【サイバーインテリジェンス】世界で広がるソフトウェアサプライチェーン攻撃の事例と対策

2021-05-27

近年、ソフトウェアベンダーが意図せずサイバー攻撃に加担してしまうリスクが増加しています。ソフトウェアベンダーが開発するIT管理ソフトウェアに「バックドア」が仕込まれ、それを経由し、同ソフトウェアを導入する顧客企業に別のマルウェアが展開されることなどにより、認証情報の窃取や不正ログインの攻撃が行われるケースが実際に発生しています。サイバー攻撃者はソフトウェアのビルドプロセスを侵害してバックドアを仕込み、正規アップデートを通じて改ざんされたソフトウェアを配布するといった巧妙な手口を用いていると考えられます。

このように、標的組織が利用するソフトウェアを通じて攻撃を行う手法は「ソフトウェアサプライチェーン攻撃」と呼ばれています。本稿では、ソフトウェアサプライチェーン攻撃のパターンごとに事例を紹介し、その攻撃者像をひも解くと共に、ソフトウェアベンダーおよびユーザー企業が取るべき対策を解説します。

執筆者

名和 利男

サイバーセキュリティ最高技術顧問, PwC Japanグループ

Email

岩井 博樹

スレットインテリジェンスアドバイザー, PwC Japanグループ

Email

林 和洋

パートナー, PwCコンサルティング合同会社

Email

村上 純一

パートナー, PwCコンサルティング合同会社

Email

サイバーインテリジェンス

20 results
Loading...
Loading...

最新のサイバーセキュリティ&プライバシー コラム・対談

20 results
Loading...

「営業秘密」の保護と利活用

営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。

Loading...
We unite expertise and tech so you can outthink, outpace and outperform
See how