Wikipedia

サプライチェーン攻撃

サプライネットワーク内の安全性の低い要素を標的にして組織に損害を与えようとするサイバー攻撃

2025年10月8日 (水) 16:10; Family27390 (会話 | 投稿記録) による版 (Category:サプライチェーン管理を追加 (HotCat使用))(日時は個人設定で未設定ならUTC

(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)

サプライチェーン攻撃(サプライチェーンこうげき)とは、サプライチェーン内のセキュリティが手薄な要素を標的にして、組織に損害を与えようとするサイバー攻撃である[1]。サプライチェーン攻撃は、金融セクターや石油産業から政府部門まで、あらゆる産業で発生する可能性がある[2]。サプライチェーン攻撃は、ソフトウェアまたはハードウェアで発生する可能性がある[3]。サイバー犯罪者は通常、マルウェアやハードウェアベースのスパイコンポーネントをインストールすることにより、製品の製造または流通を改ざんする[4]シマンテックの2019年インターネットセキュリティ脅威レポートによると、サプライチェーン攻撃は2018年に78%増加した[5]

サプライチェーンネットワークの基本的な図。商品が原材料の段階から最終消費者に購入されるまでの移動の流れを示している。

概要

サプライチェーンとは、資源をベンダーから最終消費者の手に届けるために、商品の取り扱い、流通、製造、加工に関わる活動のシステムである。サプライチェーンは、需要と供給によって支配される相互接続されたプレーヤーの複雑なネットワークである[6]

サプライチェーン攻撃は、普遍的に合意された定義のない広義の用語であるが[7][8]、サイバーセキュリティの文脈では、サプライチェーンネットワークの下流にいるプレーヤーに害を及ぼす目的で、検出不可能なマルウェアをインストールするために電子機器(コンピュータ、ATM、電力システム、工場のデータネットワーク)を物理的に改ざんすることを含む[2][4][9]

また、この用語はソフトウェアサプライチェーンを悪用する攻撃を説明するためにも使われる。他のソフトウェアが使用する一見低レベルまたは重要でないソフトウェアコンポーネントを利用して、そのコンポーネントに依存するより大きなソフトウェアに悪意のあるコードを注入することができる[10]

より広義の意味では、サプライチェーン攻撃は必ずしも電子機器を伴うとは限らない。2010年に窃盗団が製薬大手イーライリリー・アンド・カンパニーの供給倉庫に屋根に穴を開けて侵入し、8000万ドル相当の処方薬をトラックに積み込んだ事件も、サプライチェーン攻撃に分類される[11][12]

この記事では、サイバーセキュリティに関係する物理的な供給ネットワークへのサイバー攻撃について論じるため、サプライチェーン攻撃はコンピュータ犯罪者が用いる手法として扱う[13]

攻撃の枠組み

情報システムに対するサプライチェーン攻撃は、一般に、持続的標的型攻撃(APT)[14]から始まる。APTは、標的組織に影響を与えるために、サプライチェーンの中で最もサイバーセキュリティが脆弱な部分を特定する[13]ハッカーは通常、米国政府のような大規模な組織を直接標的にするのではなく、その組織のソフトウェアを標的にする。サードパーティソフトウェアは保護が手薄なことが多く、より容易な標的となる[15]ベライゾン・エンタープライズが作成した調査によると、調査対象となったサイバーセキュリティインシデントの92%が中小企業で発生していた[16]。サプライチェーンネットワークは、複数の相互接続された要素からなるため、特に脆弱であると考えられている[15]

APTでは、製品を物理的に改ざんすることで、機密情報にアクセスする方法がとられることがよくある[17]。2008年10月、ヨーロッパの法執行当局はたクレジットカード詐欺集団を摘発した。この詐欺集団は、中国製のクレジットカードリーダーに追跡不可能なデバイスを挿入することで顧客の口座情報を盗み、銀行からの現金引き出しやインターネット購入を行い、推定1億ドルの損失をもたらした[18]

リスク

サプライチェーン攻撃の脅威は、現代の組織にとって重大なリスクをもたらす。攻撃は情報技術分野に限定されず、石油産業、大手小売業製造業など、複雑な供給ネットワークを持つほぼすべての産業に影響を及ぼす[2][9]

情報セキュリティフォーラムは、サプライチェーン攻撃から生じるリスクは供給業者との情報共有に起因すると説明している。「供給業者との情報共有はサプライチェーンが機能するために不可欠であるが、同時にリスクも生み出す。サプライチェーンで漏洩した情報は、組織内部から漏洩したものと同じくらい損害を与える可能性がある」と述べている[19]

National University of Computer and Emerging SciencesのMuhammad Ali Nasirは、前述のリスクをグローバル化と関連付け、「...グローバル化、分散化、サプライチェーンのアウトソーシングにより、関与するエンティティの数が増え、それらも世界中に散らばっているため、露出ポイントの数も増加した...サプライチェーンへのサイバー攻撃は、その波及効果のために一度に多くの関連エンティティに損害を与える最も破壊的な方法である」と述べている[20]

管理が不十分なサプライチェーン・マネジメントシステムは、サイバー攻撃の重大な危険となり、機密性の高い顧客情報の損失、製造プロセスの混乱、企業の評判の毀損につながる可能性がある[21]

事例

コンパイラ攻撃

WIRED』は、2019年5月3日、ソフトウェアサプライチェーン攻撃に関連する手口を報じた[22]。 これらは、海賊版サイトに投稿された、人気の海賊版コンパイラから拡散したと推測されている。つまり、AppleのXcodeやMicrosoft Visual Studioの改ざんされたバージョンである[23]。 (理論的には、コンパイラが信頼の基点である場合、交互コンパイラ[24]がコンパイラ攻撃を検出する可能性がある。)

ターゲット社への攻撃

 
2013年11月27日から12月15日にかけて、サプライチェーン攻撃により4,000万人の顧客の金融情報が漏洩したターゲットの実店舗の写真

2013年末、米国の小売業者であるターゲットは、小売業界史上最大級のデータ漏洩事件に見舞われた[25]

2013年11月27日から12月15日にかけて、ターゲットの米国内の実店舗でデータハッキングが発生した。1,800以上の店舗のPOSシステムマルウェアが仕掛けられ、約4,000万人の顧客のクレジットカードおよびデビットカードの情報が流出した[25]。ターゲットの顧客情報漏洩は、同社の利益に直接的な影響を与え、2013年第4四半期の利益は46%減少した[26]

この事件の6ヶ月前、同社は160万ドルのサイバーセキュリティシステムの導入を開始していた。ターゲットには、コンピュータを常時監視するためのセキュリティ専門家チームがいた。それにもかかわらず、サプライチェーン攻撃はこれらのセキュリティ対策を回避した[27]

