社会全体が取り組むべき「サプライチェーン攻撃」への対策
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」7月27日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・なぜSSL-VPNの脆弱性が放置されるのか
・「サプライチェーン攻撃をされにくい環境づくり」を実現する為には
今回の解説ニュース
サプライチェーン攻撃について、国内や海外での用語としての使われ方の違いについて発表されています。用語としては異なっても、社会全体が取り組むべき点では、国内も海外も同様であるサプライチェーン攻撃の内容と対策について説明します。
今回の発表では、サプライチェーン攻撃が国内や海外で用語として使われ方の違いや、特にSSL-VPN製品の脆弱性が放置される原因について触れられています。具体的には、サプライチェーン攻撃という用語は、国内では製品やサービス提供の連鎖への攻撃を示していますが、海外では情報のやり取りの連鎖への攻撃を示しているという違いがあるということです。
JPCERT/CCの佐々木氏は「たかが言葉の違いではないかと思われるかもしれませんが、言葉の違いが脅威想定を大きく誤らせる可能性があることを懸念しています」と指摘しています。また、主な侵入原因がSSL-VPN製品であることから、サイバー攻撃そのものへの対処としてまず取り組まなくてはならないのは、「なぜSSL-VPN製品の脆弱性が放置されたままだったのか」という点であるとしています。
なぜSSL-VPNの脆弱性が放置されるのか
SSL-VPNの脆弱性が放置される理由の一つとして、情報資産や脆弱性が管理されていないことが挙げられます。
例えば、Aさんがお住まいのマンションに備え付けのインターネット回線があったとします。設定などの手間が省ける一方で、設定はマンションの管理会社がしてくれるであろうと期待しているのではないでしょうか。もちろん、マンション内のネットワークに脆弱性があった場合の対応も含まれます。
一方で、マンションの管理会社は、インターネットの契約のみ行い、システムの導入や運用は外部の委託会社で行う場合が多いと考えられます。仮に、Aさんの部屋に置いてあるルータに脆弱性があった場合、誰かがその情報を把握して、その事実をAさんに伝え、Aさんから許可を取って脆弱性を修正する、ということを考えると、責任の所在や対応の主体が複雑化することがお分かりいただけるのではないでしょうか。
SSL-VPN製品の場合も同様で、日本の代理店が販売した海外メーカの製品をシステム会社が導入し、その後の運用と保守は別会社が行うことは一般的で、脆弱性の修正対応は明示的に契約内容に入っていないケースが多いということです。JPCERT/CCは、こうした商流上の関係により、脆弱性情報がユーザーに届かない、あるいは修正対応がサポートされていない現状があるとしています。
その他のトピック
「サプライチェーン攻撃をされにくい環境づくり」を実現する為には
(全文はこちら)