用語集 › 🔒 セキュリティ › サプライチェーン攻撃
【さぷらいちぇーんこうげき】

サプライチェーン攻撃 とは?

💡 大企業を直接狙わず「仕入れ先・部品」を汚染して侵入する迂回攻撃
📌 このページのポイント
攻撃者 Attacker 改ざん 悪意ある パッケージ Malicious Pkg 公開 npm / pip Registry 取得 開発者の ビルド Build Pipeline 配信 本番 環境 Production 感染チェーン(悪意のコードが伝搬) サプライチェーン攻撃 正規の依存関係を通じて悪意あるコードが混入する 開発者は正規のインストールと区別できない
サプライチェーン攻撃の仕組み
ひよこ ひよこ

サプライチェーン攻撃って聞いたことあるけど、普通のハッキングと何が違うの?

ペンギン先生 ペンギン先生

普通の攻撃は標的を直接狙うけど、サプライチェーン攻撃は「その標的が使っているソフトやサービスの供給元」を先に汚染するんだ。堅固な本丸を直接攻めず、搬入業者を装って入り込むイメージだよ。

ひよこ ひよこ

具体的にどんな事例があるの?

ペンギン先生 ペンギン先生

2020年のSolarWinds事件が有名で、ITシステム管理ソフトのアップデートマルウェアが混入されて、そのソフトを使っていたアメリカ政府機関・大企業など約1万8千組織に侵入されたんだ。正規のアップデートとして配布されたから気づきにくかったんだよ。

ひよこ ひよこ

npmパッケージとかの依存関係も危ないの?

ペンギン先生 ペンギン先生

そう!実際にnpmやPyPIなどのパッケージリポジトリに悪意あるパッケージを混入させる攻撃が多発しているよ。有名パッケージに似た名前のパッケージを公開する「タイポスクワッティング」や、正規パッケージのメンテナーのアカウントを乗っ取る手口などがあるんだ。

ひよこ ひよこ

どうやって防ぐの?

ペンギン先生 ペンギン先生

SBOM(Software Bill of Materials:ソフトウェア部品表)を管理して「自分のソフトウェアにどんな依存ライブラリが含まれているか」を把握することが第一歩だよ。依存パッケージのハッシュ値検証・署名の確認・CI/CDパイプラインの保護・最小権限の適用などを組み合わせるんだ。

ひよこ ひよこ

ハードウェアのサプライチェーン攻撃って何?

ペンギン先生 ペンギン先生

製造・流通過程でチップや機器に改ざんが加えられる攻撃で、ソフトウェアよりさらに検知が難しい。2018年に報告された「スーパーマイクロ基板にスパイチップが埋め込まれた疑惑」は真偽不明ながら世界に衝撃を与えた。国家レベルのハードウェアサプライチェーン攻撃は現在も安全保障の主要な懸念事項で、「どこ製のチップを使うか」が地政学的問題にまで発展しているんだよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
サプライチェーン攻撃って出てきたら「直接狙わず供給経路を汚染して標的に入り込む間接攻撃」と思えばだいたいOK!
📖 おまけ:英語の意味
「Supply Chain Attack」 = 供給網(サプライチェーン)への攻撃
💬 製品の「Supply Chain(仕入れ・製造・配送の連鎖)」を攻撃するという意味。物流のサプライチェーンになぞらえて、ソフトウェアの開発・配布経路を汚染することを指すよ
🔗 あわせて読みたい
📝 この用語に関連するコラム
← 用語集にもどる