サイバー犯罪者は、サードパーティのサプライヤーに侵入してターゲットの主要データネットワークにアクセスしたと考えられている[28]。公式には確認されていないが[29]、捜査当局は、2013年11月15日に、ハッカーが、ペンシルベニア州に拠点を置くHVACシステムのプロバイダーであるFazio Mechanical Servicesから盗んだパスコード認証情報を使用し、最初にターゲットのネットワークに侵入したと疑っている[30]

顧客から不注意と補償損害を理由に、ターゲットに対して90件の訴訟が提起された。第4四半期の投資家向け報告書によると、ターゲットはこの情報漏洩への対応に約6,100万ドルを費やした[31]

スタクスネット

→詳細は「スタクスネット」を参照
 
2010年上海万博のイラン館に展示されたブーシェフル原子力発電所の模型

スタクスネットは、米国とイスラエルの共同サイバー作戦で使用されたとされるワームである(両政府とも公式に関与を認めていない)。このワームは、特に工場の機械や核濃縮装置のような電気機械プロセスを自動化する産業用制御システムを標的とする。スタクスネットは、プログラマブルロジックコントローラ(PLC)を操作するように設計されており、不正なコマンドを発行して産業機器を混乱させると同時に、偽の操作データを監視システムに送り込んでその活動を隠蔽する[32][33]

スタクスネットは、イラン濃縮ウラン計画を妨害するために開発されたと広く信じられている。シマンテックのセキュリティレスポンス担当シニアディレクターであるケビン・ホーガンは、感染のほとんどがイランで発生したと述べた[34]。アナリストは、その主な標的はナタンズ核施設のウラン濃縮施設であったと示唆している[32]

スタクスネットは当初、感染したUSBフラッシュドライブを介してイランのナタンズ核施設に持ち込まれたため、標的ネットワークへの物理的なアクセスが必要であった。報告によると、エンジニアやメンテナンス作業員が、意図的かどうかにかかわらず、その施設への侵入を助長した。一度侵入すると、ワームは自律的に拡散し、Windowsシステムの複数のゼロデイ脆弱性を悪用して、シーメンスの産業用制御ソフトウェアを実行するネットワーク上のマシンに伝播した[32][35][36]

ATMマルウェア

近年、Suceful、Plotus、Tyupkin、GreenDispenserとして知られるマルウェアが、世界中、特にロシアウクライナ現金自動預け払い機(ATM)に影響を与えている[37]。GreenDispenserは特に、攻撃者が感染したATMシステムに近づき、その現金庫を取り外すことを可能にする。インストールされると、GreenDispenserはATMに「故障中」のメッセージを表示することがあるが、適切なアクセス認証情報を持つ攻撃者は、ATMの現金庫を空にし、追跡不可能な削除プロセスを使用してシステムからマルウェアを削除することができる[38]

他の種類のマルウェアも通常、同様の挙動を示し、マシンのメモリストレージから磁気ストライプデータを取得し、マシンに現金を引き出すよう指示する。この攻撃には、ATM技術者やマシンの鍵を持つなどの内部アクセス権を持つ人物が、マルウェアをATMに仕掛ける必要がある[39]

2014年3月に東ヨーロッパの銀行機関の50台以上のATMで活動していたTyupkinマルウェアは、当時、米国、インド、中国にも拡散したと考えられている。このマルウェアは、Microsoft Windows 32ビットオペレーティングシステムを実行する主要メーカーのATMに影響を与える。マルウェアは各マシンの利用可能な金額情報を表示し、攻撃者が各ATMの選択されたカセットから40枚の紙幣を引き出すことを可能にする[40]

NotPetya / M.E.Doc

2017年6月、セキュリティ研究者は、ウクライナで広く使用されている財務ソフトウェアM.E.Docが、NotPetya マルウェアの拡散の初期媒介として使用されていることを特定した。Microsoftを含むセキュリティ研究者たちは、NotPetyaの感染が、M.E.Docを通じて発行された侵害されたアップデートから始まった可能性を示唆した。一部のアナリストはこれをサプライチェーン攻撃と表現したが、侵害の正確な方法は明確に特定されていない。ソフトウェアの開発者はこの主張を否定したが、後に声明を削除し、捜査に協力していると述べた[41][42][43]

NotPetyaは当初、ハードディスクを暗号化し、ビットコインでの身代金要求を表示するため、ランサムウェアに分類された。しかし、復号キーを提供するために使用されたメールアカウントが閉鎖され、被害者はファイルを回復する手段を失った。WannaCryとは異なり、NotPetyaには組み込みのキルスイッチがなく、停止が困難であった。この攻撃はウクライナの複数の産業に影響を与え、銀行、空港、キエフの地下鉄、製薬会社、チェルノブイリ原子力発電所の放射線検出システムなどが被害を受けた。また、ロシア、イギリス、インド、米国などの組織にも世界的に拡散した[44]

NotPetyaは、もともとアメリカ国家安全保障局(NSA)によって開発され、後に流出した脆弱性であるEternalBlueを使用して拡散した。EternalBlueは、2017年5月のWannaCryサイバー攻撃で以前に使用されていた。このエクスプロイトにより、NotPetyaはWindowsのServer Message Block(SMB)プロトコルを介して拡散することができた。マルウェアはまた、PsExecとWindows Management Instrumentation(WMI)を使用してネットワーク内で拡散した。これらのエクスプロイトにより、ネットワーク上のデバイスが1台感染すると、マルウェアは接続されている他のシステムに急速に拡散することができた[44]

ウクライナ警察は、M.E.Docの従業員が過失で刑事責任を問われる可能性があると述べ、同社のサイバーセキュリティインフラのセキュリティ脆弱性について、ウイルス対策企業から繰り返し警告があったことを挙げた。ウクライナのサイバー警察の責任者であるセルヒー・デミデュク大佐は、M.E.Docが自社システムの弱点についてセキュリティ企業から繰り返し警告されていたにもかかわらず、行動を起こさなかったと主張し、「彼らはそれを知っていた」と述べた。当局は後に、M.E.Docが捜査に協力したと報告した[43]

ブリティッシュ・エアウェイズ

2018年8月21日から9月5日にかけて、ブリティッシュ・エアウェイズが攻撃を受けた。ブリティッシュ・エアウェイズのウェブサイトの支払いサイトに、顧客の支払いデータを収集するコードが含まれていた。注入されたコードは、クレジットカード情報をドメインbaways.comに転送するように書かれており、これはブリティッシュ・エアウェイズに属するものだと思われる可能性があった[45]

Magecartがこの攻撃の背後にいると考えられている。Magecartは、オンライン支払いプロセスを通じて顧客情報を盗むためにWebスキミングの手法を使用する複数のハッカーグループに付けられた名前である[46]。この攻撃の結果、約38万人の顧客の個人情報と金融データが漏洩した。ブリティッシュ・エアウェイズは後に、2018年10月に、さらに18万5千人の顧客の個人情報も盗まれた可能性があると報告した[47]

SolarWinds

2020年、情報技術インフラ企業であるSolarWindsはサプライチェーン攻撃を受けた。同社は、複数の米国連邦機関が使用するソフトウェアを提供していた[48][49]。これにはアメリカ合衆国国家核安全保障局(NNSA)内のネットワークも含まれる[50][51]。ロシアのハッカーが、SolarWindsが開発したネットワーク管理ソフトウェアであるOrionを侵害し、ソフトウェアのアップデートに悪意のあるコードを注入した。これにより、ITの監視と管理にOrionを利用していた複数の米国政府機関を含む多数の組織への不正アクセスが可能になった[52]

2020年12月13日、アメリカ合衆国国土安全保障省は緊急指令21-01「SolarWinds Orionコード侵害の緩和」を発令し、影響を受けた連邦機関に対し、侵害されたWindowsホストOSインスタンスをエンタープライズドメインから切断し、信頼できるソースを使用してそれらのホストを再構築するよう要求した[53]

2020年12月、FireEyeは、SolarWinds Orionソフトウェアに関わるサイバー侵害を特定した。このソフトウェアは発見前に侵害されていた。Microsoftも影響を受けた組織の1つであり、侵害に関連する悪意のあるファイルを検出し、削除した[54][55]。Microsoftはその後、この事件に関する進行中の調査の一環としてFireEyeと協力している。このサイバー攻撃は、北米、ヨーロッパ、アジア、中東の政府、コンサルティング、テクノロジー、通信、採掘セクターなど、さまざまな業界で使用されているサプライチェーンソフトウェアを標的としていた[55]

2021年1月5日、連邦捜査局(FBI)、サイバーセキュリティ・社会基盤安全保障庁(CISA)、国家情報長官室(ODNI)、およびアメリカ国家安全保障局(NSA)の共同声明によると、SolarWindsの侵害によって約18,000の公共および民間セクターの組織が影響を受けたものの、侵害が確認された米国政府機関は10未満であった[56]

Microsoft Exchange Server

2021年2月、マイクロソフトは、攻撃者が以下の3つのサブセットファイルをダウンロードしたと報告した[57]

  • 「Azureコンポーネントの小さなサブセット」
  • 「Intuneコンポーネントの小さなサブセット」
  • 「Exchangeコンポーネントの小さなサブセット」

これらのマイクロソフトのリポジトリには、本番環境の認証情報は含まれていなかった[57]。リポジトリは12月に保護され、これらの攻撃は1月に停止した[57]。しかし、2021年3月には、Exchange Serverの欠陥を介してインストールされたバックドアを通じて、2万以上の米国組織が侵害された[58]。影響を受けた組織は、信用組合、町役場、中小企業など、自己ホスト型(クラウドベースではなくオンプレミス)の電子メールを使用していた。欠陥は2021年3月2日に修正されたが、2021年3月5日までに、侵害された組織のわずか10%しかパッチを適用しておらず、バックドアは開いたままであった[59]。米国当局は、2020年12月に影響を受けた組織よりも小規模な、影響を受けた組織に通知しようと試みている[60]

マイクロソフトは、Indicators of Compromise(侵害の痕跡)ツールを更新し、Exchange Serverの欠陥に対する緊急緩和策をリリースした[61]。SolarWindsとマイクロソフトのソフトウェアへの攻撃は、2021年3月現在、独立したものと考えられている[61]。Indicators of Compromiseツールにより、顧客はExchange Serverのログファイルをスキャンして侵害を確認できる[61][62][63]。少なくとも10の攻撃グループがExchange Serverの欠陥を利用している[64][65][1]。Webシェルはパッチが適用されたサーバー上に残ることがあり、これにより、影響を受けたサーバーに基づくサイバー攻撃が依然として可能である[66]。Check Point Researchによると、2021年3月12日現在、エクスプロイトの試みは数時間ごとに倍増しており[67]、一部はセキュリティ研究者自身の名前で行われている[68]

2021年4月14日までに、FBIは影響を受けたサーバーからWebシェルを削除するための秘密のサイバー作戦を完了し、サーバーの所有者に何が行われたかを通知していた[69]

2021年5月、マイクロソフトは、同社が「Nobelium」と名付けたグループによって開始された、24カ国の150の組織に対する3000通の悪意のある電子メールを特定した。これらの電子メールの多くは配信前にブロックされた。「Nobelium」は、「米国国際開発庁(USAID)が使用するConstant Contactの電子メールマーケティングアカウント」へのアクセス権を取得した。セキュリティ研究者は、「Nobelium」が疑うことを知らないユーザーによってクリックされるスピアフィッシングメールを作成し、リンクは悪意のある「Nobelium」コードのインストールを指示してユーザーのシステムに感染させ、ランサムウェア、スパイ活動、偽情報などの対象にすると主張している[70]。米国政府は、「Nobelium」がロシアの連邦保安庁に由来すると特定している[71]。2021年7月までに、米国政府はExchange Server攻撃の首謀者を特定することが期待されている[72]:「中国の国家安全部が犯罪契約ハッカーを利用している」[73][74]

2021年9月、証券取引委員会(SEC)の執行職員は、侵害されたSolarWindsのアップデートをダウンロードした企業に対し、侵害されたアップデートをサーバーにインストールした場合は、自発的にSECにデータを提出するよう要請した[75]

2022年7月、IIS(Exchange Serverにデフォルトでインストールされている)によってホストされる悪意のあるモジュールであるSessionManagerが、2021年3月からExchange Serverに感染していることが発見された。SessionManagerはメモリを検索してパスワードを探し、新しいモジュールをダウンロードしてサーバーを乗っ取る[76]

Golden SAML

セキュリティ企業のMandiantは、国家が支援するグループが、一度企業のクラウドにアクセスすると、SAMLを悪用して、Active Directoryや類似のサービスへのフェデレーション認証を意のままに取得できることを示した[77]。攻撃者がアクセス権を取得すると、組織に属するあらゆる情報や資産に侵入することができる。これは、この技術によって攻撃者が標的組織の任意のメンバーになりすますことができるためである[78]。企業や機関が資産をクラウドサービスに移行し続けるにつれて、これらの攻撃は悪意のある攻撃者にとってますます魅力的になっている[79]

2020年、SolarWindsは、初めて文書化されたGolden SAML攻撃とされる、しばしば「Solorigate」と呼ばれる攻撃の対象となった。悪意のある攻撃者が、ソフトウェアアップデートのソースコードに、正当に見せかけたバックドアコードを感染させた[80]。顧客は欠陥のあるアップデートをシステムにインストールし始め、最終的に世界中で18,000人以上に影響を与えた[78]。この攻撃は、米国の多数の政府機関や民間セクターの機関にも影響を及ぼした[79]

コロニアル・パイプライン

2021年5月、コロニアル・パイプラインへのランサムウェア攻撃により、主要な燃料供給ネットワークが一時的に停止し、米国東海岸へのガソリン、ディーゼル、ジェット燃料の供給が混乱した。バイデン政権は不足を防ぐために緊急権限を発動し、専門家はこの事件を米国インフラに対する史上最悪のサイバー攻撃と評した。ロシア関連のサイバー犯罪グループDarkSideによるこの攻撃は、重要なエネルギーシステムの脆弱性に対する懸念を高め、燃料トレーダーが代替の供給ルートを探し、価格高騰の懸念が浮上した[81]

2021年6月16日、バイデン大統領はプーチン大統領に対し、16の重要インフラセクターへのサイバー攻撃は禁止であり、米国は将来のサイバー脅威に対応すると述べた[82]。米国のサイバーセキュリティ・社会基盤安全保障庁(CISA)が指定する16の重要インフラセクターには、エネルギー、食料・農業、緊急サービス、医療、その他金融サービス、通信、輸送システムなどの基幹産業が含まれる[83]

3CX攻撃

2023年3月、音声・ビデオチャットアプリ3CX Phone Systemが、ソフトウェア上の悪意のある活動の検出により、サプライチェーン攻撃の対象になったと考えられた。このアプリは食品から自動車まで幅広い業界で使用されており、攻撃は世界中の何十万人ものユーザーに影響を与える可能性がある[84]。マルウェアはインストールプロセスを通じてホストデバイスに感染し、macOSMicrosoftの両方のインストーラーを通じて拡散するトロイの木馬ウイルスとして機能する。彼らは、脅威アクターが制御するC2サーバーに接続する悪意のあるペイロードを介してインフォスティーラーを使用した[85]

この攻撃は、ロシアのサイバーセキュリティ企業カスペルスキーが2020年に発見したGopuramバックドアを利用した。このバックドアの使用は、北朝鮮のサイバー犯罪グループであるラザルスグループが、2020年に南アジアの暗号通貨企業に対して同じバックドアを使用したことから、この攻撃がラザルスによって実行されたことを示唆していた[85]。Gopuramバックドアは、ラザルスが標的とすることが知られている暗号通貨機関に対する過去の他の攻撃でも利用されている[84]

アメリカ合衆国国務省攻撃

2023年7月、中国の国家支援ハッカーがアメリカ合衆国国務省を標的にし、複数の政府職員のMicrosoftメールアカウントをハッキングし、機密情報へのアクセスを可能にした。彼らは、複数の国務省職員の約6万通のメールから情報を盗んだ[86]。国務省当局者は、盗まれた情報には「被害者の旅行日程や外交審議」が含まれていると述べている[87]。悪意のある方法で使用された場合、この情報は重要な政府高官を監視し、機密であるべき米国の通信を追跡するために使用される可能性がある。国務省のハッキングはMicrosoft Exchange Serverの脆弱性により発生し、サプライチェーン攻撃として分類されている[86]

XZ Utilsバックドア

2024年3月、XZ Utilsのxz/liblzmaにバックドアが疑われ[88]、バージョン5.6.0と5.6.1に悪意のあるコードが含まれていることが知られている。このエクスプロイトは、SSHサーバーの特定のサードパーティパッチが使用されない限り休眠状態のままであるが、特定の状況下では、この干渉により悪意のある攻撃者がsshdの認証プロトコルを破り、システム全体への不正なリモートアクセスを可能にする可能性がある[89]

影響を受けるLinuxディストリビューションのリストには、Debian不安定版[90]、Fedora Rawhide[91]Kali Linux[92]、openSUSE Tumbleweedが含まれる[93]。安定版リリースの更新モデルに従うほとんどのLinuxディストリビューションは、古いバージョンのxzを搭載していたため影響を受けなかった[94]Arch Linuxはユーザーに即時更新を促す勧告を発行したが、ArchのOpenSSHパッケージにはバックドアに必要な一般的なサードパーティパッチが含まれていないことも指摘した[95]FreeBSDは、サポートされているすべてのFreeBSDリリースが影響を受けるリリースよりも古いバージョンのxzを含んでおり、攻撃がLinuxのglibcを標的としているため、この攻撃の影響を受けない[96]

EthereumスマートコントラクトとNPMライブラリのタイポスクワッティング攻撃

2024年10月31日、Phylum、Socket、Checkmarxなどの複数のセキュリティ企業の研究者が、オープンソースのNode Package Manager(NPM)ライブラリのユーザーに対する攻撃を検出した。未確認の攻撃者が、プラットフォームのユーザーを騙して悪意のあるコードをダウンロードさせる目的で287以上のパッケージを公開した[97]。この攻撃はタイポスクワッティングと呼ばれる手法を使用しており、正当なパッケージの名前を酷似させてコピーし、開発者を騙してダウンロードさせる。パッケージ「Fetch-mock-jest」の場合、攻撃者は単語の順序を並べ替え、「fetch」という単語をスペルミスして「jest-fet-mock」という名前を作成した。模倣されたパッケージの種類に基づき、研究者はこの攻撃がNPMを使用するソフトウェア開発者を広く標的としていると考えている。標的とされたパッケージは主にHTTPリクエストのモックや暗号通貨関連のもので、Puppeteer、Bignum.js、Fetch-mock-jestなどが含まれており、これらは主に開発環境で使用される[98]

Phylumの研究者は、これらのタイポスクワットされたパッケージは一見すると正常に見えるが、詳しく調べると、理解できない難読化されたコードが含まれていることを指摘した。コードを逆難読化した後、研究者は、悪意のあるパッケージが誤ってダウンロードされると、自動的にEthereumスマートコントラクトと対話して攻撃者が使用するコマンド&コントロールサーバー(C2)のIPアドレスを取得するスクリプトを実行することを発見した。スクリプトは次に、被害者のマシンのオペレーティングシステムを特定し、コントラクトから受け取ったIPアドレスから互換性のあるマルウェアをダウンロードする。このマルウェアは、攻撃者のC2サーバーとの持続的な通信を維持し、オペレーティングシステムのバージョン、GPU、CPU、マシンのメモリ量、ユーザー名などのユーザーのシステム情報を定期的に漏洩させる[97]

Checkmarxの研究者Yahud Gelbは、研究者が特定のIPアドレスにあるC2サーバーを停止させようとしても、攻撃者はEthereumコントラクトを更新して異なるアドレスを返すようにすることができると説明している。彼はコントラクトのメカニズムについて、「Ethereumブロックチェーン上のスマートコントラクトは公共の掲示板のようなものだと考えてください。誰でも投稿されたものを読むことができますが、更新できるのは所有者だけです」と書いている。これにより、マルウェアは常にスマートコントラクトを照会して、現在のC2サーバーのアドレスが当局によって停止された場合に備えて、保存されているアドレスを更新できるため、問題は複雑になる。

研究者たちは、攻撃者がタイポスクワッティングを行うことで、いくつかの企業のソフトウェア開発サプライチェーンが危険にさらされる可能性があると懸念している。彼らは、攻撃の追跡不可能な性質と、その正確に設計された持続性の手法が、迫りくる脅威をさらに増大させると詳述している。さらに、企業の従業員は通常、開発環境を使用する際に高いシステム権限とCI/CDパイプラインへのアクセス権を持っているため、企業とその顧客のデータがさらに危険にさらされる。彼らは、上記のようなnpmパッケージをソフトウェア開発ライフサイクルのどの段階でも使用する開発者は、インストールを実行する前に注意を払い、堅牢な依存関係スキャンを実装する必要があると警告した[99]

攻撃者の身元や動機に関する情報はほとんどない。しかし、研究者は悪意のあるパッケージの逆難読化されたコード内にロシア語で書かれたエラーメッセージを発見したが、これは本当の犯人が疑惑をそらすために仕組んだ陽動である可能性があると推測している[99]。Phylum、Checkmarx、Socketの研究者たちは、サプライチェーン攻撃が絶えず進化している性質と、脅威アクターが自らの制御下にあるサーバーの検出を回避するために創造的な方法を継続的に考え出さなければならない状況に注意を喚起し、プロジェクトの開発段階でダウンロードされる依存関係を再確認することの重要性を強調した。

予防

2021年5月12日、大統領令14028号(EO)「国家のサイバーセキュリティの改善」は、NISTおよび他の米国政府機関に対し、米国のサイバーセキュリティを強化する任務を課した[100]。2021年7月11日(EOタイムラインの60日目)、NISTはサイバーセキュリティ・社会基盤安全保障庁(CISA)および行政管理予算局(OMB)と協議の上、「4i」:重要ソフトウェアのユーザー向けガイダンス、および「4r」:ソフトウェアサプライチェーンのセキュリティと完全性に関する最低限のベンダーテスト要件を提出した[100]

  • 30日目:意見公募[101]
  • 45日目:「重要ソフトウェア」の定義
  • 60日目:EOタスク4i, 4r:ユーザーガイダンス、およびベンダーテスト[100]
  • 180日目:EOタスク4c:サプライチェーンソフトウェアセキュリティ強化のためのガイドライン
  • 270日目:EOタスク4e, 4s, 4t, 4u:サプライチェーンソフトウェア強化のためのガイドライン
  • 360日目:EOタスク4d:サプライチェーンソフトウェアのレビューおよび更新手順に関するガイドライン
  • 365日目:EOタスク4w:パイロットの要約サポート

政府

ブッシュ政権およびオバマ政権によってそれぞれ可決された包括的国家サイバーセキュリティイニシアティブおよびサイバースペース政策レビューは、グローバルなサプライチェーンリスク管理のための多角的なアプローチの開発に米国の連邦資金を投入するよう指示している[102][103]。Technology Innovation Management Reviewのエイドリアン・デイビスによると、組織をサプライチェーン攻撃から守ることは、サイバーレジリエントなシステムを構築することから始まる[104]。サプライチェーン・レジリエンスは、サプライチェーンリスク管理の専門家であるドナル・ウォルターズによれば、「サプライチェーンが予期せぬ混乱に対処する能力」であり、その特徴の1つは、サプライチェーンが最も侵入を受けやすい場所を企業全体で認識することである。サプライチェーン管理は、効果的なサプライチェーン・レジリエンスを構築する上で重要な役割を果たす[105]

2015年3月、保守党と自由民主党の連立政権下で、英国ビジネス省は中小企業をサイバー攻撃から保護するための新たな取り組みを発表し、これにはサプライチェーンのレジリエンスを向上させるための措置も含まれていた[106]

英国政府は、企業のサプライチェーンと全体的なサイバーセキュリティを保護するための良い慣行を訓練するサイバーエッセンシャルスキームを作成した[107][108]

金融機関

米国のポストトレード企業であるDepository Trust & Clearing Corporationグループは、その業務において、サプライチェーン全体を通じた脆弱性管理のガバナンスを導入し、開発ライフサイクル全体にわたるITセキュリティに注目している。これには、ソフトウェアがコーディングされ、ハードウェアが製造された場所も含まれる[109]

2014年のPwCの報告書「Threat Smart: Building a Cyber Resilient Financial Institution」では、金融サービス企業がサイバー攻撃を軽減するために以下のアプローチを推奨している。

金融機関の収益、評判、ブランド、知的財産への潜在的な損害を避けるために、経営陣はサイバーリスクの所有権を持つ必要がある。具体的には、機関がサイバーリスクに対してどのように防御し対応するか、そして組織をサイバーレジリエントにするために何が必要かを理解するために、事前に協力する必要がある。[110]

サイバーセキュリティ企業

FireEyeは、持続的標的型攻撃やスピアフィッシングなどの高度なサイバー脅威に対する自動脅威フォレンジックと動的マルウェア保護を提供する米国のネットワークセキュリティ企業であり[111]、企業がサプライチェーンにレジリエンスを構築するために特定の原則を導入することを推奨している。これには以下が含まれる[112]

  • 小規模なサプライヤー基盤: これにより、企業はサプライヤーをより厳密に管理できる。
  • 厳格なベンダー管理: 承認されたプロトコルのリストを遵守するために、サプライヤーに厳格な管理を課す。また、サプライヤーの拠点で時折サイト監査を実施し、担当者がビジネス目的で定期的にサイトを訪問することで、より大きな管理が可能になる。
  • 設計に組み込まれたセキュリティ: チェックディジットなどのセキュリティ機能をソフトウェアに設計し、コードへの以前の不正アクセスを検出できるようにする。コードを機能的に強化し、セキュリティを強化するための反復的なテストプロセスが良いアプローチである[113]

2015年4月27日、カスペルスキーのGReATに所属するシニアセキュリティリサーチャーであるセルゲイ・ロジキンは、サイバーセキュリティに関する会議で、標的型攻撃やサイバースパイ活動キャンペーンからのリスク管理の重要性について次のように述べた。

高度な脅威に対する緩和戦略には、セキュリティポリシーと教育、ネットワークセキュリティ、包括的なシステム管理、そして...ソフトウェアパッチ機能、アプリケーション制御、ホワイトリスト、デフォルト拒否モードなどの専門的なセキュリティソリューションが含まれるべきである。[114]

脚注

[脚注の使い方]

出典

  1. ^ a b Supply chain attacks show why you should be wary of third-party providers”. CSO Online. 2025年10月7日閲覧。
  2. ^ a b c Next Generation Cyber Attacks Target Oil And Gas SCADA | Pipeline & Gas Journal”. www.pipelineandgasjournal.com. 2025年10月7日時点のオリジナルよりアーカイブ。2015年10月27日閲覧。
  3. ^ Supply chain attacks” (英語). docs.microsoft.com. 2025年10月7日閲覧。
  4. ^ a b New malware hits ATM and electronic ticketing machines”. SC Magazine UK (2014年11月28日). 2015年10月29日閲覧。
  5. ^ 2019 Internet Security Threat Report Executive Summary”. Broadcom. 2021年11月23日閲覧。
  6. ^ Supply Chain Definition | Investopedia” (英語). Investopedia. 2015年11月4日閲覧。
  7. ^ Supply chain, cyber security and geo-political issues pose the greatest risks, as risk goes up in importance and profile say risk managers at sword active risk conference. (28 July 2015). M2 Presswire Retrieved on 2015-11-4
  8. ^ Napolitano, J. (6 January 2011). How to secure the global supply chain. Wall Street Journal Retrieved on 2015-11-4
  9. ^ a b Kuchler, Hannah (2014年5月28日). “Cyber attackers 'target healthcare and pharma companies'”. Financial Times. ISSN 0307-1766. http://www.ft.com/intl/cms/s/0/a6b09006-e5c9-11e3-aeef-00144feabdc0.html#axzz3pldWoE8O 2015年10月27日閲覧。 
  10. ^ Goodin, Dan (2024年6月24日). “Backdoor slipped into multiple WordPress plugins in ongoing supply-chain attack” (英語). Ars Technica. 2024年6月25日閲覧。
  11. ^ Drug theft goes big”. Fortune. 2015年11月4日閲覧。
  12. ^ Solving the Eli Lilly Drug Theft”. www.securitymagazine.com. 2015年11月4日閲覧。
  13. ^ a b CERT-UK (2015年). “Cyber-security risks in the supply chain”. オリジナルの2015年2月18日時点におけるアーカイブ。. https://web.archive.org/web/20150218220339/https://www.cert.gov.uk/wp-content/uploads/2015/02/Cyber-security-risks-in-the-supply-chain.pdf 2015年10月27日閲覧。 
  14. ^ BRAD D. WILLIAMS (July 01, 2021) US-UK Warn Of New Worldwide Russian Cyberespionage”. 2025年10月7日閲覧。 “Context for some threat naming schemas: APT, GRU, Fancy bear, SVR, etc.”
  15. ^ a b (英語) Software Supply Chain Attacks, a Threat to Global Cybersecurity: SolarWinds' Case Study. doi:10.18280/ijsse.110505. https://www.iieta.org/journals/ijsse/paper/10.18280/ijsse.110505 2024年12月2日閲覧。. 
  16. ^ 2014 Data Breach Investigations Report”. Verizon Enterprise (2014年). 2015年10月27日閲覧。
  17. ^ Modine, Austin (2008年10月10日). “Organized crime tampers with European card swipe devices”. The Register. 2015年10月27日閲覧。
  18. ^ Gorman, Siobhan. “Fraud Ring Funnels Data From Cards to Pakistan”. Wall Street Journal. ISSN 0099-9660. https://www.wsj.com/articles/SB122366999999723871 2015年10月27日閲覧。 
  19. ^ Security Form”. 2025年10月7日閲覧。
  20. ^ Nasir, Muhammad Ali (June 2015). “Potential cyber-attacks against global oil supply chain”. 2015 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA). pp. 1–7. doi:10.1109/CyberSA.2015.7166137. ISBN 978-0-9932-3380-7. S2CID 18999955.
  21. ^ Urciuoli, Luca (Apr 2015). “Cyber-Resilience: A Strategic Approach for Supply Chain Management”. Talent First Network. ProQuest 1676101578. 
  22. ^ Greenberg, Andy (2019-05-03). “A Mysterious Hacker Group Is On a Supply Chain Hijacking Spree”. Wired. ISSN 1059-1028. https://www.wired.com/story/barium-supply-chain-hackers/ 2019年7月16日閲覧。. 
  23. ^ Cox, Joseph (2015-09-18). “Hack Brief: Malware Sneaks Into the Chinese iOS App Store”. Wired. ISSN 1059-1028. https://www.wired.com/2015/09/hack-brief-malware-sneaks-chinese-ios-app-store/ 2019年7月16日閲覧。. 
  24. ^ Fully Countering Trusting Trust through Diverse Double-Compiling”. dwheeler.com. 2019年7月16日閲覧。
  25. ^ a b Target data breach: Why UK business needs to pay attention”. ComputerWeekly. 2015年10月27日閲覧。
  26. ^ Harris, Elizabeth A. (2014年2月26日). “Data Breach Hurts Profit at Target”. The New York Times. ISSN 0362-4331. https://www.nytimes.com/2014/02/27/business/target-reports-on-fourth-quarter-earnings.html 2015年10月27日閲覧。 
  27. ^ “Missed Alarms and 40 Million Stolen Credit Card Numbers: How Target Blew It”. Bloomberg.com. (2014年3月17日). https://www.bloomberg.com/bw/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data 2015年10月30日閲覧。 
  28. ^ Kuchler, Hannah (2014年10月20日). “Hackers find suppliers are an easy way to target companies”. Financial Times. ISSN 0307-1766. http://www.ft.com/intl/cms/s/0/b4807a14-5097-11e4-8645-00144feab7de.html#axzz3pldWoE8O 2015年10月27日閲覧。 
  29. ^ Archived copy”. 2015年11月6日時点のオリジナルよりアーカイブ。2015年10月27日閲覧。
  30. ^ Target Hackers Broke in Via HVAC Company — Krebs on Security”. krebsonsecurity.com (2014年2月9日). 2015年10月27日閲覧。
  31. ^ Target Offers $10 Million Settlement In Data Breach Lawsuit”. NPR.org (2015年3月19日). 2015年10月30日閲覧。
  32. ^ a b c Confirmed: US and Israel created Stuxnet, lost control of it”. Ars Technica (2012年6月). 2015年10月27日閲覧。
  33. ^ Gross, Michael Joseph (April 2011). “A Declaration of Cyber-War”. Vanity Fair. https://archive.vanityfair.com/article/2011/4/a-declaration-of-cyber-war 2025年2月26日閲覧。. 
  34. ^ Iran was prime target of SCADA worm”. Computerworld (2010年7月23日). 2010年7月27日時点のオリジナルよりアーカイブ。2015年10月27日閲覧。
  35. ^ Stuxnet Malware Mitigation (Update B)”. Cybersecurity & Infrastructure Security Agency (CISA) (2014年1月8日). 2025年2月27日閲覧。
  36. ^ The real story of Stuxnet”. IEEE Spectrum (2024年5月24日). 2025年2月27日閲覧。
