OSINT でサプライチェーンを守る 5 つのポイント ~ 日本ハッカー協会 杉浦氏 講演 | ScanNetSecurity
2024.04.29(月)

OSINT でサプライチェーンを守る 5 つのポイント ~ 日本ハッカー協会 杉浦氏 講演

 では、具体的に何を OSINT で発見すればいいのか。杉浦氏は次の 5 項目を挙げた。どれも攻撃者視点で考えられていることに注目してほしい。攻撃者は何を考えているのか。どこを狙ってくるのか。そのうえで攻撃に必要な情報はなにか。彼らはその情報を調べるはずだ。

研修・セミナー・カンファレンス セミナー・イベント
facebookLINE
一般社団法人日本ハッカー協会 代表理事 杉浦 隆幸 氏
一般社団法人日本ハッカー協会 代表理事 杉浦 隆幸 氏 全 4 枚 拡大写真

※ 関連情報:明日 10 月 17 日 (火) から開催される Security Days Fall 2023 の東京会場(KITTE)において、杉浦氏の最新講演「次に侵入される企業はここ、OSINT で暴かれる脆弱な企業」が行われます

--

 サプライチェーン攻撃が深刻な問題となっている。IPA が毎年刊行する「セキュリティ10 大脅威(企業向け)」では、2021 年では 4 位だったサプライチェーン攻撃が 2022 年は 3 位、2023 年には 1 位と確実に順位を上げている。弱い鎖(ウィークエスト・リンク)を攻撃することで、業務全体に影響を及ぼし、上流への侵入の足がかりとすることができるからだ。

■サプライチェーン攻撃の脅威


 「建設」「システム開発」「自動車」に代表される製造業は、多重下請けによって成り立っている。小売やサービス業も仲買と卸という中間業社を前提とした取引エコシステムになっている。そのこと自体は合理的な理由があり何ら問題ない。しかし、犯罪者やハッカーにとって、複雑な、あるいはパスの長いチェーンは、攻撃ポイントおよび成功の機会を増やしてくれるありがたい面がある。

 2021 年のコロニアルパイプラインのインシデントは、あらためてサプライチェーン攻撃の脅威を再認識させた。だが、コロニアルパイプラインへの攻撃そのものは、国家支援型の破壊工作ではないとされる。金銭目的の犯罪者が行ったあまたのランサムウェア攻撃のひとつでしかない。言ってみれば、ばら撒いたランサムウェアのひとつが、大当たりを引いただけだ(なお、犯人グループは最終的に検挙され身代金も大部分が回収されたので、むしろ大ハズレだったかもしれない)。

 実際には深刻なガソリン不足は起きていないが、群衆心理が社会に与えたインパクトは大きかった。ランサムウェア感染でパイプラインが止まり、ガソリン供給に影響がでると市民や輸送業界がパニックになったからだ。ひょっとしたら原油価格やエネルギー政策といったマクロ経済まで影響を受けた可能性もある。

■予防が難しいサプライチェーン攻撃


 この事件によって、本来のサイバー空間におけるサプライチェーン攻撃でなくても、サイバー攻撃をトリガーとした連鎖がリアル空間にも大きな影響を与えることが露呈した。似たような例では、日本でも自動車の部品工場でも起きている。車両の樹脂部品を作る会社がサイバー攻撃で発注・在庫管理のシステムが 1 日停止した。その影響は親会社を含む複数の自動車メーカーのラインにまで及んだ。

 被害を受けた部品工場の製造ラインは無傷だったが、業務システムやデータベースが動かないので製品を出荷できなかった。ジャストインタイムで緻密に制御されたサプライチェーンでは、ネジ 1 本の欠品がチェーン全体を止める力を持っている。

 サプライチェーン攻撃は、本命ターゲットを直接狙わないため予想や検知がより困難だ。だが、ダークウェブやアンダーグラウンドをクローリングすれば、場合によって予兆をつかむことは不可能ではない。AI などを利用して効率よく収集検知する手法もある。

 だが、このような脅威インテリジェンスサービスの購入と利活用には、年間あたりドイツやイタリアのスーパーカー 1 台程度の費用と、腕利きの分析担当者を必要とする。セキュリティベンダーにマネージドサービスを依頼すれば、さらに費用は上昇する。このようにリソースやコストの面でハードルが高い。

 そう。そろそろあの男の出番である。

■OSINT でサプライチェーン攻撃に対応する


 ユーザー企業側にもできることはあるのだ。それは、OSINT(Open Source Intelligence)を使ってインシデントを予防するアプローチだ。昨秋開催された「Securty Days Tokyo 2022 Fall」で、日本ハッカー協会 代表理事 杉浦 隆幸 氏がサプライチェーンへの OSINT 調査について講演を行った。

 杉浦氏は、優秀な(という言葉が白々しさやおこがましさを感じるほどの)OSINT ハッカーでもあり、2022 年にはセキュリティ競技イベントの世界最高峰である DEF CON の OSINT 系 CTF で第 2 位の成績を収めている。余談だが、本人は日本からのリモート参加だったので、表彰式は現地の知り合いに頼んで出席してもらったそうだ。

 杉浦氏は「OSINT として可能な行為は通常アクセスと偵察行為までである」と、まず注意を促した。「公開サイトへのアクセス」「whois のようなパブリックサービスの利用」「パッシブスキャン」「証明書の検索」「DNS の調査」「ソーシャルメディアの公開情報調査」「ポートスキャン」「脆弱性スキャン」程度が、一応はセーフとなるラインだ。

 脆弱性を利用した相手への攻撃、不正ログインなどは違法行為となるため OSINT とはいえない。相手が犯罪者だからといって、行き過ぎた行為は何も生産しない。杉浦氏は「サプライチェーン攻撃対策で OSINT を活用するのは、サイバー攻撃を未然に防ぐためだ」と釘を刺す。

■サプライチェーンを守るためのポイント


 では、具体的に何を OSINT で発見すればいいのか。杉浦氏は次の 5 項目を挙げた。

《中尾 真二( Shinji Nakao )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  2. 子どものスマホ利用に対する保護者の取組み、「フィルタリング」が43.6%で最多に

    子どものスマホ利用に対する保護者の取組み、「フィルタリング」が43.6%で最多に

  3. 堀北真希と山本耕史の個人情報を女性社員がTwitterで流出(パキラハウス、センチュリー21)

    堀北真希と山本耕史の個人情報を女性社員がTwitterで流出(パキラハウス、センチュリー21)

  4. 日清製粉グループ会社に不正アクセス、顧客や取引先、社員等 個人情報流出

    日清製粉グループ会社に不正アクセス、顧客や取引先、社員等 個人情報流出

  5. 漫画内容を無断配信していたネットカフェ経営者らが摘発された事件について概要を発表(ACCS)

    漫画内容を無断配信していたネットカフェ経営者らが摘発された事件について概要を発表(ACCS)

ランキングをもっと見る
PageTop
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事
TOP