サプライチェーン攻撃の検知が難しい理由
サプライチェーン攻撃は、他のサイバー攻撃と比較して検知が非常に難しいという特徴があります。その理由を理解することが、効果的な検知体制を構築するための第一歩です。
- 正規の通信に紛れる
- サプライチェーン攻撃では、正規のソフトウェアアップデートや、信頼された取引先からの通信を装って攻撃が行われます。ファイアウォールやアンチウイルスなど、従来のセキュリティ製品では、正規の通信と悪意のある通信を区別することが困難です。
- 信頼された経路からの侵入
- 攻撃者は、信頼されたソフトウェアベンダーや取引先のシステムを経由して侵入します。「信頼されたソース」からの通信は、セキュリティチェックが緩くなりがちです。ホワイトリストに登録された通信先からの攻撃は、検知をすり抜けやすくなります。
- 署名付きソフトウェアの悪用
- 正規のコード署名が付与されたソフトウェアにマルウェアが混入した場合、セキュリティ製品はそれを「安全」と判断してしまうことがあります。SolarWinds事件では、正規の署名付きアップデートにバックドアが含まれていました。
- 発覚までの時間が長い
- サプライチェーン攻撃は、発覚までに長い時間がかかる傾向があります。SolarWinds事件では約9ヶ月、一部のAPT攻撃では数年間発覚しなかったケースもあります。攻撃者は検知を避けるため、静かに潜伏し、少しずつ情報を窃取します。
| 事例 | 発覚までの期間 | 発覚のきっかけ |
|---|---|---|
| SolarWinds(2020年) | 約9ヶ月 | セキュリティ企業による調査 |
| CCleaner(2017年) | 約1ヶ月 | セキュリティ研究者による発見 |
| NotPetya(2017年) | 即時(破壊型) | システム障害として顕在化 |
このような特性を踏まえ、サプライチェーン攻撃の検知には、従来のセキュリティ対策に加えて、高度な監視・分析体制が必要です。
ログ監視の重要性
サプライチェーン攻撃を検知するための基本は、ログ監視です。ログとは、システムやアプリケーションの動作記録のことで、攻撃の痕跡を発見するための重要な手がかりとなります。
ログの適切な取得と監視は、サイバー攻撃の早期発見と事後調査に不可欠です。特に、外部との通信ログ、認証ログ、特権操作ログは重点的に監視すべきです。
— 出典:JPCERT/CC「インシデント対応実践ガイド」
収集すべきログの種類
サプライチェーン攻撃の検知に有効なログを、優先度順に紹介します。
- サーバーログ
- Windows Event Log、Linux syslogなど、サーバーOSのログです。ログオン/ログオフ、プロセス起動、ファイルアクセス、権限変更などの情報が記録されます。特に、Windows Security Log(イベントID 4624, 4625, 4648など)は認証に関する重要な情報を含みます。
- ネットワーク機器ログ
- ファイアウォール、プロキシ、ルーターなどのログです。外部との通信状況、許可/拒否された通信、異常なトラフィックなどが記録されます。サプライチェーン攻撃では、C2(Command and Control)サーバーとの通信を検知するのに有効です。
- セキュリティ製品ログ
- アンチウイルス、IDS/IPS、EDRなどのログです。マルウェア検知、不審な挙動の検知、ブロックされた攻撃などが記録されます。検知だけでなく、「検知されなかった」ことの確認にも活用します。
- 認証ログ
- Active Directory、LDAP、シングルサインオン(SSO)システムのログです。ユーザー認証の成功/失敗、権限変更、グループ変更などが記録されます。横展開や権限昇格の兆候を検知するのに重要です。
- アプリケーションログ
- 業務アプリケーション、Webアプリケーションのログです。ユーザー操作、エラー、データアクセスなどが記録されます。情報漏洩の兆候を検知するのに有効です。
異常検知のポイント
サプライチェーン攻撃特有の異常パターンを知ることで、効果的な検知が可能になります。
| 異常パターン | 検知方法 | サプライチェーン攻撃との関連 |
|---|---|---|
| 正規ソフトウェアからの異常な通信 | ネットワークログの分析 | 改ざんされたソフトウェアがC2通信 |
| 通常と異なる時間帯のアクティビティ | 認証ログの時間分析 | 攻撃者による深夜・休日の活動 |
| 権限昇格の試行 | セキュリティログの監視 | 侵入後の横展開準備 |
| 大量のデータアクセス | ファイルアクセスログ | 情報窃取の兆候 |
| 異常なプロセス起動 | プロセス実行ログ | マルウェアの活動 |
ログ保存期間と容量
ログの保存期間は、サプライチェーン攻撃の長い潜伏期間を考慮して設定する必要があります。
- 推奨保存期間