  37. ^ Tyupkin Virus (Malware) | ATM Machine Security | Virus Definition”. www.kaspersky.com. 2015年11月4日閲覧。
  38. ^ Meet GreenDispenser: A New Breed of ATM Malware | Proofpoint”. www.proofpoint.com (2015年9月22日). 2015年10月30日閲覧。
  39. ^ “New ATM Malware Captures PINs and Cash — Updated”. WIRED. https://www.wired.com/2009/06/new-atm-malware-captures-pins-and-cash/ 2015年10月30日閲覧。. 
  40. ^ Tyupkin: manipulating ATM machines with malware - Securelist”. securelist.com (2014年10月7日). 2020年5月19日閲覧。
  41. ^ Tax software blamed for cyber-attack spread”. BBC (2017年6月28日). 2025年2月27日閲覧。
  42. ^ Polityuk, Jack Stubbs (2017年7月3日). “Family firm in Ukraine says it was not responsible for cyber attack”. https://www.reuters.com/article/us-cyber-attack-ukraine-software-idUSKBN19O2DK 2019年6月1日閲覧。 
  43. ^ a b “Ukrainian software company will face charges over cyber attack, police suggest” (英語). ABC News. (2017年7月3日). https://www.abc.net.au/news/2017-07-03/cyber-attack-charge-ukarine/8675006 2023年5月2日閲覧。 
  44. ^ a b Brewster, Thomas. “Petya Or NotPetya: Why The Latest Ransomware Is Deadlier Than WannaCry” (英語). Forbes. 2023年5月2日閲覧。
  45. ^ Customer data theft”. britishairways.com. 2019年6月1日閲覧。
  46. ^ What Is Magecart | Attack Examples & Prevention Techniques | Imperva” (英語). Learning Center. 2023年5月2日閲覧。
  47. ^ Securonix Threat Research: BRITISH AIRWAYS BREACH: MAGECART FORMGRABBING SUPPLY CHAIN ATTACK DETECTION”. Securonix.com (2018年11月6日). 2023年5月2日閲覧。
  48. ^ Christina Zhao (14 December 2020). “Solar Winds, Probably Hacked by Russia, Serves White House, Pentagon, NASA”. Newsweek. https://www.newsweek.com/solar-winds-probably-hacked-russia-serves-white-house-pentagon-nasa-1554447 2020年12月14日閲覧。. 
  49. ^ Sanger, David E.; Perlroth, Nicole; Schmitt, Eric (2020年12月15日). “Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit”. The New York Times. https://www.nytimes.com/2020/12/14/us/politics/russia-hack-nsa-homeland-security-pentagon.html 
  50. ^ Russian cyber attack against US: Worst may be yet to come, experts fear, as Trump remains mum”. USA Today (2020年12月18日). 2025年10月7日閲覧。
  51. ^ Nuclear weapons agency breached amid massive cyber onslaught”. Politico (2020年12月17日). 2025年3月2日閲覧。
  52. ^ Alkhadra, Rahaf; Abuzaid, Joud; AlShammari, Mariam; Mohammad, Nazeeruddin (2021-07-06). “Solar Winds Hack: In-Depth Analysis and Countermeasures”. 2021 12th International Conference on Computing Communication and Networking Technologies (ICCCNT). IEEE. pp. 1–7. doi:10.1109/ICCCNT51525.2021.9579611. ISBN 978-1-7281-8595-8 
  53. ^ Emergency Directives - ED 21-01: Mitigate SolarWinds Orion Code Compromise”. CISA (2020年12月13日). 2025年3月2日閲覧。
  54. ^ Microsoft says hackers were able to see some of its source code”. The Verge (2020年12月31日). 2025年3月2日閲覧。
  55. ^ a b Microsoft identifies more than 40 organizations targeted in massive cyber breach”. CNN (2020年12月17日). 2025年3月2日閲覧。
  56. ^ Joint Statement by the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the Director of National Intelligence (ODNI), and the National Security Agency (NSA) | CISA” (英語). www.cisa.gov (2021年1月5日). 2024年12月2日閲覧。
  57. ^ a b c Goodin, Dan (2021年2月19日). “Microsoft says SolarWinds hackers stole source code for 3 products”. Ars Technica. 2025年10月7日閲覧。
  58. ^ China’s and Russia’s spying sprees will take years to unpack”. Ars Technica (2021年3月6日). 2025年10月7日閲覧。
  59. ^ The_Exchange_Team Microsoft (8 March 2021) March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server”. 2025年10月7日閲覧。 “3/10/2021 released updates for E2019 CU3. E2016 CU12, 13 and 17. E2013 CU21 and 22. 3/8/2021 released updates for E2019 CU4, 5, and 6. E2016 CU14, 15, and 16.”
  60. ^ Joseph Menn, Raphael Satter, Trevor Hunnicutt (5 Mar 2021) More than 20,000 U.S. organizations compromised through Microsoft flaw”. 2025年10月7日閲覧。
  61. ^ a b c Williams, Brad D. (2021年3月6日). “Microsoft Pushes Urgent Fixes Overnight As Threat Actors Compromise Exchange Servers Worldwide”. Breaking Defense. 2025年10月7日閲覧。
  62. ^ Newman, Lily Hay. “It’s Open Season for Microsoft Exchange Server Hacks”. 2025年10月7日閲覧。
  63. ^ (9 March 2021) I can't believe I have to say this (again) ...”. 2025年10月7日閲覧。
  64. ^ Foundation, Thomson Reuters. “At least 10 hacking groups using Microsoft software flaw -researchers”. 2025年10月7日閲覧。
  65. ^ Allana Akhar (12 Mar 2021) Google accused Microsoft of unfairly attacking the tech giant to distract from the massive Exchange hack”. 2025年10月7日閲覧。 “Rival distractions”
  66. ^ Goodin, Dan (2021年3月23日). “Ransomware operators are piling on already hacked Exchange servers”. Ars Technica. 2025年10月7日閲覧。
  67. ^ Microsoft Exchange Server hacks ‘doubling’ every two hours”. ZDNET. 2025年10月7日閲覧。
  68. ^ Shadowserver (28 Mar 2021) Attackers Breach 21,000 Microsoft Exchange Servers, Install Malware Implicating Brian Krebs (krebsonsecurity.com)”. 2025年10月7日閲覧。 “malicious code spoofing Krebs”
  69. ^ Williams, Brad D. (2021年4月14日). “Revealed: Secret FBI Cyber Op To Clean Exchange Servers”. Breaking Defense. 2025年10月7日閲覧。
  70. ^ The SolarWinds hackers aren’t back—they never went away”. Ars Technica (2021年5月30日). 2025年10月7日閲覧。
  71. ^ Goodin, Dan (2021年6月26日). “SolarWinds hackers breach new victims, including a Microsoft support agent”. Ars Technica. 2025年10月7日閲覧。
