サードパーティソフトウェアのゼロデイ脆弱性：サプライ

ソフトウェアサプライチェーンに潜む静かな脅威を理解する

2023年5月、世界中のサイバーセキュリティチームは最悪の事態に直面しました：誰も知らなかった脆弱性がすでに大規模に悪用されていたのです。MOVEit Transferの侵害により、2,700以上の組織が被害を受け、約9330万人の個人データが漏洩しました。これは、広く使われているファイル転送ソフトウェアの未知の脆弱性一つによるものです。この事件は単なるデータ漏洩ではなく、サードパーティソフトウェアにおけるゼロデイ脆弱性が現代のサイバーセキュリティにとって最も危険な脅威の一つになったことを痛烈に思い知らされるものでした。

ゼロデイ脆弱性は、ベンダーがまだ知らないセキュリティの欠陥を指し、攻撃者が攻撃を仕掛ける前に防御側が準備やパッチを適用する時間をほぼ持てない状態を意味します。これらの脆弱性が人気のサードパーティソフトウェアに存在すると、その影響は業界全体に波及し、信頼されるツールを大量破壊兵器に変えてしまいます。

なぜゼロデイ脆弱性はそんなに壊滅的なのか？

ゼロデイ脆弱性は、組織がソフトウェアベンダーに寄せる基本的な信頼を突き崩す点で非常に危険です。他の攻撃と異なり、ゼロデイ攻撃は古いシステムや盗まれたパスワードに頼らず、未知の欠陥を突いてきます。これにより、攻撃者にはいくつかの明確な優位性が生まれます。これらの攻撃は、ファイアウォールやアンチウイルスといった従来の防御をすり抜けることができるため、セキュリティシステムには検知のためのシグネチャやパターンが存在しません。

「ゼロデイ」という用語は、海賊版ソフトウェアの世界から由来しますが、脆弱性の発見とパッチ適用の間の重要な期間を表すために進化してきました。この期間中、組織は完全に露出した状態にあり、多くの場合、攻撃の存在に気付いていません。RAND Corporationの調査によると、ゼロデイのエクスプロイトは平均6.9年使用可能であり、第三者から購入されたものは平均1.4年しか使えないとされています。

ゼロデイ攻撃のライフサイクル

ゼロデイ攻撃の展開方法を理解すると、その難しさが見えてきます：

脆弱性の導入：ソフトウェア開発中に無意識のうちに欠陥がコードに組み込まれる
発見：悪意のある者、研究者、または自動化ツールが脆弱性を特定
エクスプロイトの開発：攻撃者が脆弱性を武器化するコードを作成
静かな悪用：ベンダーが気付く前に攻撃が開始される
公開開示：脆弱性が防御側に知られる
パッチの開発：ベンダーが修正を作成・テスト
パッチの展開：組織が更新を適用するが、多くは遅れる

最も重要な期間は、発見と公開の間です。ハッカーは、脆弱性を公開してから14日以内にエクスプロイトを作成できることが多いですが、一度ゼロデイ攻撃が始まると、ベンダーは迅速に対応し、数日以内にパッチをリリースすることが一般的です。

MOVEit Transferの破滅：サプライチェーン破壊のケーススタディ

MOVEit Transferの侵害は、史上最大級のサプライチェーン攻撃の一つとして位置付けられ、単一のゼロデイ脆弱性が前例のない規模のドミノ効果を引き起こす例を示しています。2023年5月27日、ロシア語を話すサイバー犯罪組織Cl0pは、MOVEitソフトウェアのSQLインジェクションのゼロデイ脆弱性を悪用し始めました。証拠によると、彼らは2021年7月からこの脆弱性とMOVEitデータベースへのアクセスをテストしていたとされています。

攻撃の仕組み

Progress Softwareの子会社が開発したマネージドファイル転送ソリューションのMOVEit Transferは、業界を問わず機密データの安全な送信に使われています。この脆弱性により、攻撃者はSQLインジェクションを利用して公開サーバーを攻撃し、Webシェル「LEMURLOOT」を仕込んでデータベースから情報を盗み出しました。

この攻撃の特に狡猾だった点は、攻撃者の準備とソフトウェアの広範な展開にあります。2023年5月27日の最初の悪用からわずか数日で、世界中の何千もの組織が被害に遭い、CISAはアメリカ国内だけで3,000以上、世界中で8,000以上の組織が影響を受けたと推定しています。

波及効果：サプライチェーンの増幅

MOVEitの侵害の真の破壊力は、そのサプライチェーンの性質にあります。コロラド州立大学のデータは、6つの異なるベンダーによって6回も漏洩されており、直接MOVEitを使っていなくても被害に遭っています。この乗数効果により、単一の脆弱性が世界的な危機に発展し、医療、金融、政府、教育など多岐にわたるセクターに影響を及ぼしました。

