fbpx

ソフトウェアサプライチェーン攻撃:2021年振り返り #aqua #argon #セキュリティ #サプライチェーン #レポート

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2022年1月25日に公開された「 Software Supply Chain Attacks: 2021 in Review 」の日本語翻訳です。

ソフトウェアサプライチェーン攻撃:2021年振り返り


CI/CD パイプラインが、よりポピュラーな攻撃対象となったことで、2021 年にはソフトウェアサプライチェーンへの攻撃が大幅に増加しました。その数は過去 1 年間で 3 倍以上になっており、ソフトウェアデリバリープロセスのセキュリティ確保は喫緊の課題の1つとなっています。最新の研究では、2022 年に注目すべきサプライチェーンのセキュリティ脅威の上位を検証し、それらから保護するための最善の方法に関する推奨事項を示しています。

2021年のソフトウェアサプライチェーンセキュリティから何を学んだか

過去 6 ヶ月間、Argon は企業のソフトウェアのサプライチェーンセキュリティの現状を把握するため、数十の顧客のセキュリティ評価を分析しました。その成果として、以下のようなことがわかりました。

サプライチェーンへの攻撃は300%以上に増加

現代の開発パイプラインは複雑な自動化環境であり、アプリケーションを構築するために様々な CI/CD ツールが使用されています。さらに、開発者はオープンソースコードのチャンクを再利用することが一般的で、各ソフトウェアプロジェクトは数十から数百のオープンソースに依存している可能性があります。

このため、ソフトウェアのサプライチェーンは攻撃の格好のターゲットとなります。SolarWinds と CodeCov の事件以来、サプライチェーンへの攻撃は急速にその数と精巧さを増しています。Argon の試算では、2021 年には 2020 年比で 300 %と圧倒的に増加しています。すべての攻撃が報告・検知されるわけではないことを考えると、実数はさらに大きくなると思われます。

サプライチェーンセキュリティにおける最大の脅威

ソフトウェアのサプライチェーンを構成する部品をターゲットとすることで、攻撃者は一度に多くの被害者を危険にさらし、悪質なコードを広範囲に配布できます。ソフトウェアサプライヤーを侵害し、開発パイプラインを通じて攻撃を成功させるためには、多くの異なる攻撃手段が使用されます。

Argon の調査によると、2021 年、攻撃者は以下の点に力を注いでいました。

  • オープンソースの脆弱性を利用する
  • 広く使われているオープンソースパッケージに悪意のあるコードを挿入する
  • CI/CD ツールおよびコードの整合性の侵害
  • ビルドプロセスの操作

開発環境全体のセキュリティレベルは低いまま

Argon が調査したすべての開発環境において、パイプラインツールの重大な設定ミスや脆弱性が多数見つかり、環境全体のセキュリティ状態が低下していることが判明しました。憂慮すべき問題の数は、組織がサプライチェーン攻撃を防ぐために適切な管理体制をとっていないことを物語っています。

チームはサプライチェーンのリスクを可視化できず、CI/CD パイプラインのビルドプロセスを保護するために設計されたセキュリティツールの採用は、多くの組織で進んでいません。さらに、確立されたアジャイルと DevOps の実践は、迅速なコミットとデプロイメントを優先し、悪意のある活動を防ぐためのセキュリティ管理の導入が遅すぎました。

コミュニティ全体でサプライチェーンセキュリティへの注目度が高まる

良いニュースとしては、サプライチェーンのリスクについて、セキュリティコミュニティや政府レベルで認識が高まっていることが挙げられます。現在、Google の Supply-chain Levels for Software Artifacts(SLSA)や Cloud Native Computing Foundation の Supply Chain Security Forum などの取り組みが行われています。これらが、安全なソフトウェア開発ライフサイクルのための基準やガイドラインを設定し、認識を促しています。

レポートの全文をご覧ください


この 1 年間で様々な進展がありましたが、ソフトウェアサプライチェーンのセキュリティリスクと露出は依然として非常に現実的な問題です。2021 年に目撃したサプライチェーン攻撃の連鎖を考えると、セキュリティチームと DevOps チームは、現代のソフトウェアサプライチェーンを構成する複雑なシステムの保護を優先する必要があります。

Software Supply Chain Attacks report

ソフトウェアサプライチェーンセキュリティの動向に関する詳細については、「2021 Software Supply Chain Security Report」の全文をご覧ください。

New call-to-action

新規CTA