ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃とは、ソフトウェアができあがるまでのあらゆる工程──つまり開発、テスト、提供といった流れのどこかに攻撃者が入り込み、悪意のあるコードを混入させたり、正規の機能をすり替えたりする攻撃手法です。対象はソフトウェア本体だけでなく、ライブラリやツール、開発プロセスそのものにまで及びます。

例えば、外部から取り入れた便利なライブラリに、悪意あるコードがこっそり含まれていたとします。開発者が気付かずにそれを使ってしまうと、そのコードも一緒に製品へと組み込まれてしまいます。結果、利用者の情報が盗まれる、権限を乗っ取られるといった深刻な被害が発生します。

この攻撃がやっかいなのは、一見「正規の手順」でつくられたように見える点です。利用者や企業が、自分たちでつくったものに見えても、その中に第三者が関与した要素がある限り、安全とは限りません。実際に、広く使われているソフトウェアやパッケージが改ざんされ、大規模な被害につながったケースもあります。

対策としては、まず信頼できるソースからソフトウェアやライブラリを取得すること。加えて、コード署名や検証プロセスを設けることで、改ざんの有無を確認できるようにしておくと安心です。また、開発プロセス全体を見直し、権限の管理やアクセス制御を徹底することも重要ですね。

ソフトウェアは「組み合わせ」で成り立っています。これらの構成要素を把握するためにSBOMなどが使われます。一つひとつのパーツが安全であること。それが全体の安全性につながるという考え方を、日ごろから意識しましょう。見えにくいところだからこそ、丁寧な確認としくみづくりが鍵になるのではないでしょうか。