なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~_JPCERT

サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される「キーワード」の意味が正しく伝わらなければ、見当違いな対策につながってしまう恐れがあります。

今回は「サプライチェーン攻撃」として取り上げられることがある、大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因であるSSL-VPN製品の脆弱性放置の問題というインシデント対応側の観点から眺めてみたいと思います。

「サプライチェーン攻撃」という用語はどのような脅威を示しているのか
ここ2、3年ほどで「サプライチェーン攻撃」という言葉をよく耳にするようになったかと思います。取引先等へのサイバー攻撃の影響で部品供給に影響が出るケースや、比較的セキュリティ対策が弱いとされる取引先/グループ会社経由で侵入されるケースを指し示すことが多いようです。一方で、同じ用語に見える英語の「Supply Chain Attack」ですが、どこかに定義があるわけではありませんが、例えば、英NCSCのサプライチェーンセキュリティガイダンスと題したWebコンテンツには「Supply Chain Attack」の例が示されており、「Third party software providers」「Website Builders」「Third party data stores」「Watering hole attacks」の4つが示されています。

つまり、国内では製品やサービス提供の連鎖への攻撃、海外では情報のやり取りの連鎖への攻撃を示しているという違いがあるように思われます。国内においても、後者の意味で使われている、あるいは定義付けしている資料がありますが、2つの意味を包含するものとして明示的に使われていないことが多いように感じます。

https://blogs.jpcert.or.jp/ja/2022/07/ssl-vpn.html