- 重要なログ(認証、外部通信、セキュリティイベント)は最低1年間、可能であれば2年間以上の保存を推奨します。SolarWinds事件のように発覚まで9ヶ月以上かかるケースもあるため、短い保存期間では攻撃の痕跡を調査できなくなります。
- ストレージ容量の確保
- ログ保存には大量のストレージが必要です。圧縮、アーカイブ、階層化ストレージなどを活用して、コストを抑えつつ必要な期間のログを保存しましょう。
- 法令・規制要件との整合
- 業種によっては、ログ保存期間が法令や規制で定められている場合があります。金融機関のFISC基準、医療機関の厚労省ガイドラインなどを確認し、要件を満たすよう設定しましょう。
EDRによるエンドポイント監視
EDR(Endpoint Detection and Response)は、PCやサーバーなどのエンドポイントを監視し、不審な挙動を検知・対応するためのセキュリティ製品です。
従来のアンチウイルスが既知のマルウェアのパターン(シグネチャ)を検知するのに対し、EDRは振る舞いを監視することで、未知のマルウェアやサプライチェーン攻撃のような高度な攻撃も検知できます。
| 観点 | 従来のアンチウイルス | EDR |
|---|---|---|
| 検知方法 | シグネチャベース | 振る舞いベース |
| 未知の脅威 | 検知困難 | 検知可能 |
| 調査機能 | 限定的 | 詳細な調査が可能 |
| 対応機能 | 隔離・削除 | 隔離・調査・修復 |
| 運用負荷 | 低 | 中〜高 |
EDRの主な機能
- 振る舞い検知
- プロセスの挙動、ファイル操作、レジストリ変更、ネットワーク通信などをリアルタイムで監視し、不審なパターンを検知します。正規ソフトウェアが異常な動作をした場合(サプライチェーン攻撃の兆候)も検知できます。
- 脅威ハンティング
- 収集したデータを分析し、潜伏している脅威を能動的に探し出す機能です。すでに侵入している攻撃者を発見するのに有効です。過去のログを遡って調査することも可能です。
- インシデント対応
- 脅威を検知した際に、感染端末の隔離、プロセスの停止、ファイルの削除などの対応を行う機能です。リモートから対応できるため、迅速な初動対応が可能です。
EDR導入のポイント
- 選定時の考慮点
- 検知精度、誤検知率、対応OSの範囲、管理コンソールの使いやすさ、他製品との連携などを考慮して選定しましょう。導入実績やサポート体制も重要な判断基準です。
- 運用体制の確保
- EDRは導入するだけでは効果を発揮しません。アラートの確認、調査、対応を行う**運用体制**が必要です。セキュリティ担当者のスキルアップや、24時間体制の構築が求められる場合もあります。
- SOCサービスの活用
- 自社で運用体制を構築することが難しい場合は、**マネージドEDR**や**SOCサービス**の活用を検討しましょう。セキュリティ専門家がアラートの監視・分析・対応を代行してくれます。
SIEMによる統合監視
SIEM(Security Information and Event Management)は、複数のソースからログを収集し、統合的に分析するためのセキュリティ製品です。
サプライチェーン攻撃のように、複数のシステムにまたがって行われる攻撃を検知するには、個別のログを見るだけでは不十分です。SIEMを使って相関分析を行うことで、単体では見逃してしまう攻撃の兆候を発見できます。
SIEMの役割
- ログの一元管理
- サーバー、ネットワーク機器、セキュリティ製品、クラウドサービスなど、様々なソースからログを収集し、一元的に管理します。ログの形式を正規化し、検索・分析しやすい形に変換します。
- 相関分析
- 複数のログソースを横断的に分析し、関連性を見つけ出します。例えば、「VPN接続→認証失敗→権限昇格の試行→大量のファイルアクセス」といった一連の攻撃パターンを検知できます。
- アラート発報
- 事前に定義したルールに基づいて、不審な活動を検知した際にアラートを発報します。重要度に応じて通知先や対応手順を変えることもできます。
- レポート・可視化
- セキュリティ状況をダッシュボードやレポートとして可視化します。経営層への報告や、監査対応にも活用できます。
SIEM導入の課題
- コスト
- SIEMは導入・運用コストが高い傾向にあります。ライセンス費用、ストレージ費用、運用人件費などを考慮する必要があります。中小企業には導入のハードルが高い場合があります。
- 運用負荷
- SIEMを効果的に運用するには、ルールのチューニング、アラートの分析、誤検知の削減など、継続的な運用作業が必要です。セキュリティ専門知識を持った人材が求められます。
- チューニングの難しさ
- 導入初期は大量のアラートが発生し、その多くが誤検知である場合があります。環境に合わせたチューニングを行い、本当に重要なアラートを見逃さないようにする必要があります。
