かつてないほど多くのオープンソースが利用されるようになり、ソフトウェアサプライチェーンを標的とした攻撃も、頻度と複雑さの両面で増加しています。オープンソースコードを使用して社内で製品を構築しようとするDevOpsチームが増え、ソフトウェアのサプライチェーンがより複雑になっていることも要因の1つです。実際に、「情報セキュリティ10大脅威 2023」でも、サプライチェーンの弱点を悪用した攻撃は2位にランクインしています。
2020年のSolarWindsへの攻撃もソフトウェアサプライチェーン攻撃の一種です。外国諜報機関を後ろ盾にしたハッカーが、定期的なソフトウェア更新を利用してSolarWinds社の製品であるOrionのソフトウェアに悪意のあるコードを仕込み、それを利用してアメリカに対する大規模なサイバー攻撃を行いました。世界中の数万に上る組織が影響を受けました。
ソフトウェアサプライチェーンリスクとは別に、(SolarWindsへの攻撃を外部または外部の脅威行為者によるものと考えると)
品質に関する問題で、意図しない内部脅威があります。開発者が脆弱なコンポーネントを組み込んでいたり、ゼロデイ・オープンソースの脆弱性の影響を受けたりします。最近の例では、Log4ShellやLog4Jが該当します。
これら2つの攻撃は、ソフトウェアサプライチェーンのセキュリティの2つの側面を象徴しています。
アプリケーションを構築するために使用されるコンポーネントの脆弱性と、クライアントの情報に特権的にアクセスできるソフトウェアやサービスプロバイダーに対する攻撃です。
コンポーネントのセキュリティを監査せずに使用すると、ソフトウェアに脆弱性を作り出し、エコシステムを通じて攻撃を拡散させる危険性があります。
そして、ソフトウェアに既知の脆弱性がないことを担保するには、自社のアプリケーションを作成するために使用されるコンポーネントやライブラリを、サプライチェーンを通じてコードの出所を追跡し、サプライヤーのセキュリティプロセスを理解し、実行中のソフトウェアに対して定期的に動作検証を行い、コードが悪意のある動作をしていないことを確認する必要があります。