JLR攻撃事例とサプライチェーンの脆弱性
サイバー攻撃に関する懸念が高まる中、多くの攻撃は壊滅的な被害には至りません。しかし、ジャガー・ランドローバー(JLR)に対する攻撃は例外でした。これは数百万ドル規模の迷惑な攻撃ではなく、数週間にわたる生産停止を引き起こし、英国経済に20億ドル以上の損失をもたらし、最大5000の組織に影響を与えたと報じられています。
JLR攻撃は、製造業者が理論的には起こりうると知りつつも、現実のものとなった悪夢のシナリオでした。この事件は、多くの製造業者に同様の事態を防ぐ方法を模索させるきっかけとなりました。この攻撃で明らかになったことの一つは、サプライチェーンが製造業者にとって最も弱いセキュリティリンクであるという点です。実際、JLR攻撃は、第三者契約業者の認証情報が侵害されたことにより、同社のサプライチェーンから発生しました。
サプライチェーンを狙う攻撃の手口
攻撃者はどのようにサプライチェーンに侵入しているのでしょうか?強力な戦術の一つとして、製造業者とそのサプライチェーンパートナーが使用するソフトウェアアプリケーションの開発ツールとプロセスを標的にすることが挙げられます。これはJLRを停止させた種類の攻撃とは異なるかもしれませんが、重要な教訓は、ソフトウェアプロバイダーがセキュアな開発慣行を使用していることを製造業者とサプライチェーンパートナーが警戒しなければ、JLRが被ったようなレベルの攻撃にさらされる可能性があるということです。
ソフトウェア開発を介したサプライチェーン攻撃は目新しいものではありませんが、依然として強力で危険です。2020年のSolarWinds攻撃、2021年のKaseya VSA攻撃、2023年のVoIPプロバイダー3CXへの攻撃など、最も有名なサイバー攻撃のいくつかもこの戦術を含んでいました。より最近では、攻撃者は悪意のあるNode Package Manager(NPM)をソフトウェア開発プロセスに放り込むという新しいアプローチを開発しています。JavaScript開発者は、再利用可能なコードを共有およびインストールするためにNPMを使用します。悪意のあるNPMは、攻撃が急速に広がり、数ヶ月間持続し、あらゆる種類のアプリケーションに侵入する可能性があります。最近の例として、500以上のNPMパッケージを侵害したと報じられているShai-Huludクリプトスティーラーがあります。
NPM攻撃は、攻撃者がサプライチェーンに侵入するために見つけた一つの方法に過ぎません。例えば、攻撃者はソフトウェアベンダーのアップデートを侵害したり、ソフトウェアの脆弱性を悪用したりすることも可能です。要するに、サプライチェーンアプリケーションは脆弱であり、製造業者はパートナーが使用するアプリが安全であることを確認する必要があります。
SSDLCの重要性と具体的な実践
サプライチェーンがリスクに晒されている中で、製造業者は、既存および潜在的なパートナーを、セキュアなソフトウェア開発ライフサイクル(SSDLC)の実践に基づいて評価する必要があります。多くのOT(Operational Technology)環境では、調達評価はベンダーの財務健全性、サービスレベル契約、インフラセキュリティに重点を置いていますが、ソフトウェア開発プロセスにおける脆弱性を見過ごしがちです。これが、製造業者とサプライチェーンパートナーの両方にとって、厳格なSSDLCの実践を確保することが非常に重要である理由です。
SSDLCは単なるコンプライアンスのチェックボックス以上のものです。それは、セキュリティを開発後のアドオンとして扱うのではなく、ソフトウェア作成プロセス全体に組み込むという根本的な転換を意味します。要件分析中に発見された脆弱性の修正には数時間かかるかもしれませんが、リリース後に発見された同じ欠陥は、数週間の緊急対応を必要とする可能性があります。
実践において、成熟したSSDLCの実装には以下が含まれます。
- 設計によるセキュリティ(Security by design):コードが書かれる前にセキュリティ要件が定義され、脅威がモデル化されること。
- セキュアなコーディング実践:開発者がセキュリティについて訓練され、必須のコードレビューと自動化されたセキュリティテストが行われること。
- 依存関係管理:サードパーティコンポーネントがソフトウェア部品表(SBOM)の実践を通じて吟味され、追跡され、維持されること。
- セキュアなリリースパイプライン:アップデートが署名され、整合性がチェックされ、強化されたチャネルを通じて配信されること。
- 脆弱性管理:セキュリティ問題に対する調整された開示プロセスと定義された対応期間があること。
製造業者にとって、これは生産ラインを制御し、重要なシステムを管理し、産業オペレーションを接続するソフトウェアに、最初のコード行から最終的な展開までセキュリティが組み込まれていることを意味します。
業界認証:IEC 62443-4-1
業界認証は、開発プロセスにおけるSSDLCの使用を測定する信頼できる尺度です。様々なセキュリティ認証が存在しますが、IEC 62443-4-1は製造サプライチェーンにとって特に重要です。IEC 62443ファミリーの標準は、産業自動化および制御システムのセキュリティに特化しており、製造業者がオペレーションを行う正確な環境に対応しています。このフレームワーク内で、IEC 62443-4-1はセキュアな製品開発ライフサイクル要件にのみ焦点を当てており、OTソフトウェアサプライヤーを評価するための最も厳格で関連性の高い標準の一つを提供します。
一般的な情報セキュリティフレームワークとは異なり、IEC 62443-4-1認証は、サプライヤーが稼働時間が重要であり、パッチ適用期間が限定され、物理的な結果がソフトウェア障害から生じる可能性がある産業環境向けに特別に設計された実践を実装していることを示します。この認証は、ソフトウェアサプライヤーがセキュリティを単に約束するだけでなく、すべての製品に体系的に組み込んでいるという具体的で独立して検証された証拠を提供します。これは、製造業および重要インフラにおけるOEM、システムインテグレーター、およびエンド顧客にとって、信頼の重要な基盤となります。
パートナー評価の再考
SSDLCを念頭に置いてパートナーを評価する際、製造業者は以下のことを行うべきです。
- 調達プロセスにSSDLC基準を組み込む:サプライヤーが最初から期待を理解できるように、RFP(提案依頼書)や契約にセキュアな開発要件を含めます。
- 構造化された証拠を要求する:デューデリジェンスの一部として、認証範囲、監査報告書、SBOM記録、およびテスト結果を要求します。
- 関連する認証を優先する:産業環境で運用される製品ベンダーに対してはIEC 62443-4-1を特に探し、組織のセキュリティガバナンスのためにはISO/IEC 27001、該当する場合はクラウド固有の認証で補完します。
- 成熟度を継続的に評価する:二者択一の質問票を超えて、ベンダー管理に組み込まれた継続的な監視とともに、成熟度の連続体でサプライヤーを評価します。
製造業者は、サプライヤーのセキュリティ評価をインフラとオペレーションのみに焦点を当てた演習として扱う余裕はもはやありません。開発ライフサイクルは脆弱性が生じる場所であり、製造業者がそれらを防ぐことを確実にしなければならない場所です。