サプライチェーン攻撃で GitHub が汚染されたら | ScanNetSecurity
2024.05.20(月)

サプライチェーン攻撃で GitHub が汚染されたら

一口にサプライチェーン攻撃といっても、それが指す攻撃の種類、目的、アタックサーフェスは複数のパターンが考えられる。関連報道を見ているとき、「これはどのレベルのサプライチェーンを指しているのか」と気になることがある。

研修・セミナー・カンファレンス セミナー・イベント
主要ソースコード管理システム
主要ソースコード管理システム 全 4 枚 拡大写真

 一口にサプライチェーン攻撃といっても、それが指す攻撃の種類、目的、アタックサーフェスは複数のパターンが考えられる。関連報道を見ているとき「これはどのレベルのサプライチェーンを指しているのか」と気になることがある。

●製造サプライチェーンへの攻撃

 新聞などで多くみられる「サプライチェーン攻撃」は、製品の製造から流通・販売までのサプライチェーンの中で、特定の企業を狙ってサイバー攻撃を行うこととなるだろう。一般には、子会社や取引先、海外子会社など、防御の弱い拠点や企業を狙って侵入または破壊工作を行う。チェーンの一部から侵入し、本丸の親会社や政府機関に到達する。

 製造業などでは、サプライヤーや関連企業に攻撃を行いシステムや工場の生産ラインを止める。本社や親会社に直接の被害は出ないが、製造チェーンの一部が止まることで製品全体の製造や出荷を止めることができる。近年の在庫が高度に制御された製造業のサプライチェーンでは、ねじひとつが入荷しないだけで、すべてのラインが止まることがある。

 ここでのサプライチェーンはバリューチェーンとも表現できるだろう。APT のような高度に仕組まれた攻撃に利用されることもあるが、バラマキ型に近いランサムウェアがたまたま防御の弱いサプライヤーや取引先に着弾し、結果としてサプライチェーン全体に大きな被害を及ぼしたという場合もある。

●ソフトウェア開発ライフサイクルへの攻撃

 ソフトウェアに着目すると、サプライチェーン攻撃はさらにいくつかに細分化できる。ひとつは、ソフトウェアのアップデートやダウンロードサイトを汚染することで、マルウェアやマルウェアが混入されたアーカイブファイルなどをダウンロードさせるという攻撃だ。過去に CCleaner の配布サイトが汚染されマルウェアがばらまかれた事件が起きている。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  4. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  5. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  6. Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

    Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

  7. マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  8. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  9. 「Cloudbase」が Oracle Cloud Infrastructure 対応

    「Cloudbase」が Oracle Cloud Infrastructure 対応

  10. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

ランキングをもっと見る