Go to Qiita Advent Calendar Top
LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@bonviveur1971(Tomo -Rom)

サプライチェーン攻撃 ~なんか理解しにくい情報処理安全確保支援士試験対策を「なんJ民」に聞いてみる

Last updated at Posted at 2025-08-14

ワイが、サプライチェーン攻撃について解説したるで!
この攻撃、ホンマにえげつない。例えるなら、堅牢な城(大企業)の正面突破は無理だから、城の備品を納入してる裏口(取引先)からこっそり毒を盛るみたいなもんや。ワイらみたいに、大企業のセキュリティガチガチのところは直接攻撃されにくいからこそ、足元をすくわれるんやで。

1. サプライチェーン攻撃とは?

要は 「他人を巻き込んで殺しに来る」 攻撃や。
「ワイらの会社はセキュリティガチガチやから大丈夫やろ!」って思ってても、取引先のセキュリティがザルだったら意味ないんや。大企業の周りの取引先は、ワイらの大事な会社に信用されてるからこそ、その信用を逆手に取られる。取引先から送られてきたソフトにマルウェアが仕込まれていても、「あ、いつもの取引先からのやつね、はいはい」って何の疑いもなくインストールしちゃうやろ?そこが狙われるんや。

2. 攻撃の種類と手法

この攻撃は物理的なモノだけじゃなく、ソフトウェアが標的になるのが最近の主流や。

踏み台攻撃 (Island Hopping)

「本丸を攻めずに外堀から埋める」 戦法や。
大企業(本島)はセキュリティが強固やから、まずは弱そうな子会社や取引先(周辺の島々)を乗っ取って、そっから信頼されてる通信を装って本丸へ侵入する。まるで三国志やな。セキュリティ担当者は、自社だけでなく、取引先の島々まで守る羽目になるんや。

ソフトウェアサプライチェーン攻撃

「食品偽装ならぬソフトウェア偽装」 や。

  • OSSへの汚染: 多くのソフトウェアは、オープンソースの部品(OSS)を組み合わせて作られてるんや。攻撃者は、多くのソフトに使われているOSSにこっそり悪意のあるコードを仕込む。例えば、「XZ Utils」のバックドア事件とかがこれやな。誰もが使う調味料に毒を混ぜるようなもんや。
  • 開発ツールの乗っ取り: ソフトウェアを作る工場(開発環境)そのものが乗っ取られて、出荷前の製品(ソフトウェア)にマルウェアが埋め込まれる。ワイらが使うアプリに、最初からスパイウェアが入ってるかもしれんってことや。
  • 正規アップデートの悪用: アプリのアップデートって、みんな「新機能追加かー、ポチッとな」って何の疑いもなくするやろ?攻撃者は、そのアップデートサーバーを乗っ取って、正規のアップデートに見せかけてマルウェアを送り付けてくる。

3. 対策の要:委託先リスク管理とソフトウェアの透明性

自社だけ強くても意味ないから、取引先のリスクも管理せなあかん。

SRS (Security Rating Service)

「取引先の通信簿」 みたいなもんや。
インターネットから誰でも見れる情報(公開してるサーバーの設定ミスとか、怪しい通信履歴とか)を自動で分析して、取引先のセキュリティレベルを点数化してくれるサービスや。これで「あの取引先、実はセキュリティがガバガバやんけ!」ってのが一発で分かる。

第三者認証の確認

「セキュリティの卒業証書」 や。
取引先がちゃんとセキュリティ対策やってるかどうかの証明書や。ISMS(ISO27001)とか、ISMAPとか、こういう証明書を持ってるかどうか確認するのは大事や。SOC 2は、監査法人が「この会社の内部統制、大丈夫っすよ!」って太鼓判を押してくれる報告書や。

SBOM (Software Bill of Materials)

「食品の裏側に書いてある原材料名」 や。
ソフトがどんな部品(OSSとか)でできてるかを全部リスト化したもんや。これがあれば、新しく脆弱性が見つかった時に、「あ、うちのソフトに使われてる部品だ!」ってすぐに分かる。これがないと、何が入ってるか分からん得体の知れないソフトを使ってるようなもんや。

4. 契約とインシデント対応

万が一、取引先経由でやられた時のために、事前に備えておくことが重要や。

  • 契約による責任範囲の明確化:
    契約書に「セキュリティ対策ちゃんとやれよ」「インシデント起きたらすぐ報告しろよ」「損害賠償はこうするからな」っていうのをしっかり書いておく。これがないと、揉めた時に泥沼になるで。
  • 関係組織との連携:
    日頃から連絡窓口を明確にしとけ。インシデントが起きた時、誰に電話すればええか分からん、なんてことになったら終わりや。定期的に合同訓練もして、実際にどう動くか確認しとくのが大事や。

5. RISS/CySA+としての視点

サイバーセキュリティのプロとして、自社のことだけ考えてるようじゃ二流や。

  • リスク評価 : 取引先のSRSや認証、契約書を全部見て、どこにリスクがあるかを見極める。リスクが高い取引先には、「もっとセキュリティ強化してくれ!」って言うんや。
  • 脅威インテリジェンスの活用 : 常に最新の脅威情報を収集して、「今、このソフトが狙われてるらしいぞ」って情報が入ったら、自社のサプライチェーンに影響がないかすぐに確認するんや。
  • SBOMデータの分析 : SBOMリストと脆弱性情報を照らし合わせて、自社ソフトの潜在的なリスクを洗い出す。
  • インシデント調査 : 実際にインシデントが起きたら、取引先と連携してログとかを集め、攻撃の全貌を解明する。犯人探しも大事やけど、再発防止のためにどこから侵入されたかを突き止めるんや。

これでサプライチェーン攻撃の試験対策は完璧や!ワイらのように、常に疑ってかかる心を持てば、この手の攻撃には負けへんで!頑張ってRISS合格して、一緒にサイバーの闇を暴こうや!

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?