ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】

特にここ数年、ソフトウェアサプライチェーン攻撃の話題を耳にする機会が増えている。いくつか例を挙げていこう。
SolarWindsの「Orion」の侵害

2020年には、SolarWinds社が提供するネットワーク インフラの監視および管理プラットフォーム「Orion」が侵害を受けた。サイバー攻撃者は、Orionのアップデートの一部として配布されたプラグインにバックドアを組み込んでいた。

この攻撃は「SUNBURST」と呼ばれ、33,000人以上とされるOrionユーザーの半数近い約18,000人が影響を受けた。攻撃は、セキュリティ対策機器などに検知されないよう複数の技術が盛り込まれているなど非常に巧妙で、攻撃者は非常に高いスキルを持つとされている。
大きな影響を与えた「Apache Log4j」の脆弱性

2021年には、Java言語で開発されたプログラムにログ機能を提供する「Apache Log4j」に脆弱性が発見された。この脆弱性は、遠隔から任意のコードを実行できるゼロデイ脆弱性であり、悪用されると外部からシステムを乗っ取られる可能性のある非常に危険度の高いものであった。当然、情報漏えいやランサムウェア感染も可能となる。

Log4jは多くのOSSに採用されていたため、気づかずに導入しているケースも多く、その把握にも時間と手間がかかった。さらに、この脆弱性を修正するためにApacheが公開したパッチが不完全だったこともあり、現場は混乱を極めた。Log4jの脆弱性を悪用しようとする攻撃はほとんど観測されなかったが、攻撃者があえて実施していない可能性もあるとする見方もある。
ビデオ通話ソフト「3CX DesktopApp」の侵害

2022年には、3CX社の音声およびビデオ通話ソフト「3CX DesktopApp」が侵害を受け、WindowsおよびMac用のインストーラーにマルウェアが仕込まれた。調査の結果、3CX社の従業員がインストールしていたTrading Technologies社のトレーディングソフトウェア「X_TRADER」が原因であることが判明した。

XTRADERは2020年にサポートを終了していたが、その後もダウンロードは可能な状態になっていた。その間にTrading Technologies社が侵害を受け、XTRADERのインストーラーがマルウェアをダウンロードするよう改ざんされていた。