正規のファームウェア更新を装う攻撃、信頼の連鎖を悪用する高度なサプライチェーン侵害

背景

企業が使用するネットワーク機器、ストレージ、サーバー、IoTデバイスなどは、定期的にファームウェアアップデートを受信して機能改善やセキュリティ強化を行います。しかし、この「信頼されたアップデートプロセス」そのものを攻撃者が乗っ取り、正規のアップデートに見せかけてマルウェアを配信する「ファームウェアサプライチェーン攻撃」が現実の脅威となっています。ベンダーのアップデートサーバーが侵害される、配信ネットワークが中間者攻撃を受ける、デジタル署名の秘密鍵が窃取されるなど、複数の侵害経路が確認されており、一度このルートで配信されたマルウェアは「正規の更新」として全世界の該当製品に展開されてしまうため、被害規模が極めて大きくなります。SolarWinds事件では、IT管理ソフトウェアのアップデートにバックドアが混入され、米国政府機関を含む数万の組織が影響を受けました。

実態

ファームウェアサプライチェーン攻撃の典型的な手順は以下の通りです。まず、攻撃者はベンダー企業のビルド環境（開発・コンパイル環境）やアップデートサーバーに侵入します。侵入経路としては、開発者のアカウント乗っ取り、VPN機器の脆弱性悪用、ソースコード管理システム（GitHubなど）への不正アクセスなどが使われます。次に、正規のファームウェアやソフトウェアのソースコードに悪意あるコードを巧妙に混入させます。この際、コードレビューをすり抜けるよう、難読化や正規機能に偽装した実装が行われます。その後、改ざんされたファームウェアは正規のビルドプロセスを経て、ベンダーのデジタル署名が付与され、公式アップデートサーバーから配信されます。ユーザー側では「信頼されたベンダーからの正規アップデート」として自動的にインストールされるため、疑う余地がありません。被害が発覚するのは、攻撃者がバックドアを使って実際に侵入活動を開始した後であることが多く、その時点では既に数ヶ月から数年が経過しているケースもあります。

影響と対策

ファームウェアサプライチェーン攻撃の影響は、単一企業にとどまらず、そのベンダー製品を使用する全ての組織に波及します。対策は非常に困難ですが、いくつかのアプローチがあります。まず、重要なシステムについては、ファームウェアアップデート前に「検証環境」で動作確認を行い、即座に本番環境へ適用しない慎重な運用が推奨されます。また、FortiGateやCheck Pointなどのネットワークセキュリティ製品を使用し、ファームウェア更新後の通信パターンを監視することで、不審な外部通信（C2通信）を早期に検知できる可能性があります。ベンダー選定時には、そのベンダーのセキュリティ開発プロセス（Secure SDLC）、コード署名管理体制、過去のセキュリティインシデント対応実績を評価することも重要です。また、SBOM（Software Bill of Materials：ソフトウェア部品表）の提供を求め、ファームウェアに含まれるコンポーネントの透明性を確保することも有効です。さらに、ゼロトラストの原則に基づき、「信頼されたベンダーからのアップデートであっても、挙動は継続的に監視する」姿勢が必要です。

まとめ

「信頼」は便利ですが、盲目的な信頼は危険です。ファームウェアサプライチェーン攻撃は、その信頼の連鎖を逆手に取る最も巧妙な攻撃の一つです。ベンダーを信頼しつつも、検証と監視を怠らない「信頼と検証（Trust but Verify）」の姿勢が不可欠です。PSIでは、ネットワーク製品による継続的な通信監視と、ファームウェア更新プロセスのセキュリティ強化支援を通じて、サプライチェーン攻撃を含む高度な脅威からお客様を守るご支援をいたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp