トレンド EDR わずかな隙間から入り込み莫大な損害をもたらすサプライチェーン攻撃の効果的なかわし方

2022年2月から相次いで発生した、自動車産業をターゲットにしたサプライチェーン攻撃。その多くはランサムウエアによる攻撃だと推測されており、特定の企業系列だけではなく幅広い企業が狙われていることも、見逃せない傾向だといえます。2022年3月には、ある部品メーカーがマルウエア攻撃を受けたことが公表され、これによってその企業に関係する複数の自動車メーカーが、一部の生産を見合わせる結果となりました。最終的に1万3000台に相当する生産が停止したと見積もられており、その影響は極めて大きかったといえるでしょう。

実はこれとほぼ同じ時期に、興味深い記事が公開されています。それは日本自動車工業会（自工会）の広報誌である「jamagazine（ジャマガジン）」2022年4月号に掲載された『どう守る「サプライチェーン攻撃」』という記事です。

この記事の内容は、2,300社の会員企業に対して実施された、セキュリティ対策に関する調査結果です。自工会と日本自動車部品工業会（部工会）は2020年に「自動車産業サイバーセキュリティガイドライン」を策定していますが、これをもとにしたチェックシートを展開し、各社の回答状況が集計され、対応状況が100点満点で数値化されています。ここで興味深いのは会社の規模や業種によって、その点数に大きなばらつきが生じていたことです。なかでも従業員100人以下の企業では、平均点が56.8点と、かなり低い値になっています。

自動車産業は企業系列がしっかりしており、自工会や部工会の結束の強さにも定評があります。この調査に2,300社がきちんと回答を寄せていることからも、そのことは見て取れます。また回答数の多さは、業界全体でのセキュリティ意識が十分に高いことも伺わせます。しかし全体としてみた場合、サプライチェーン攻撃への守りはまだ、十分ではないといえそうです。

もちろんこれは自動車産業だけの問題ではありません。むしろ他の業界のほうが問題は深刻だといえるかもしれません。自動車産業では自工会・部工会といった業界団体がしっかりしており、お互いの情報共有や啓もう活動も活発に行われています。それにもかかわらず前述のように、十分な対策が行われていない企業が数多く存在するのです。業界内の結束がしっかりしていない業種では、このようなばらつきはさらに大きくなると考えるべきでしょう。

従業員が十分なリテラシーを持つ企業でも、そこから送られてくるメールに添付されたマルウエアを、クリックしてしまう危険性が高くなります。ましてや子会社・関連会社のようにグループ内WANで接続されている場合には、いったん入り込んだマルウエアは簡単に、ラテラルムーブメント（水平移動）によってその影響を拡大していくことになるでしょう。

そこで重要になるのが発想の転換です。従来のように「サプライチェーン攻撃を水際で防ぐ」といったことに重点を置くのではなく、「防ぎきれないのであればその影響を最小化する」という考え方に改めていくべきなのです。その実現に大きな貢献を果たせるのがEDR（Endpoint Detection and Response）です。EDRはユーザーが使うPCやモバイル端末、社内にある各種サーバーといった「エンドポイント」において、マルウエアなどが起こす不審な挙動を検知し、それに対して適切な対応を行う、というソリューションです。

例えば関係会社からのメールに添付されていたマルウエアをクリックして起動した場合、EDRがあればそのマルウエアの挙動を監視し、怪しい挙動を見つけた段階で管理者に通知します。実際の挙動を見て判断しているため、まだシグネチャが存在しない未知のマルウエアも検知可能です。しかもそのログも残されるため、影響範囲がどこまで広がっていたのかも遡って確認できます。

もちろん業界全体でセキュリティ意識を高め、水際での守りを固めていくことも、重要であることはいうまでもありません。しかしその実現には長い期間かかると考えるべきでしょう。わずかな隙間が存在すれば、攻撃者は必ずそれを見つけ出し、侵入を果たすはずです。そこから生じる損害を回避するには、個々のエンドポイントの守りを固め、影響範囲を最小限に封じ込めることが不可欠なのです。

サイバネットでは、いち早くEDRを商品化し高い実績を誇るVMware Carbon Blackや、エンドポイントセキュリティの統合プラットフォームとなるCrowdStrikeなど、EDR製品を各種取り揃えています。ご要望に合わせてEDRを比較検討いただくこともできますので、EDRの導入をご検討の際は、サイバネットにお声がけいただければ幸いです。