サプライチェーン攻撃の現実 45万人に影響を与えた「見えない脅威」

サプライチェーン攻撃は狙われた企業と取引関係がある別の企業にも悪影響を及ぼす。ここにSaaSが加わると何が起こるだろうか。

[David Jones，Cybersecurity Dive]

　現代では、企業同士がソフトウェアを通じて緊密につながっているため、1社がサイバー攻撃を受けると取引先にも被害が及ぶ恐れがある。こうした手口は「サプライチェーン攻撃」として知られている。

　この議論をもう一段階深くすると何が分かるだろうか。J.P.モルガン（JPMorgan Chase）の上級セキュリティ責任者はSaaSに課題があると言う。どのような意味だろうか。

サプライチェーン攻撃の現実　45万人に影響を与えた「見えない脅威」

　JPMorgan Chaseのパトリック・オペット氏（グローバルCISO《最高情報セキュリティ責任者》）はソフトウェア業界に対して、製品の市場投入のスピードよりも安全な開発手法を優先するよう強く促した。サプライチェーンが混乱することで、世界経済システムが弱体化しているという警告だ。

　同氏は2025年4月25日に発表した公開書簡で、世界中の企業は相互接続されたテクノロジーに依存していると警告し（注1）、ソフトウェアは初期設定から安全でなければならないと訴えた。

　オペット氏は「世界中の企業が少数のSaaSプロバイダーにますます依存しているため、サイバー攻撃やその他の障害が発生すれば、世界中の（電力やガス、鉄道、空港などの）重要なインフラ事業者にまで影響が及ぶ可能性がある」と述べた。

　オペット氏によると、JPMorgan Chaseの関係者は警告を発するに至った混乱の兆しを間近で目の当たりにしてきたという。

　「過去3年間にわたり、当社のサードパーティープロバイダーは環境内で多数のインシデントを経験した。これらのサプライチェーン全体にわたるインシデントに対して、当社は迅速かつ断固とした対応を求められ、一部の侵害されたプロバイダーを隔離するとともに、脅威緩和に多大なリソースを投入しなければならなかった」（オペット氏）

　メイン州司法長官事務所への届出によると（注2）、JPMorgan Chaseは2024年に45万1800人以上に影響を及ぼしたサードパーティー製ソフトウェアの問題を公表した。脆弱（ぜいじゃく）性があったために、3人の従業員が退職年金加入者の特定の記録を閲覧可能になっていた。

　金融情報を発信するBloombergによると、2024年7月に発生したCrowdStrikeの不具合のあるソフトウェアアップグレードによる国際的なIT障害により（注3）、銀行は取引を中断しなければならなくなった。この障害では850万台のWindows端末が故障し（注4）、航空や医療、金融サービスをはじめとする多くの重要な業界に広範な混乱が生じた。

　オペット氏は書簡で、OAuthのような最新の認証プロトコルはサードパーティーのサービスと企業の内部リソースの間に直接的な接続を作り出すため、攻撃者が機密データや内部通信にアクセスしやすくなると指摘した。

　攻撃者は機密文書へのアクセスやシステムの妨害を狙って、ますますサードパーティーの技術提供者を標的にするようになっている。2025年3月に公開された記事では、中国と関連するスパイ活動グループ「Silk Typhoon」がリモートアクセスツールやクラウドアプリケーションを悪用し、標的のネットワークに初期侵入を試みた事例が報告されており、オペット氏はこれを引用した。

　サンフランシスコで2025年4月28日から同5月1日に開催されたカンファレンス「RSAC」の前夜に、オペット氏は書簡を執筆した。この会議では、ソフトウェアセキュリティなどの緊急課題について、サイバーセキュリティ業界の4万5000人以上の関係者が議論を重ねた。

サプライヤーにはどのような責任があるのか

　オペット氏は「サプライヤーが特権アクセスをどのように使用しているかについて、より高いセキュリティ基準と透明性の向上が求められる。また、機密コンピューティングのような技術は、サプライヤーが機密情報を扱う際のリスクを軽減できる」と述べた。

　オペット氏は「Cybersecurity Dive」に対して次のように語った。

　「私たちはソフトウェア業界が現在のリスクの重大性を認識し、さまざまな分野で協力して取り組むことを期待している」

　オペット氏の書簡はサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の元長官ジェン・イースタリー氏がソフトウェア業界に対して「セキュア・バイ・デザイン」の原則を採用するように求めた最近の呼び掛けに呼応したものだ。

　ソフトウェアセキュリティのリーダーたちはこの書簡を歓迎したものの、中には潜在的な法的責任を含むさらに厳しい対策を求める声もあった。

　サイバーセキュリティ事業を営むSonatypeのブライアン・フォックス氏（共同創業者兼最高技術責任者）は、Cybersecurity Diveに対して次のように語った。

　「ソフトウェアのサプライチェーンは特有の脆弱性を抱えている。上流から下流に至るソフトウェア全体を一つの組織が構築しているわけではないため、攻撃者による悪用の機会が生まれてしまう」

出典：JPMorgan Chase CISO warns software industry on supply chain security（Cybersecurity Dive）
注1：An open letter to third-party suppliers（J.P.Morgan）
注2：Data Breach Notifications（Maine.gov）
注3：JPMorgan, UBS and others see effects of IT outage（Banking Dive）
注4：CrowdStrike, Microsoft scramble to contain fallout from global IT outage（Cybersecurity Dive）

原文へのリンク