サプライチェーン攻撃が高度化、正規ソフトウェアへの汚染拡大

背景

開発環境やオープンソースソフトウェア（OSS）を狙ったサプライチェーン攻撃が高度化し、正規のソフトウェアアップデート経路を通じてマルウェアが配布される深刻な事例が世界中で発生しています。これは、企業が信頼して使用しているソフトウェアそのものが攻撃の入口となる新たな脅威であり、従来のセキュリティ対策では検知が極めて困難です。特にグローバルに展開する大手企業のサプライチェーンが標的とされ、一つの侵害が数千、数万の企業に連鎖的な被害をもたらす「メガブリーチ」のリスクが高まっています。

実態

攻撃者は広く利用されているOSSライブラリやフレームワークの開発者アカウントを乗っ取り、あるいはメンテナーになりすまして、悪意あるコードを正規のソースコードに混入させます。また、正規パッケージに似せた偽パッケージを公開する「タイポスクワッティング」攻撃も増加しています。これにより、正規のソフトウェアアップデートやパッケージ管理システムを通じて、バックドアやデータ窃取機能が世界中の企業システムに配布されます。近年では、CI/CDパイプラインへの侵入、コード署名証明書の窃取、ビルド環境への不正アクセスなど、攻撃手法が多様化し、信頼されたソフトウェアベンダーのアップデートサーバーが侵害されるケースも報告されています。

影響と対策

自社が開発・使用するアプリケーションが知らぬ間に攻撃の踏み台となり、顧客や取引先への二次被害を引き起こすリスクが生じています。最悪の場合、自社製品が顧客への感染源となり、信用失墜や巨額の賠償につながる可能性があります。対策としては、SBOM（Software Bill of Materials：ソフトウェア部品表）の導入による使用コンポーネントの可視化、コード署名の厳格な管理と検証プロセスの確立が重要です。また、EDR（Endpoint Detection and Response）ソリューションによるエンドポイントでの異常挙動監視、FortiGateやCheck PointのIPS機能による既知のC2通信のブロック、開発環境のセグメント化も有効です。

まとめ

かつて信頼していたソフトウェアやベンダーが脅威の発生源となる時代において、「信頼」だけに依存したセキュリティモデルは限界を迎えています。ゼロトラストの考え方に基づき、すべてのコンポーネントを疑い検証する姿勢が必要です。PSI社では、サプライチェーン全体を見渡したリスク管理体制の構築、継続的な監視とインシデント対応体制の整備をサポートし、お客様のデジタル資産を多角的に保護いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp