« 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書 | Main | ISO 37002 内部告発マネジメントシステム–ガイドラインが公表されていますね。。。 »

2021.08.03

ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

こんにちは、丸山満彦です。

ENISAがサプライチェーン・セキュリティ攻撃の増加についてのプレス発表をしていますね。。。ENISAは、サプライチェーン攻撃が2021年は昨年と比べて4倍になると予測しているようです。。。それで緊急プレスという感じですかね。。。

● ENISA

・2021.07.29 (press) Understanding the increase in Supply Chain Security Attacks

Understanding the increase in Supply Chain Security Attacks サプライチェーン・セキュリティ攻撃の増加を理解する
The European Union Agency for Cybersecurity mapping on emerging supply chain attacks finds 66% of attacks focus on the supplier’s code. 欧州連合(EU)サイバーセキュリティ機関がサプライチェーンへの新たな攻撃についてマッピングしたところ、攻撃の66%がサプライヤーのコードに焦点を当てていることがわかりました。
Supply chain attacks have been a concern for cybersecurity experts for many years because the chain reaction triggered by one attack on a single supplier can compromise a network of providers. Malware is the attack technique that attackers resort to in 62% of attacks. サプライチェーンへの攻撃は、1社のサプライヤーへの攻撃が引き起こす連鎖反応が、複数のプロバイダーのネットワークを危険にさらす可能性があることから、長年にわたりサイバーセキュリティ専門家の関心事となっています。攻撃者が62%の攻撃で利用している攻撃手法はマルウェアです。
According to the new ENISA report - Threat Landscape for Supply Chain Attacks, which analysed 24 recent attacks, strong security protection is no longer enough for organisations when attackers have already shifted their attention to suppliers. 最近の24件の攻撃を分析したENISAの新しい報告書「Threat Landscape for Supply Chain Attacks」によると、攻撃者の関心がすでにサプライヤーに移っている場合、組織にとって強力なセキュリティ保護はもはや十分ではありません。
This is evidenced by the increasing impact of these attacks such as downtime of systems, monetary loss and reputational damage. このことは、システムのダウンタイム、金銭的損失、風評被害など、これらの攻撃の影響が増大していることからも明らかです。
Supply chain attacks are now expected to multiply by 4 in 2021 compared to last year. Such new trend stresses the need for policymakers and the cybersecurity community to act now. This is why novel protective measures to prevent and respond to potential supply chain attacks in the future while mitigating their impact need to be introduced urgently. 2021年には、サプライチェーンを狙った攻撃が、昨年に比べて4倍になると予想されています。このような新しい傾向は、政策立案者とサイバーセキュリティ・コミュニティが今すぐ行動を起こす必要性を強調しています。そのため、将来起こりうるサプライチェーン攻撃を防ぎ、その影響を軽減しながら対応するための斬新な防御策を早急に導入する必要があるのです。
Juhan Lepassaar, EU Agency for Cybersecurity Executive Director said: “Due to the cascading effect of supply chain attacks, threat actors can cause widespread damage affecting businesses and their customers all at once. With good practices and coordinated actions at EU level, Member States will be able to reach a similar level of capabilities raising the common level of cybersecurity in the EU.” EUサイバーセキュリティ庁のジュハン・レパッサール事務局長は次のように述べています。「サプライチェーン攻撃の連鎖効果により、脅威の担い手は、企業やその顧客に一斉に影響を与える広範な被害を引き起こすことができます。EUレベルでの優れた実践と調整された行動により、加盟国は同程度の能力に到達し、EUのサイバーセキュリティの共通レベルを高めることができるでしょう。」
What is a supply chain? サプライチェーンとは何ですか?
A supply chain is the combination of the ecosystem of resources needed to design, manufacture and distribute a product. In cybersecurity, a supply chain includes hardware and software, cloud or local storage and distribution mechanisms. サプライチェーンとは、製品の設計、製造、流通に必要なリソースのエコシステムの組み合わせです。サイバーセキュリティでは、サプライチェーンには、ハードウェアやソフトウェア、クラウドやローカルのストレージ、流通機構などが含まれます。
Why is a good level of cybersecurity not good enough? なぜ、適切なレベルのサイバーセキュリティでは不十分なのでしょうか?
Composed of an attack on one or more suppliers with a later attack on the final target, namely the customer, supply chain attacks may take months to succeed. In many instances, such an attack may even go undetected for a long time. Similarly to Advanced Persistence Threat (APT) attacks, supply chain attacks are usually targeted, quite complex and costly with attackers probably planning them well in advance. All such aspects reveal the degree of sophistication of the adversaries and the persistence in seeking to succeed. サプライチェーン攻撃は、1社または複数のサプライヤーへの攻撃と、その後の最終ターゲットである顧客への攻撃で構成されており、成功までに数ヶ月を要する場合があります。多くの場合、このような攻撃は長い間発見されないこともあります。APT(Advanced Persistence Threat)攻撃と同様に、サプライチェーン攻撃は通常、標的が絞られており、非常に複雑でコストがかかり、攻撃者はおそらく事前に十分な計画を立てています。このような点から、敵対者の高度な技術と、成功を目指す執念がうかがえます。
The report reveals that an organisation could be vulnerable to a supply chain attack even when its own defences are quite good. The attackers explore new potential highways to infiltrate organisations by targeting their suppliers. Moreover, with the almost limitless potential of the impact of supply chain attacks on numerous customers, these types of attacks are becoming increasingly common. 本報告書では、組織の防御力が十分であっても、サプライチェーン攻撃にさらされる可能性があることを明らかにしています。攻撃者は、サプライヤーを標的とすることで、組織に侵入するための新たな可能性を探ります。さらに、サプライチェーン攻撃が多数の顧客に与える影響の可能性はほぼ無限大であるため、この種の攻撃はますます一般的になっています。
In order to compromise the targeted customers, attackers focused on the suppliers’ code in about 66% of the reported incidents. This shows that organisations should focus their efforts on validating third-party code and software before using them to ensure these were not tampered with or manipulated. 報告されたインシデントのうち、約66%において、攻撃者は標的となる顧客を侵害するために、サプライヤーのコードに着目していました。このことから、組織は、第三者のコードやソフトウェアを使用する前に、これらが改ざんされたり操作されたりしていないことを確認するための検証に力を入れるべきであることがわかります。
For about 58% of the supply chain incidents analysed, the customer assets targeted were predominantly customer data, including Personally Identifiable Information (PII) data and intellectual property. 分析対象となったサプライチェーン事件の約58%において、標的となった顧客資産は、個人識別情報(PII)データや知的財産を含む顧客データが主なものでした。
For 66% of the supply chain attacks analysed, suppliers did not know, or failed to report on how they were compromised. However, less than 9% of the customers compromised through supply chain attacks did not know how the attacks occurred. This highlights the gap in terms of maturity in cybersecurity incident reporting between suppliers and end-users. 分析されたサプライチェーン攻撃の66%において、サプライヤーは、どのように侵害されたかを知らないか、報告していませんでした。しかし、サプライチェーン攻撃によって被害を受けた顧客のうち、攻撃の発生原因を知らなかったのは9%未満でした。このことは、サプライヤーとエンドユーザの間に、サイバーセキュリティのインシデント報告に関する成熟度のギャップがあることを示しています。
The recommendations, in a nutshell: 簡潔な提言
Apply good practices and engage in coordinated actions at EU level. グッドプラクティスを適用し、EUレベルで協調した行動をとること。
The impact of attacks on suppliers may have far reaching consequences because of the increased interdependencies and complexities of the techniques used. Beyond the damages on affected organisations and third parties, there is a deeper cause for concern when classified information is exfiltrated and national security is at stake or when consequences of a geopolitical nature could emerge as a result. サプライヤーへの攻撃は、相互依存性が高く、使用される技術が複雑であるため、その影響は広範囲に及ぶ可能性があります。被害を受けた組織や第三者への損害だけでなく、機密情報が流出して国家の安全が脅かされたり、その結果、地政学的な性質の影響が現れたりする場合には、より深い懸念が生じます。
In this complex environment for supply chains, establishing good practices and getting involved in coordinated actions at EU level are both important to support all Member States in developing similar capabilities – to reach a common level of security. このような複雑なサプライチェーンの環境においては、すべての加盟国が同様の能力を開発し、共通のセキュリティレベルに到達することを支援するために、グッドプラクティスを確立し、EUレベルで調整された行動に関与することが重要です。
The report issues an extensive number of recommendations for customers to manage the supply chain cybersecurity risk and to manage the relationship with the suppliers. 本報告書では、サプライチェーンのサイバーセキュリティ・リスクを管理し、サプライヤーとの関係を管理するために、顧客に対して幅広い提言を行っています。
Recommendations for customers include: 顧客に対する推奨事項は以下の通りです。
• identifying and documenting suppliers and service providers; ・ サプライヤーとサービスプロバイダーの特定と文書化
• defining risk criteria for different types of suppliers and services such as supplier & customer dependencies, critical software dependencies, single points of failure; ・ サプライヤーと顧客の依存関係、重要なソフトウェアの依存関係、単一障害点など、さまざまなタイプのサプライヤーやサービスのリスク基準の定義
• monitoring of supply chain risks and threats; ・ サプライチェーンのリスクと脅威の監視
• managing suppliers over the whole lifecycle of a product or service, including procedures to handle end-of-life products or components; ・ 製品やサービスのライフサイクル全体を通じたサプライヤーの管理(使用済み製品や部品の取り扱い手順を含む)
• classifying of assets and information shared with or accessible to suppliers, and defining relevant procedures for accessing and handling them. ・ サプライヤーと共有している、あるいはサプライヤーがアクセスできる資産や情報の分類、およびそれらへのアクセスと取り扱いに関する関連手順の定義
The report also suggests possible actions to ensure that the development of products and services complies with security practices. Suppliers are advised to implement good practices for vulnerability and patch management for instance. また、製品やサービスの開発がセキュリティ慣行に準拠していることを確認するために可能な措置を提案しています。サプライヤーは、例えば、脆弱性管理およびパッチ管理のためのグッドプラクティスを実施するようアドバイスされています。
Recommendations for suppliers include: サプライヤーに対する推奨事項は以下の通りです。
• ensuring that the infrastructure used to design, develop, manufacture, and deliver products, components and services follows cybersecurity practices; ・ 製品、コンポーネント、サービスの設計、開発、製造、提供に使用されるインフラが、サイバーセキュリティの慣行に従っていることの確認
• implementing a product development, maintenance and support process that is consistent with commonly accepted product development processes; ・ 一般的に認められている製品開発プロセスと整合性のある製品開発、保守、サポートのプロセスの実施
• monitoring of security vulnerabilities reported by internal and external sources that includes used third-party components; ・ 使用されているサードパーティ製コンポーネントを含む、社内外の情報源から報告されるセキュリティ脆弱性の監視
• maintaining an inventory of assets that includes patch-relevant information. ・ パッチに関連する情報を含む資産のインベントリの維持
Background 背景
The cyber threat landscape is constantly evolving. Both policy makers and practitioners need to have access to up-to-date and accurate information on the current threat landscape, supported by threat intelligence. To respond to this need, the ENISA Threat Landscape has been published on an annual basis since 2012. These reports are based on publicly available data and provides an independent view on observed threats, threat agents, threat trends and attack vectors. サイバー脅威の状況は常に変化しています。政策立案者も実務者も、脅威インテリジェンスに裏付けられた現在の脅威の状況に関する最新かつ正確な情報にアクセスする必要があります。このニーズに応えるため、ENISA Threat Landscapeは2012年から毎年発行されています。これらの報告書は、一般に公開されているデータに基づいており、観測された脅威、脅威エージェント、脅威の傾向、攻撃ベクターに関する独立した見解を提供しています。
ENISA set up an Ad-Hoc Working Group on Cyber Threat Landscapes in order to interact with a broad range of stakeholders and to receive advice in designing, updating and reviewing the methodology needed to draw cyber threat landscapes, including the annual ENISA Threat Landscape.  The Agency provides threat analysis on a range of emerging technologies and challenges including recent threat landscapes on Artificial Intelligence and 5G. ENISAは、毎年発行されるENISA Threat Landscapeを含むサイバー脅威のランドスケープを描くために必要な手法の設計、更新、見直しについて、幅広い関係者と交流し、助言を得るために、Ad-Hoc Working Group on Cyber Threat Landscapesを設立しました。 ENISAは、人工知能や5Gに関する最近の脅威のランドスケープなど、さまざまな新興技術や課題に関する脅威分析を提供しています。
On the issue of supply chain attacks, ENISA released the Supply Chain Integrity Report in 2012 (and updated in 2015) which identifies the nature of these threats and examines the possible strategies to counter them. サプライチェーンへの攻撃については、ENISAが2012年に発表した「Supply Chain Integrity Report」(2015年に更新)で、これらの脅威の性質を明らかにし、それに対抗するための可能な戦略を検討しています。

 

・2021.07.29 Threat Landscape for Supply Chain Attacks

Threat Landscape for Supply Chain Attacks サプライチェーン攻撃の脅威の状況
This report aims at mapping and studying the supply chain attacks that were discovered from January 2020 to early July 2021. Based on the trends and patterns observed, supply chain attacks increased in number and sophistication in the year 2020 and this trend is continuing in 2021, posing an increasing risk for organizations. It is estimated that there will be four times more supply chain attacks in 2021 than in 2020. With half of the attacks being attributed to Advanced Persistence Threat (APT) actors, their complexity and resources greatly exceed the more common non-targeted attacks, and, therefore, there is an increasing need for new protective methods that incorporate suppliers in order to guarantee that organizations remain secure. 本報告書は、2020年1月から2021年7月初旬までに発見されたサプライチェーン攻撃のマッピングと調査を目的としています。観察された傾向とパターンによると、サプライチェーン攻撃は2020年にその数と巧妙さを増し、この傾向は2021年も続いており、組織にとってのリスクが増大しています。2021年には、2020年の4倍のサプライチェーン攻撃が発生すると推定されています。攻撃の半分はAPT(Advanced Persistence Threat)アクターによるもので、その複雑さとリソースは、より一般的な非標的型攻撃を大きく上回っています。したがって、組織の安全性を保証するために、サプライヤーを組み込んだ新たな防御方法の必要性が高まっています。

・[PDF

20210803-35729

1. INTRODUCTION 1. イントロダクション
2. WHAT IS A SUPPLY CHAIN ATTACK? 2. サプライチェーン攻撃とは?
2.1. TAXONOMY OF SUPPLY CHAIN ATTACKS 2.1. サプライチェーン攻撃の分類法
2.2. ATTACK TECHNIQUES USED TO COMPROMISE A SUPPLY CHAIN 2.2. サプライチェーンを危険にさらすための攻撃手法
2.3. SUPPLIER ASSETS TARGETED BY A SUPPLY CHAIN ATTACK 2.3. サプライチェーン攻撃の対象となるサプライヤー資産
2.4. ATTACK TECHNIQUES USED TO COMPROMISE A CUSTOMER 2.4. 顧客を危険にさらす攻撃手法
2.5. CUSTOMER ASSETS TARGETED BY A SUPPLY CHAIN ATTACK 2.5. サプライチェーン攻撃の対象となる顧客の資産
2.6. HOW TO MAKE USE OF THE TAXONOMY 2.6. 分類法の活用方法
2.7. SUPPLY CHAIN TAXONOMY AND OTHER FRAMEWORKS 2.7. サプライチェーン・タキソノミーと他のフレームワーク
2.7.1. MITRE ATT&CK® Knowledge Base 2.7.1. MITRE ATT&CK® ナレッジベース
2.7.2. Lockheed Martin Cyber Kill Chain® Framework 2.7.2. ロッキードマーチン サイバーキルチェーン®フレームワーク
3. THE LIFECYCLE OF A SUPPLY CHAIN ATTACK 3. サプライチェーン攻撃のライフサイクル
4. PROMINENT SUPPLY CHAIN ATTACKS 4. 著名なサプライチェーン攻撃
4.1. SOLARWINDS ORION: IT MANAGEMENT AND REMOTE MONITORING 4.1. SOLARWINDS ORION : IT管理とリモートモニタリング
4.2. MIMECAST: CLOUD CYBERSECURITY SERVICES 4.2. MIMECAST: クラウド・サイバーセキュリティ・サービス
4.3. LEDGER: HARDWARE WALLET 4.3. LEDGER:ハードウェアウォレット
4.4. KASEYA: IT MANAGEMENT SERVICES COMPROMISED WITH RANSOMWARE 4.4. KASEYA:ランサムウェアに感染したITマネジメントサービス
4.5. AN EXAMPLE OF MANY UNKNOWNS: SITA PASSENGER SERVICE SYSTEM 4.5. 不明点が多い例:SITAの旅客サービスシステム
5. ANALYSIS OF SUPPLY CHAIN INCIDENTS 5. サプライチェーンにおけるインシデントの分析
5.1. TIMELINE OF SUPPLY CHAIN ATTACKS 5.1. サプライチェーン攻撃のタイムライン
5.2. UNDERSTANDING THE FLOW OF ATTACKS 5.2. 攻撃の流れの把握
5.3. GOAL ORIENTED ATTACKERS 5.3. 目的を持った攻撃者
5.4. MOST ATTACK VECTORS TO COMPROMISE SUPPLIERS REMAIN UNKNOWN 5.4. サプライヤーを危険にさらす攻撃ベクトルのほとんどは未知である
5.5. SOPHISTICATED ATTACKS ATTRIBUTED TO APT GROUPS 5.5.  APTグループによる高度な攻撃
6. NOT EVERYTHING IS A SUPPLY CHAIN ATTACK 6. 全てがサプライチェーン攻撃ではない
7. RECOMMENDATIONS 7. 推奨事項
8. CONCLUSIONS 8. 結論
ANNEX A: SUMMARY OF SUPPLY CHAIN ATTACKS 附属書A:サプライチェーン攻撃の概要

 

EXECUTIVE SUMMARY エグゼクティブ・サマリー
Supply chain attacks have been a security concern for many years, but the community seems to have been facing a greater number of more organized attacks since early 2020. It may be that, due to the more robust security protection that organizations have put in place, attackers successfully shifted towards suppliers. They managed to have significant impacts in terms of the downtime of systems, monetary losses and reputational damages, to name but a few. The importance of supply chains is attributed to the fact that successful attacks may impact a large amount number of customers who make use of the affected supplier. Therefore, the cascading effects from a single attack may have a widely propagated impact. サプライチェーンへの攻撃は、長年にわたってセキュリティ上の懸念事項となっていましたが、2020年初頭から、より組織的な攻撃が増えているようです。組織がより強固なセキュリティ保護を導入したことで、攻撃者がサプライヤーにシフトすることに成功したのかもしれません。彼らは、システムのダウンタイム、金銭的損失、風評被害などの面で大きな影響を与えることに成功しました。サプライチェーンの重要性は、攻撃が成功すると、被害を受けたサプライヤーを利用している多数の顧客に影響を与える可能性があるという事実に起因しています。したがって、単一の攻撃による連鎖的な影響は、広範囲に影響を及ぼすことになります。
This report aims at mapping and studying the supply chain attacks that were discovered from January 2020 to early July 2021. Based on the trends and patterns observed, supply chain attacks increased in number and sophistication in the year 2020 and this trend is continuing in 2021, posing an increasing risk for organizations. It is estimated that there will be four times more supply chain attacks in 2021 than in 2020. With half of the attacks being attributed to Advanced Persistence Threat (APT) actors, their complexity and resources greatly exceed the more common nontargeted attacks, and, therefore, there is an increasing need for new protective methods that incorporate suppliers in order to guarantee that organizations remain secure. 本報告書は、2020年1月から2021年7月初旬までに発見されたサプライチェーン攻撃をマッピングし、調査することを目的としています。観察された傾向とパターンによると、サプライチェーン攻撃は2020年にその数と巧妙さを増し、この傾向は2021年も続いており、組織にとってのリスクが高まっています。2021年には、2020年の4倍のサプライチェーン攻撃が発生すると推定されています。攻撃の半分はAdvanced Persistence Threat(APT)アクターによるものとされており、その複雑さとリソースは、より一般的な非標的型攻撃を大きく上回っています。したがって、組織の安全性を保証するためには、サプライヤーを組み込んだ新たな防御方法の必要性が高まっています。
This report presents the Agency’s Threat Landscape concerning supply chain attacks, produced with the support of the Ad-Hoc Working Group on Cyber Threat Landscapes. 本報告書は、Ad-Hoc Working Group on Cyber Threat Landscapesの支援を受けて作成された、サプライチェーン攻撃に関する米国政府機関の脅威の状況を示したものです。
The main highlights of the report include the following: 本報告書の主な内容は以下の通りです。
· A taxonomy to classify supply chain attacks in order to better analyse them in a systematic manner and understand the way they manifest is described. ・ サプライチェーン攻撃をより体系的に分析し、その現れ方を理解するために、サプライチェーン攻撃を分類するための分類法について説明しています。
· 24 supply chain attacks were reported from January 2020 to early July 2021, and have been studied in this report. ・ 2020年1月から2021年7月初旬までに、24件のサプライチェーン攻撃が報告され、本報告書で調査されました。
· Around 50% of the attacks were attributed to well-known APT groups by the security community. ・ 攻撃の約50%は、セキュリティコミュニティによって有名なAPTグループによるものとされています。
· Around 42% of the analysed attacks have not yet been attributed to a particular group. ・ 分析された攻撃のうち約42%は、まだ特定のグループに帰属していません。
· Around 62% of the attacks on customers took advantage of their trust in their supplier. ・ 顧客に対する攻撃の約62%は、顧客のサプライヤーに対する信頼を利用したものでした。
· In 62% of the cases, malware was the attack technique employed. ・ 62%のケースでは、マルウェアが攻撃手法として採用されています。
· When considering targeted assets, in 66% of the incidents attackers focused on the suppliers’ code in order to further compromise targeted customers. ・ 標的となった資産について考えると、攻撃者は、標的となった顧客をさらに危険にさらすために、サプライヤーのコードに焦点を当てたケースが66%ありました。
· Around 58% of the supply chain attacks aimed at gaining access to data (predominantly customer data, including personal data and intellectual property) and around 16% at gaining access to people. ・ また、サプライチェーンにおける攻撃のうち、約58%がデータ(主に個人情報や知的財産を含む顧客情報)へのアクセスを目的としており、約16%が人へのアクセスを目的としていました。
· Not all attacks should be denoted as supply chain attacks, but due to their nature many of them are potential vectors for new supply chain attacks in the future. ・ すべての攻撃がサプライチェーン攻撃と呼ばれるわけではありませんが、その性質上、これらの攻撃の多くは、将来的に新たなサプライチェーン攻撃を引き起こす可能性があります。
· Organizations need to update their cybersecurity methodology with supply chain attacks in mind and to incorporate all their suppliers in their protection and security verification. ・ 企業は、サプライチェーン攻撃を念頭に置いてサイバーセキュリティの手法を更新し、すべてのサプライヤーを保護とセキュリティの検証に組み込む必要があります。

 

 

|

« 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書 | Main | ISO 37002 内部告発マネジメントシステム–ガイドラインが公表されていますね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書 | Main | ISO 37002 内部告発マネジメントシステム–ガイドラインが公表されていますね。。。 »