- マネージドSIEMの活用
- これらの課題を解決するために、**マネージドSIEM**や**クラウドSIEM**の活用が有効です。導入・運用の負荷を軽減しつつ、SIEMのメリットを享受できます。
脅威情報共有(ISAC)の活用
サプライチェーン攻撃の検知には、自社だけでなく業界全体での情報共有も重要です。ISAC(Information Sharing and Analysis Center)は、業界ごとにセキュリティ情報を共有する組織です。
- ISACの役割
- ISACは、参加企業間でサイバー攻撃に関する情報(攻撃手法、IOC、対策方法など)を共有します。同業他社が受けた攻撃の情報を早期に入手することで、自社への攻撃を未然に防いだり、迅速に検知したりすることができます。
- 参加のメリット
- 最新の脅威情報を入手できる、同業他社との情報交換ができる、業界全体のセキュリティレベル向上に貢献できる、などのメリットがあります。サプライチェーン攻撃のように業界全体に影響する脅威には、特に有効です。
主なISAC
| ISAC名 | 対象業界 | 概要 |
|---|---|---|
| 金融ISAC | 金融機関 | 銀行、証券、保険などの金融機関向け |
| ICT-ISAC | 情報通信 | 通信事業者、ISPなど向け |
| 電力ISAC | 電力 | 電力会社向け |
| 交通ISAC | 交通 | 鉄道、航空などの交通機関向け |
| J-AUTO-ISAC | 自動車 | 自動車メーカー、サプライヤー向け |
- ISACに参加していない場合の代替手段
- ISACに参加していない場合でも、脅威情報を入手する方法はあります。JPCERT/CCの注意喚起、IPAのセキュリティ情報、セキュリティベンダーのレポート、オープンソースの脅威インテリジェンス(OTX、VirusTotalなど)を活用しましょう。また、業界団体やセキュリティコミュニティへの参加も有効です。
中小企業向けの監視方法
中小企業では、EDRやSIEMの導入・運用が難しい場合があります。限られたリソースでも実施できる監視方法を紹介します。
- クラウド型セキュリティサービスの活用
- クラウド型のEDRやログ監視サービスを活用することで、初期投資を抑えつつ高度な監視機能を利用できます。月額課金制のサービスが多く、導入・運用の負荷も軽減されます。
- マネージドセキュリティサービス(MSS)の活用
- セキュリティ監視を外部の専門業者に委託するサービスです。24時間365日の監視、アラート対応、インシデント対応などを代行してもらえます。自社に専門人材がいない場合に特に有効です。
- Windows標準機能の活用
- Windows Server/PCには、標準でログ監視機能が搭載されています。イベントビューアーでのログ確認、監査ポリシーの設定、Windows Defender for Endpoint(M365 E5等で利用可能)の活用など、追加コストなしで監視体制を強化できます。
- 無料・低コストのツール活用
- Wazuh(オープンソースSIEM)、Elastic Security(オープンソース)、無料版のEDR製品など、コストを抑えて導入できるツールもあります。ただし、運用には一定の技術力が必要です。
中小企業向けの低コスト対策については、中小企業の低コストセキュリティ対策|IPA・補助金・無料ツール活用もご覧ください。
関連する攻撃手法
検知・監視の対象となる攻撃手法を理解することで、より効果的な監視体制を構築できます。
- マルウェア
- 悪意のあるソフトウェア全般です。サプライチェーン攻撃では、正規ソフトウェアに偽装したマルウェアが配布されます。EDRの振る舞い検知が有効です。
- ランサムウェア
- データを暗号化し身代金を要求する攻撃です。サプライチェーン攻撃の最終段階として使用されることが多いです。ファイル暗号化の兆候を検知することが重要です。
- 標的型攻撃(APT)
- 特定の組織を狙った持続的な攻撃です。長期間潜伏し、少しずつ情報を窃取します。通常と異なる通信パターンの検知が有効です。
- 横展開・権限昇格
- 侵入後、ネットワーク内で他のシステムに侵入を広げる活動です。認証ログの監視、異常なアクセスパターンの検知が有効です。
- C2通信
- 攻撃者が侵入したシステムを遠隔操作するための通信です。定期的な外部通信、暗号化された不審な通信などを検知します。
- データ持ち出し(Exfiltration)
- 窃取したデータを外部に送信する活動です。大量のデータ転送、通常と異なるデータ送信先などを検知します。
- 正規ツール悪用(Living off the Land)
- PowerShell、WMI、PsExecなど、正規の管理ツールを悪用する攻撃です。ツールの異常な使用パターンを検知します。
よくある質問
- Q: EDRとSIEMの両方が必要ですか?
