Technique - T1195-

T1195 - Supply Chain Compromise

概要

Adversaries may manipulate products or product delivery mechanisms prior to receipt by a final consumer for the purpose of data or system compromise.

Supply chain compromise can take place at any stage of the supply chain including:

Manipulation of development tools
Manipulation of a development environment
Manipulation of source code repositories (public or private)
Manipulation of source code in open-source dependencies
Manipulation of software update/distribution mechanisms
Compromised/infected system images (removable media infected at the factory)(Citation: IBM Storwize)(Citation: Schneider Electric USB Malware)
Replacement of legitimate software with modified versions
Sales of modified/counterfeit products to legitimate distributors
Shipment interdiction

While supply chain compromise can impact any component of hardware or software, adversaries looking to gain execution have often focused on malicious additions to legitimate software in software distribution or update channels.(Citation: Avast CCleaner3 2018)(Citation: Microsoft Dofoil 2018)(Citation: Command Five SK 2011) Adversaries may limit targeting to a desired victim set or distribute malicious software to a broad set of consumers but only follow up with specific victims.(Citation: Symantec Elderwood Sept 2012)(Citation: Avast CCleaner3 2018)(Citation: Command Five SK 2011) Popular open-source projects that are used as dependencies in many applications may also be targeted as a means to add malicious code to users of the dependency.(Citation: Trendmicro NPM Compromise)

In some cases, adversaries may conduct “second-order” supply chain compromises by leveraging the access gained from an initial supply chain compromise to further compromise a software component.(Citation: Krebs 3cx overview 2023) This may allow the threat actor to spread to even more victims.

管理者によるコメント

T1195「Supply Chain Compromise」（サプライチェーンの妥協／侵害） は、ターゲットに到達する前の製品、サービス、または配信プロセスを改ざんすることで、組織内に侵入する手法です。直接ターゲットを攻撃するのではなく、ターゲットが「信頼して利用しているもの」を汚染するため、検知が極めて困難な非常に強力な攻撃です。

1. 概要

この手法で攻撃者は、「信頼の連鎖を悪用した、広範囲かつ不可視の侵入」を実現します。

何を実現できるのか

鉄壁の防御をバイパス: ターゲット組織自体のセキュリティが非常に強固であっても、そこが利用している信頼済みのベンダーやツールを侵害することで、内部へ「正規ルート」で入り込めます。
一斉感染: 広く使われているソフトウェアのアップデートを汚染すれば、一度の攻撃で世界中の数千から数万の企業に同時に侵入できます。

2. 攻撃の種類（サブテクニック）

T1195は、改ざんの対象によって主に3つに分類されます。

T1195.001: ソフトウェアの依存関係の改ざん (Software Dependencies)

開発者が利用するオープンソースのライブラリやパッケージマネージャー（npm, PyPIなど）に悪意のあるコードを混入させます。 * タイポスクワッティング: requests を requesst という名前で登録し、打ち間違いを狙ってインストールさせる。

T1195.002: ソフトウェア開発プロセスの改ざん (Software Tools)

ソフトウェアのソースコード、ビルド済みバイナリ、またはアップデート配布サーバーを直接侵害します。 * 例: 開発ツールのコンパイラを汚染し、ビルドされるすべてのソフトにバックドアが自動挿入されるようにする。

T1195.003: ハードウェアの改ざん (Hardware Modifications)

製造工程や配送途中で、マザーボードやネットワーク機器に物理的なチップや不正なファームウェアを仕込みます。

3. 防御・対策

「信頼しているものも疑う」というゼロトラストの考え方が必要です。

ソフトウェア構成分析 (SCA): 利用しているオープンソースライブラリに既知の脆弱性や悪意のあるコードが含まれていないか、依存関係を含めて自動スキャンします。
バイナリの整合性検証: ソフトウェアのハッシュ値（チェックサム）を確認し、公式サイトが提示している値と一致するか検証します。また、デジタル署名が正当なものか確認します。
ビルドプロセスの隔離: 開発環境において、インターネットから直接外部ライブラリをダウンロードしてビルドすることを禁止し、検証済みのリポジトリのみを使用します。
サプライヤーのリスク管理: ベンダーに対し、彼ら自身のセキュリティ基準や開発プロセス（SBOM: ソフトウェア部品表の提供など）を厳格に求めます。

4. 重要ポイント

「正規の署名」すら信じられない: 攻撃者がベンダーの証明書盗み出しに成功した場合、マルウェアに「正規のMicrosoft署名」などが付いてしまうことがあり、アンチウイルスを容易に突破します。
長期的な影響: 一度サプライチェーンに混入すると、発見されるまで数ヶ月から数年にわたって潜伏し続ける傾向があります。

5. 関連する主なCWE

CWE-506: Embedded Malicious Code: ソフトウェア内に意図的に埋め込まれた悪意あるコード。
CWE-1357: Reliance on Unsafe Component: 安全性が確認されていないコンポーネントへの依存。

6. 関連する代表的なCVE・事例

サプライチェーン攻撃は特定の脆弱性というより、大規模な「インシデント」として記録されます。

SolarWinds攻撃 (2020年): ネットワーク管理ソフト「Orion」のアップデートファイルにバックドアが仕込まれ、米政府機関を含む約18,000組織が影響を受けました。
XZ Utils 脆弱性 (CVE-2024-3094): Linuxで広く使われるライブラリに、数年かけて信頼を得た開発者がバックドアを仕込もうとした事例。間一髪で発見され、大惨事を免れました。
CCleaner攻撃 (2017年): 人気のクリーナーソフトの正規配布サーバーが侵害され、マルウェア入りのバージョンが200万人以上に配布されました。

調査のアドバイス

現代のセキュリティ対策において、自社が利用している全てのソフトウェアのリスト（SBOM）を管理することは、このT1195に対抗するための最重要ステップの一つとされています。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design