[Sponsored]
[IT Leaders Tech Strategy 前提のゼロトラスト、不断のサイバーハイジーン]
最新「ソフトウェアサプライチェーン攻撃」の手口とその防ぎ方とは?
2024年9月24日(火)
2024年8月29日に都内で開催された「IT Leaders Tech Strategy 前提のゼロトラスト、不断のサイバーハイジーン」(主催:インプレス IT Leaders)に、チェク・ジャパン シニア ストラテジック アカウント エグゼクティブの廣瀬健一氏と、弁護士ドットコム 技術戦略室 セキュリティチームの太田良典氏が登壇。「外部のJavaScriptを信頼しきっていませんか? 〜ソフトウェアサプライチェーンの脅威と事故事例のご紹介〜」と題し、深刻な脅威となっているサプライチェーン攻撃の手口とその対策をディスカッション形式で解説した。
提供:チェク・ジャパン株式会社
ユーザーや自社だけでは対応が困難、大きな脅威となるサプライチェーン攻撃
近年のサイバーセキュリティ脅威は、自社がセキュリティ対策を徹底しても完全には防ぐことができない。サプライチェーンを構成する他社のシステムの脆弱性を狙う攻撃や、ソフトウェアが利用する外部の機能や仕組みを狙う攻撃が顕著だ。
こうしたサプライチェーン攻撃に対して有効なソリューションを展開するのがイスラエルのセキュリティ企業チェク(CHEQ)だ。チェク・ジャパンのシニア ストラテジック アカウント エグゼクティブを務める廣瀬健一氏はこう話す(写真1)。
「チェクは2016年にイスラエル国防軍の諜報機関である8200部隊出身の技術者を中心に設立された企業です。日本の社会インフラ企業やセキュリティ企業など日本を含む世界1万5000社にサービスを提供しています」(廣瀬氏)
写真1:チェク・ジャパン株式会社 シニア ストラテジック アカウント エグゼクティブの廣瀬健一氏具体的には、デジタル広告の不正クリック防止から、不正なフォーム入力やスクレイパーの防止、不正なJavaScriptによる情報漏えい防止などがあり、企業のGo to Marketを一気通貫で支援するサービスを提供している。
一方、弁護士ドットコムはWebサイト「弁護士ドットコム」や電子契約サービス「CLOUDSIGN」などを展開するIT企業だ。同社の技術戦略室 セキュリティチームに属する太田良典氏は、エンジニアとしてIPAに脆弱性報告を行うなどセキュリティ業界の知見が豊かで、IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威」の選考会にも参加している(写真2)。
写真2:弁護士ドットコム株式会社 技術戦略室 セキュリティチームの太田良典氏3つの事例から見る、ソフトウェアサプライチェーン攻撃の恐ろしさ
IPAの「情報セキュリティ10大脅威 2024」では「サプライチェーンの弱点を悪用した攻撃」が組織編の2位にランクしている(図1)。サプライチェーン攻撃には大きく2種類あり、1つは商流を担う組織を攻撃の足がかりにするもので、もう1つはソフトウェア開発のつながりを足がかりにするものだ。太田氏は、特に後者の「ソフトウェアサプライチェーン攻撃」が難しい問題になっていると指摘する。
図1:IPAの「情報セキュリティ10大脅威 2024」で2位にランクしている「サプライチェーンの弱点を悪用した攻撃」(出典:IPA「情報セキュリティ10大脅威 2024」)拡大画像表示
「近年のWebサービスは単独のプログラムでは完結せず、スクリプトなどの外部ライブラリを読み込んで利用したり、外部サービスと連携したりして動作します。それらが動かなければサービスは止まり、攻撃を受ければサービスも影響を受けることになります」(太田氏)
近年、実際に問題化した事例が3つある。
事例1:EFOツール改ざんによるカード情報漏洩
EFO(入力フォーム最適化)ツールを提供していた企業が不正アクセスを受けスクリプトが改ざんされたことにより、EFOツールを利用していたECサイトからフォームに入力したクレジットカード情報などの情報が漏えいした。外部サービスが攻撃されたことで自社のサービスから情報が漏れたわけだ。
事例2:ライブラリ配信サイトがマルウェア化
