サプライチェーン攻撃とは？

詳細解説

サプライチェーン攻撃（Supply Chain Attack）は、セキュリティが堅固な最終標的（大企業・政府機関など）を直接攻撃する代わりに、その組織が信頼・利用しているソフトウェアベンダー・IT管理ツール・オープンソースライブラリ・ハードウェアメーカーなどのサプライチェーン（供給網）の弱いリンクを狙って侵入し、そこを踏み台にして最終標的へ横展開する攻撃手法です。代表的な事例はSolarWinds攻撃（2020年）：ネットワーク管理ツール「SolarWinds Orion」のアップデートにバックドアが仕込まれ、米国政府機関含む18,000以上の組織に感染。Codecov攻撃（2021年）：CI/CDツールのスクリプトが改ざんされ、利用企業のCI環境から認証情報が窃取。event-streamライブラリ攻撃：npmのオープンソースライブラリにマルウェアが混入。これらの事例から「信頼できるソフトウェア・ベンダー」からの攻撃という点がサプライチェーン攻撃の最大の脅威で、従来の境界防御では防ぎにくいです。対策はソフトウェアコンポジション分析（SCA）によるOSSライブラリの脆弱性管理・SBOM（Software Bill of Materials: ソフトウェア部品表）の作成・デジタル署名によるアップデートの正当性検証・ゼロトラストアーキテクチャの導入です。ITパスポート試験では「サプライチェーン攻撃の仕組み」「SolarWinds事例」「ゼロトラストとの関係」が出題されます。

ITパスポートでの出題ポイント

• 1信頼するソフトウェアベンダー・ツール・ライブラリを経由して最終標的へ侵入
• 2SolarWinds攻撃（2020年）が最も著名な実例
• 3SBOM（ソフトウェア部品表）でコンポーネントの透明性を確保
• 4ゼロトラスト「すべてを疑う」でサプライチェーンリスクに対応

関連用語