工学と任意改ざんに備えたソフトウェア開発セキュリティ(Security by Design)のための組織運用及びインフラの構成も重要である。

消費者観点からは納品された部品の改ざん部品有無を判断し対応するために、▲回避(Avoidance)、検知(Detection)、軽減(Mitigation)、▲廃棄及びコミュニケーション(Disposition & Communication)の過程で構成されたロッキードマーティンが提示する「改ざん部品発見プロセス」の活用ができる。文書を利用した正品認証有無判断、サイズや識別番号などの比較を利用した検知、そして改ざん部品の発見に対する対応まで消費者は当該のプロセスに従って改ざん部品による被害の最小化ができる。

区分	説明	対応方法
HW側面	改ざん部品セキュリティ強化	ハードウェアセキュリティ検証政策、標準、プロセス定立正品及び部品を解体せずに元の状態を維持する検査方法を模索マーキング及び徒食の除去及び亀裂や剥離を確認する方法：Solvent Rub Test, X-ray Fluorescence, SAM(Scanning Acoustic Microscopy) 改ざん部品発見時対応方法樹立(改ざん部品分離、再導入被害予防、法的責任手続き進行)
HW側面	FPGAセキュリティ強化	脅威モデリングを利用した脅威要因導出：ハードウェア設計者、3PIP提供者、FPGA開発者、SoC統合者など悪的な機能挿入可能有無分析リモートDPR(Dynamic Partial Reconfiguration)機能制限：使用者権限制限、DPR試しのロギング及びモニタリング FPGAテストカバレッジ強化：GA(Genetic Algorithm), SAT(Boolean satisfiability problem)などを利用した自動化されたテスト遂行
SW側面	サイバーサプライチェーンの脅威管理(C-SCRM)体系樹立	ソフトウェア開発セキュリティ要求事項定義ソフトウェア開発ライフサイクルSDLC、Software Development Life Cycle内でSSDFの主要役割と責任の強化周期的なセキュリティチェックのためにデータ収集及びプロセスでサプライチェーン全般に対するモニタリングシステムを確立
SW側面	NIST SP 800シリーズ	SP 800-53 R5 : ▲プライバシー制御方法(Privacy Framework)、▲サプライチェーン制御、▲サイバー防御力強化(Cybersecurity Framework)、▲安全なシステム設計指針(Security by Design)を通じたサプライチェーン環境のサイバーレジリエンス提示 SP 800-161 R2 : サプライチェーン危険管理(SCRM、Supply Chain Risk Management)の強化のため▲サプライチェーンのサプライチェーンサイバー概念定義、▲サイバーサプライチェーン危険管理(C-SCRM)定義、▲C-SCRM管理指針など提示 SP 800-171 R2 : 要求事項及び評価のためのSSP(System Security Plan)でサプライチェーン内のサイバーセキュリティ強化充足必要 SP 800-193 : FPGA、CPLD(Complex Programmable Logic Device)などの機器エラー検知方法などファームウェアプラットフォームのレジリエンス方法提示
人的側面	サプライチェーンのセキュリティ認識の向上	サプライチェーンの攻撃対象になれるハードウェア及びソフトウェア製品及びサービスの供給業者のサプライチェーンセキュリティ教育遂行ハードウェア及びソフトウェアのセキュリティ強化のための専門機関の運営

【▲ 観点別のサプライチェーン攻撃対応策】

04. 最後に

サプライチェーン攻撃はターゲットとなるサプライチェーンの特性上、連鎖性と拡張性が高く、恐ろしい波及力を持つ。また、現在大体の産業が全世界にわたって細かいグローバルサプライチェーンを持っているおり、こうしたグローバルサプライチェーンを持っているほど時的な油断と小さな隙間から触発された攻撃が、国家間の紛争につながる可能性もあり、産業生態系全般に莫大な影響を及ぼす可能性がある。
従って、単独対応よりは素材及び部品企業を含む民間と国家の協力を基盤でサプライチェーンのセキュリティ強化制作及び投資が必要であり、セキュリティ脅威の誘発要因に対するリスク管理など先制的なサプライチェーンのセキュリティ戦略の準備が必要である。サプライチェーンのセキュリティ強化の必要性を認識し、専門人力成のための現実的な対案でより安全なサプライチェーンを形成し、隙間ないICTインフラ生態系への発展を期待する。

Written by CYBERFORTRESS, INC.