ENISA(欧州共同体セキュリティ庁)から2021年7月29日に「サプライチェーン攻撃の脅威の風景(Threat Landscape for Supply Chain Attacks )」がでています。案内のページは、こちらです。

記事としては、山賀 正人「「サプライチェーン攻撃」に備えるために供給元と顧客が注意すべきこと」が詳細です。また、まるちゃんの「ENISA サプライチェーン・セキュリティ攻撃の増加を理解する」があります。

 ちなみに、欧州共同体サイバーセキュリティ法によってENISAの名称が変更になっています。欧州共同体の機関に格上げになったという記憶です。日本のメディアさんは、昔の名称(European Network and Information Security Agency)で出ていることが多いので注意しましょう。

サイバーセキュリティ法
2017 年 9 月、欧州委員会は、欧州連合外務・安全保障政策代表と共にサイバーセキュリティに関する政策パッケージを公表し、EU レベルのサイバーセキュリティ能力強化に向けて特に以下の施策に取り組むこととしている。
①ENISA の権限強化
②EU レベルのセキュリティ認証制度の導入
③欧州サイバーセキュリティ研究・コンピテンスセンターの設立
④EU サイバーセキュリティ危機対応枠組の構築
⑤国際協力の強化
このパッケージの公表と同月に欧州委員会は上記を主眼とした「サイバーセキュリティ法」を提案、2018 年 12 月に欧州委員会、欧州議会及び EU 理事会が同案に対する政治的合意に達し、2019 年 3 月に発効、同 6 月から適用となった。
これと同時に ENISA の名称は「EU サイバーセキュリティ庁（European Union Agency for Cybersecurity）」に変更され、EU 各機関や各加盟国に対してベストプラクティス、法制度、市場振興について従来と同様に助言を行うとともに、各国の国境を越えた脅威や攻撃に対する対処を支援する役割を担うこととなった。欧州委員会は同庁の今後 5 年間の予算を従来の約 2 倍に増やすとともに、上記②に関して各国の関連機関の代表から成るアドバイザリー・グループを組織することを要求した。

報告書は、57ページにわたるものです。構成は、「1 序」「2 何がサプライチェーン攻撃なのか」「3 サプライチェーン攻撃のライフサイクル」「4 主要なサプライチェーン攻撃」「5 サプライチェーン事件の分析」「6 すべてがサプライチェーンではない」「7 推奨事項」「8 結論」になります。ポイントを拾っていきます。

2 何がサプライチェーン攻撃なのか

昔むかし、サプライチェーン攻撃といわれて、サプライチェーンから、マルウエア付のメールがきて、それから、社内ネットワークを乗っ取られることがあるので注意しましょうという解説記事を読んだ記憶があって、何か変な用語法だなと思ったことがあります

その意味からもサプライチェーンの定義というのは、重要なのだろうと思います。

そこで、この2の定義部分は、興味深いです。

そこでは、

サプライチェーンとは、最終的なソリューションや製品の創造と提供に関わる、プロセス、人、組織、流通業者のエコシステムを指します。

サイバーセキュリティでは、サプライチェーンには、リソース（ハードウェアおよびソフトウェア）、ストレージ（クラウドまたはローカル）、流通メカニズム（ウェブアプリケーション、オンラインストア）、および管理ソフトウェアなどが幅広く含まれます。

サプライチェーンには4つの重要な要素があります。

• サプライヤー：製品やサービスを他の企業に供給する企業のこと。
• サプライヤー資産：製品やサービスを生産するためにサプライヤーが使用する価値のある要素です。
• 顧客：サプライヤーが生産した製品やサービスを消費する事業体。
• 顧客資産：対象者が所有する価値ある要素です。

事業体とは、個人、個人のグループ、または組織を指します。資産とは、人、ソフトウェア、文書、財務、ハードウェア、その他のものを指します。 サプライチェーン攻撃は、少なくとも2つの攻撃を組み合わせたものです。最初の攻撃はサプライヤーに対するもので、その後、ターゲットを攻撃してその資産へのアクセスを得るために使用されます。対象となるのは、最終的な顧客であったり、他のサプライヤーであったりします。したがって、サプライチェーン攻撃に分類されるためには、サプライヤーと顧客の両方がターゲットになる必要があります。

そして、サプライチェーン攻撃は、攻撃されるのが供給者なのか、カスタマ(customer)なのか、利用される攻撃手法がなにか、ということで、以下のように分類できるとされます。

また、用語法としては、MITREのATT&CK® Knowledge BaseやLockheed Martin Cyber Kill Chain® Frameworkがあることに触れられています。

3 サプライチェーン攻撃のライフサイクル

サプライチェーン攻撃のライフサイクルには、サプライヤーへの攻撃と顧客への攻撃という2つの主要な部分があるとされています。

これらの攻撃はそれぞれ複雑で、1つの攻撃ベクトル、1つの行動計画、そして慎重な実行を必要とするのが普通であり、これらの攻撃は、成功するまでに数ヶ月かかることもあり、多くの場合、長期間にわたって発見されないこともあります。

ライフサイクルの最初の攻撃は「サプライヤーAPT攻撃」と呼ばれ、1社または複数のサプライヤーを侵害することに焦点を当てています。ライフサイクルの2番目の攻撃は「顧客APT攻撃」と呼ばれ、最終的な攻撃対象に焦点を当てています。これらの2つの部分は、サプライヤーへのアクセスによってリンクされていますが、それ以外は使用される技術が全く異なる場合があります。

4 主たるサプライチェーン攻撃

この章では、2020年1月から2021年7月までの主たるサプライチェーン攻撃をあげて、上の2の分類に従って論じています。

• Solarwinds orion(ITマネージメントおよびリモートモニタリング)
• MIMECAST(クラウド・サイバーセキュリティサービス)
• LEDGER(ハードウエア・ウォレット)
• KASEYA(ITマネージメントサービス)

などが主たる例として上がっています。Solarwinds については、「SolarWinds作戦の国際法的分析について」でも触れています。

MIMECAST(クラウド・サイバーセキュリティサービス)については、「大規模なEメール侵害につながったMimecastのミス」をどうぞ。

LEDGER(ハードウエア・ウォレット)については、「執拗に狙われる仮想通貨ウォレット」をどうぞ。

KASEYA(ITマネージメントサービス)については「Kaseya製品を踏み台にしたランサムウェア「REvil」攻撃　その影響範囲の実態は」をどうぞ。

5 サプライチェーンインシデントの分析

これは、さらに多くのインシデントについて、攻撃者の帰属をも踏まえて一覧表かした上で、タイムライン、フローの理解、その目的、攻撃に利用された要因が不明であること、半数が有名な攻撃グループによること、などが分析されています。

6 すべてがサプライチェーン攻撃ではないこと

さらに、サプライチェーン攻撃ではないサイバーセキュリティの攻撃や脆弱性の事例もありました。 その一つが、Centreon社のシステムへの攻撃ですとして、具体的に説明しています。

7 推奨事項

これについては、山賀 正人「「サプライチェーン攻撃」に備えるために供給元と顧客が注意すべきこと」が詳しいです。