- A: 理想的には両方の導入が望ましいですが、予算やリソースに制約がある場合は優先順位を付けて検討しましょう。まずは**EDR**から導入することをお勧めします。EDRはエンドポイントでの詳細な検知・対応が可能であり、サプライチェーン攻撃の多くはエンドポイントで活動するためです。SIEMは、複数システムの相関分析が必要な場合や、コンプライアンス対応でログの一元管理が求められる場合に検討しましょう。
- Q: ログは何日分保存すべきですか?
- A: サプライチェーン攻撃の長い潜伏期間を考慮すると、**最低1年間**、可能であれば**2年間以上**の保存を推奨します。ただし、すべてのログを長期間保存するのはコスト面で現実的でない場合もあります。重要度の高いログ(認証、外部通信、セキュリティイベント)は長期間保存し、詳細なログは短期間で削除するといった階層化も有効です。
- Q: 24時間監視体制が必要ですか?
- A: 攻撃は時間を選ばないため、24時間365日の監視体制が理想です。しかし、自社で24時間体制を構築するのは人員面でもコスト面でも困難な場合が多いです。**マネージドセキュリティサービス(MSS)**を活用することで、24時間監視を外部に委託できます。自社では日中の監視と対応を行い、夜間・休日は外部サービスを利用するハイブリッド型も選択肢です。
- Q: 中小企業でもSIEMを導入できますか?
- A: 従来型のオンプレミスSIEMは導入・運用のハードルが高いですが、**クラウドSIEM**や**マネージドSIEM**を活用すれば中小企業でも導入可能です。月額数万円から利用できるサービスもあります。また、Microsoft 365 E5に含まれるMicrosoft Sentinelなど、既存サービスに含まれるSIEM機能を活用する方法もあります。まずは重要なログソースに限定して小規模に始め、徐々に拡大していくアプローチがお勧めです。
- Q: 検知したアラートへの対応方法は?
- A: アラートを検知したら、まず**重要度の判定**を行います。誤検知の可能性、影響範囲、緊急性を確認し、対応の優先度を決定します。重要なアラートであれば、インシデント対応手順に従って調査・封じ込め・復旧を行います。対応手順については、サプライチェーン攻撃の感染時対応|初動・連絡網・インシデント対応・演習を解説で詳しく解説しています。
まとめ
サプライチェーン攻撃の検知と監視について解説しました。要点を整理します。
- サプライチェーン攻撃は正規の通信に紛れるため検知が難しい
- ログ監視は検知の基本。重要なログは1年以上保存
- EDRはエンドポイントでの振る舞い検知に有効
- SIEMは複数ソースの相関分析で攻撃パターンを検知
- ISACや脅威インテリジェンスで業界の脅威情報を入手
- 中小企業はクラウド型サービスやMSSを活用
- 運用体制の構築が検知・監視の効果を左右する
次のステップとして、サプライチェーン攻撃の感染時対応|初動・連絡網・インシデント対応・演習を解説で、検知後の対応方法を確認しましょう。
対策カテゴリの全体像は、サプライチェーン攻撃の対策|自社で実践すべき防御策を解説をご覧ください。
## 重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
- 基礎知識を学ぶ
- 事例・動向を知る
- 自社の対策を始める(現在のカテゴリ)
- 取引先管理を強化する
役職・立場別に探す
業種別に探す
人気のページ
更新履歴
- 初稿公開