約100万のWebサイトが利用していたJavaScriptライブラリ配信サイトのドメインが中国企業に買収されたのち、配信していたスクリプトがマルウェアに置き換えられたものだ。「ライブラリの配信元が変わることで、ユーザーは突然マルウェアの脅威にさらされる怖さがあります」(廣瀬氏)。
事例3:配信広告のスクリプトによるサポート詐欺
新聞社のニュースサイトを閲覧していただけで突然、「サポートが必要」との警告が表示され操作できなくなるというもので、広告配信ネットワークの仕組みが悪用されたケースだ。
Webサイトのサードパーティタグは、IT部門の管理が行き届いていないことも
Webサイトは、JavaScriptライブラリなどの外部サービスを多く利用しており、これらのサービスの管理がIT部門にまで行き届いていないケースも少なくない。
ソフトウェアサプライチェーン攻撃は、普段見ているWebサイトがある日突然マルウェアや不正なサービスに変わるため、ユーザー側での対処は難しい。また、Webサイトを運営している企業にとっても、自社が直接的に関わらないところで攻撃が発生するため、対応が後手になりやすい。外部サービスによって被害を受けた企業は、顧客への信頼損失、顧客情報の漏洩につながるため、外部サービス側に責任を問いたいところだが、それも難しいという。
「企業の本音としては利用していた外部サービスに問題があるので『うちは関係ない』と言いたいでしょうが、そういうわけにはいきません。ユーザーから見れば『あなたのサイトからカード情報が漏れた』『あなたのサイトでサポート詐欺広告がでている』となるからです。実際、被害を受けた企業が告知や注意喚起を出しています」(太田氏)
近年のWebサイトは、JavaScriptライブラリなどの外部サービスをまったく使わずに運営することは不可能だ。利用している外部サービスが多ければ多いほどリスクが増大するとも言える。
「Webサーバーや社内システムはIT部門がしっかり管理していることが多いです。しかし、WebサイトのJavaScriptなどクライアントサイドのサードパーティタグ管理は、ビジネスサイドに任されていることも多いです」(太田氏)
IT部門のセキュリティ管理が行き届いていないケースも多いのだ。このように、外部サービスの脆弱性が悪用されると、迅速な対応が難しく、顧客の信頼を失うリスクが高まる(図2)。
図2:多くの企業でクライアントサイドでのタグ管理が不十分(出典:チェク・ジャパン)拡大画像表示
Webサイトのスクリプトを把握し脅威を可視化「CHEQ Privacy Enforcement」
では、どのように対策すればよいのか。太田氏によると「外部サービスを利用しない」「信頼できるサービスのみ利用する」「外部JavaScriptの改ざん検知を行う」といった対策が考えられるが、いずれも現実的ではないという。
チェク・ジャパンが提供する「CHEQ Privacy Enforcement」は、Webサイトで実行されているJavaScriptコードを可視化し、外部サービスとの通信を管理することで、ソフトウェアサプライチェーン攻撃のリスクを軽減するソリューションだ。
「Webサイトにコードを1行追加していただくと、Webサイトで動いている隠れたJavaScriptのコードを含めて、どのドメインと通信しているかを可視化します。可視化したうえで、ユーザーが認識しているドメインなら許可リストに入れる、認識していないドメインなら止めるといった対応が可能になります。加えて、このように1つ1つのJavaScriptを管理しているため、近年Webサイト運営者に求められるようになったCookie同意についても、オプトイン、オプトアウトの挙動を簡単に実施できるようになります」(廣瀬氏)
最後に太田氏は、セミナー参加者や企業のITリーダーに向けて、次のようにメッセージを贈った。
「脅威のトレンドは時流とともに変わります。今、何が危ないのか、脅威のトレンドを把握してください。また、外部JavaScriptが攻撃を受けて自社に影響が及ぶ事件が多発しています。外部JavaScriptを信用しすぎず、外部サービスを適切に管理することが大切です」(太田氏)
また、チェクでは、タグセキュリティ診断パックなどのサービスも提供しており、サプライチェーン攻撃への対策に向けたリスクの可視化や評価を受けることができる。サービスをうまく活用して脅威に対抗したい。
●お問い合わせ先
チェク・ジャパン株式会社
URL:https://cheq.ai/ja/
