マルウェアを混入させる「ソフトウェアサプライチェーン攻撃」、多くの組織が脅威と考えるも対応は不十分～CrowdStrike調査

　CrowdStrike Japan株式会社は30日、米本社で統合型次世代セキュリティベンダーのCrowdStrikeが実施した、ソフトウェアサプライチェーン攻撃に関する調査結果を発表した。

　CrowdStrikeは、次世代アンチウイルス（NGAV）とエンドポイントセキュリティ（EDR）、マネージド脅威ハンティングを組み合わせた、クラウド型エンドポイントプロテクションを提供するセキュリティベンダー。

　調査は2018年4月～5日に、米国、カナダ、メキシコ、英国、ドイツ、オーストラリア、日本、シンガポールの各国で、IT意思決定者／ITセキュリティ専門家1300人に対してインタビューを行ったもの。回答者の国別の内訳は、米国が400人、英国とドイツが各200人、その他の国が各100人。回答者の属性はIT意思決定者とITセキュリティ専門家が650人ずつ。

　ソフトウェアサプライチェーン攻撃とは、ソフトウェア製品やハードウェア製品内のソフトウェアについて、開発・製造・流通・配布などのサプライチェーンの過程においてマルウェアを混入させる攻撃のことを指している。

　ソフトウェアサプライチェーン攻撃については、「今後3年以内に自社の組織にとって最大のサイバー脅威の一つになる」と回答した割合が全体の79％に上った。日本の回答割合も79％で、他の国ではメキシコ（90％）、シンガポール（89％）、カナダ（88％）などの割合が高い。

　一方、「私の組織は予算の決定時にサプライチェーンのセキュリティに対して割当を見落としている」という回答は全体の62％（日本は67％）、「組織の経営幹部はソフトウェアサプライチェーン攻撃のリスクに対する認識がかけている」という回答も全体の62％（日本は67％）に上っている。

79％が「ソフトウェアサプライチェーン攻撃は今後3年以内に自社の組織に対する大きな脅威の一つになる」と回答

CrowdStrikeのマイケル・セントナス氏

　CrowdStrikeのテクノロジーストラテジー担当バイスプレジデントのマイケル・セントナス氏は、多くの組織で危機感は高まっているものの、認識が不十分であったり、取り組みがなされていない点が問題だと説明。また、ソフトウェアサプライチェーン攻撃に対応する戦略や計画はあるかという質問にも、総合的な対応戦略を制定しているという回答は全体で49％、日本では37％にとどまっており、とても不安な結果になったとした。

　また、2017年にはNotPetyaやWannaCryなどの大規模なソフトウェアサプライチェーン攻撃が話題となったにも関わらず、過去12カ月間にすべてのサプライヤーのセキュリティ調査をしたという回答は全体の32％、日本では22％にとどまっており、多くの組織がサプライチェーン攻撃にさらされる危険があると警告した。

攻撃に「総合的な対応戦略を制定している」組織は49％

過去12カ月間にすべてのサプライヤーのセキュリティ調査を行った組織は32％

　回答者の66％は過去にソフトウェアサプライチェーン攻撃を受けたと回答しており、攻撃による経済損失は平均112万ドルにも上っている。

　一方で、過去にソフトウェアサプライチェーン攻撃を受けたという回答者のうち、34％が攻撃に対して「総合的な対応戦略を確立していた」と回答していにも関わらず、多くの組織が攻撃を防ぐことができなかったとして、戦略を立てただけでは攻撃を回避できることにはつながらないと指摘する。

66％が過去にソフトウェアサプライチェーン攻撃を受けた経験がある

攻撃により平均して100万ドルを超える経済損失を被っている

攻撃を受けた組織の34％は総合的な対応戦略を確立していた

　セントナス氏は、サプライチェーン攻撃は他の攻撃と比べても複雑で、どこから攻撃を仕掛けられているのかを特定するのも難しく、攻撃者にとって大企業は直接狙うのが難しいことから、サプライチェーンを狙う方が攻撃しやすいといった背景があると説明。ただし、対策としてはシンプルで、サプライヤーを巻き込んで一緒になってよりセキュアな環境を構築していくことが重要だとした。

　また、攻撃者は組織にマルウェアを送り込むことそのものが目標ではなく、最終的な目標が何であるのかを把握することが必要で、そのためには攻撃への検知と対応を行うEDR製品も重要になるとした。