  72. ^ Williams, Brad D. (2021年7月2日). “China Likely Outed Soon For Exchange Hacks”. Breaking Defense. 2025年10月7日閲覧。
  73. ^ Microsoft Exchange hack caused by China, US and allies say”. AP News (2021年7月19日). 2025年10月7日閲覧。
  74. ^ Williams, Brad D. (2021年7月22日). “US Playing Long Game To Pressure China On Cyber Ops: Experts”. Breaking Defense. 2025年10月7日閲覧。
  75. ^ Christopher Bing and Chris Prentice, Joseph Menn (10 Sep 2021) Wide-Ranging SolarWinds Probe Sparks Fear in Corporate America (Reuters.com)”. 2025年10月7日閲覧。
  76. ^ Dan Goodin (30 Jun 2022) Microsoft Exchange servers worldwide hit by stealthy new backdoor”. 2025年10月7日閲覧。
  77. ^ Golden SAML: Newly Discovered Attack Technique Forges Authentication to Cloud Apps” (英語). www.cyberark.com. 2025年10月7日閲覧。
  78. ^ a b Golden SAML Revisited: The Solorigate Connection” (英語). www.cyberark.com. 2023年5月2日閲覧。
  79. ^ a b Detection And Hunting Of Golden SAML Attack” (英語). blog.sygnia.co (2021年7月21日). 2023年5月2日閲覧。
  80. ^ Goud, Naveen (2021年1月7日). “What is Solorigate” (英語). Cybersecurity Insiders. 2023年5月2日閲覧。
  81. ^ US invokes emergency powers after cyber-attack on fuel pipeline”. The Guardian (2021年5月10日). 2025年2月28日閲覧。
  82. ^ Massive Ransomware Attack May Impact Thousands of Victims”. Yahoo Finance (Bloomberg) (2021年7月3日). 2025年2月28日閲覧。
  83. ^ Critical Infrastructure Sectors”. U.S. Cybersecurity and Infrastructure Security Agency (CISA). 2025年2月28日閲覧。
  84. ^ a b Paganini, Pierluigi (2023年4月4日). “3CX Supply chain attack allowed targeting cryptocurrency companies” (英語). Security Affairs. 2023年5月2日閲覧。
  85. ^ a b Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack”. securelist.com (2023年4月3日). 2023年5月2日閲覧。
  86. ^ a b Lyngaas, Sean (2023年9月28日). “Chinese hackers stole 60,000 emails from senior State Department officials in May | CNN Politics” (英語). CNN. 2024年12月2日閲覧。
  87. ^ Chinese hackers nab 60,000 emails in State Department breach” (英語). POLITICO (2023年9月27日). 2024年12月2日閲覧。
  88. ^ Freund, Andres (2024年3月29日). “backdoor in upstream xz/liblzma leading to ssh server compromise”. oss-security mailing list. 2025年10月7日閲覧。
  89. ^ Urgent security alert for Fedora 41 and Rawhide users” (英語). www.redhat.com. 2024年3月29日閲覧。
  90. ^ CVE-2024-3094”. security-tracker.debian.org. 2024年3月30日閲覧。
  91. ^ Urgent security alert for Fedora 41 and Fedora Rawhide users” (英語). www.redhat.com. 2024年3月30日閲覧。
  92. ^ All about the xz-utils backdoor | Kali Linux Blog” (English). Kali Linux (2024年3月29日). 2024年3月30日閲覧。
  93. ^ openSUSE addresses supply chain attack against xz compression library” (英語). openSUSE News (2024年3月29日). 2024年3月30日閲覧。
  94. ^ xz-utils backdoor situation” (英語). Gist. 2025年10月7日閲覧。
  95. ^ Arch Linux - News: The xz package has been backdoored”. archlinux.org. 2024年3月30日閲覧。
  96. ^ Disclosed backdoor in xz releases - FreeBSD not affected”. 2024年3月30日閲覧。
  97. ^ a b Fake Puppeteer Packages Contain Malware” (英語). Phylum Research (2024年10月31日). 2025年2月27日閲覧。
  98. ^ npm_ethereum_smart_contracts_campaign” (英語). Github. 2025年2月27日閲覧。
  99. ^ a b Massive npm Malware Campaign Leverages Ethereum Smart Contra...” (英語). Socket. 2025年2月27日閲覧。
  100. ^ a b c “NIST Delivers Two Key Publications to Enhance Software Supply Chain Security Called for by Executive Order”. NIST. (9 July 2021). https://www.nist.gov/news-events/news/2021/07/nist-delivers-two-key-publications-enhance-software-supply-chain-security. 
  101. ^ NIST (2-3 Jun 2021) Workshop and Call for Position Papers on Standards and Guidelines to Enhance Software Supply Chain Security”. 2025年10月7日閲覧。 “1400 participants, 150 position papers”
  102. ^ Cyberspace Policy Review”. White House. 2009年5月30日時点のオリジナルよりアーカイブ。2015年10月29日閲覧。
  103. ^ The Comprehensive National Cybersecurity Initiative”. The White House. 2015年10月29日閲覧。
  104. ^ Davis, A. (2015). Building cyber-resilience into supply chains. Technology Innovation Management Review, 5(4), 19-27. Retrieved on 29-10-2015
  105. ^ Waters, D. 2011. Supply Chain Risk Management (2nd ed.). London: Kogan Page. Accessed 29-10-2015
  106. ^ Cyber security insurance: new steps to make UK world center - Press releases - GOV.UK”. www.gov.uk. 2015年10月30日閲覧。
  107. ^ Cyber Essentials - OFFICIAL SITE”. www.cyberstreetwise.com. 2015年10月30日閲覧。
  108. ^ Supply Chain Attacks: 6 Steps to protect your software supply chain”. GitGuardian (2021年11月5日). 2023年9月5日閲覧。
  109. ^ Hoover, J. N. (2009). Secure the cyber supply chain. InformationWeek, (1247), 45-46,48,50,52. Retrieved from 2015-10-29
  110. ^ Threat smart: Building a cyber resilient financial institution”. FS Viewpoint. PwC (2014年10月). 2020年6月4日閲覧。
  111. ^ Advanced Cyber Security - Stop Cyber Attacks | FireEye”. FireEye. 2015年10月30日閲覧。
  112. ^ Xuan, Cho Do; Duong, Duc; Dau, Hoang Xuan (2021-06-21). “A multi-layer approach for advanced persistent threat detection using machine learning based on network traffic”. Journal of Intelligent & Fuzzy Systems 40 (6): 11311–11329. doi:10.3233/jifs-202465. ISSN 1064-1246. 
  113. ^ BEST PRACTICES IN CYBER SUPPLY CHAIN RISK MANAGEMENT”. 2015年10月30日閲覧。
  114. ^ Kaspersky Lab and EY Warn Organizations to Get Prepared for Cyberthreats | Kaspersky Lab”. www.kaspersky.com. 2015年10月30日閲覧。

関連項目

外部リンク

https://ja.wikipedia.org/w/index.php?title=サプライチェーン攻撃&oldid=106763269」から取得