MOVEitのゼロデイエクスプロイトは少なくとも100の顧客に直接被害をもたらしましたが、下流の結果を考慮すると、PBIのMOVEit環境を悪用した組織は最終的に少なくとも354の追加組織を侵害しました。この攻撃は、「ヒドラの頭のような侵害」と呼ばれ、一つの組織の侵害が数十、あるいは数百の二次被害者を生み出す結果となりました。

経済的・人的コスト

MOVEitの侵害による経済的影響は計り知れず、今も拡大しています。IBMのデータによると、データ漏洩一件あたり平均165ドルのコストがかかるとされており、MOVEit事件の潜在的コストは158億ドルを超える可能性があります。直接的な金銭的損失だけでなく、信用監視、訴訟、規制罰金、修復作業などの継続的な費用も発生し、初動後も長く続きます。

一例として、ウィスコンシン医師サービスは2024年5月に、初期パッチから1年後に、Cl0pが名前、社会保障番号、生年月日、Medicare受給者IDを含むファイルを抜き出したことを発見しました。この遅れた発見は、ゼロデイ攻撃が長期的な影響をもたらすことを示しています。

増加する潮流：ゼロデイエクスプロイトの傾向

MOVEit攻撃は孤立した事件ではなく、危険な傾向の一端を示しています。2023年、アイデンティティ盗難リソースセンターは、2022年の8件から2023年には110件へとゼロデイ攻撃が劇的に増加したと報告しており、脅威の状況が根本的に変化していることを示しています。この指数関数的な増加は、攻撃者の巧妙さの向上と、複雑なソフトウェアサプライチェーンによる攻撃面の拡大を反映しています。

なぜゼロデイは頻発しているのか

いくつかの要因がゼロデイの増加を促しています：

ソフトウェアの複雑性の増大：企業のネットワークはより複雑になり、クラウドとオンプレミスアプリ、企業所有と従業員所有のデバイス、IoTやOTデバイスを組み合わせて使用しています。これらの追加コンポーネントは、攻撃者が発見・悪用できる潜在的な脆弱性を増やします。

オープンソース依存の拡大：現代のソフトウェアはオープンソースコンポーネントに大きく依存しています。ほぼすべてのコードベースの80%以上に少なくとも一つのサードパーティコンポーネントが含まれ、開発効率は向上しますが、これらのコンポーネントは誰でもアクセスでき、徹底的にテストされるため、ゼロデイ攻撃のリスクが高まります。

組織犯罪の進化：ランサムウェアグループは、機会主義的な攻撃者から、ゼロデイ脆弱性を狙う洗練された組織へと進化しています。Cl0pランサムウェアギャングは、2020-2021年のAccellionのFile Transfer Applianceや2023年のFortraのGoAnywhere MFTなど、管理されたファイル転送プラットフォームのゼロデイ脆弱性を繰り返し悪用しています。

ターゲット選定：なぜMFTやサプライチェーンツールなのか？

攻撃者は戦略的な理由から、管理されたファイル転送ソリューションやその他のサプライチェーンインフラを標的にしています。これらのツールは、ビジネス運営の重要な接点に位置し、組織間の機密データの流れを扱います。2024年には、Cleoのファイル転送ソフトウェアにおいて2つの重要な認証バイパスの脆弱性が発見され、新たな悪用の波が来るのではないかと懸念されています。特に、過去にランサムウェアグループがMFT製品を標的にしてきたこともあり、注目されています。

2024年、Cl0pは第三者侵害の41.5%を占め、ゼロデイ脆弱性の悪用による被害が拡大しています。これにより、従来のターゲット型攻撃と比べて、より広範囲に影響を及ぼす攻撃が可能となっています。

MOVEit以外の最近のサプライチェーンゼロデイ攻撃

この脅威の状況は、単一の事件にとどまりません。近年、複数の壊滅的なサプライチェーン攻撃が発生しています：

VeraCore Warehouse Management System（2020-2024）

XEグループは、2020年から悪用されていたVeraCoreの脆弱性を利用し、製造・流通業界のサプライチェーンを侵害しました。サイバー犯罪者は、被害組織へのアクセスを4年以上も維持し続けました。この事例は、ゼロデイ脆弱性が長期的なアクセスを可能にし、攻撃者が繰り返し利益を得ることを示しています。

CI/CDパイプラインの標的

攻撃者は、CI/CDツールの脆弱性を狙います。これらのツールは、インターネットに公開されている場合、企業ネットワークへの入り口となるだけでなく、ソフトウェア開発パイプラインを侵害し、ソフトウェアサプライチェーン攻撃につながる可能性があります。これは、ソフトウェア作成プロセス自体を攻撃対象とする動きに変化しています。

侵害の加速パターン

2024年には、ソフトウェアサプライチェーンへの攻撃が少なくとも2日に1回のペースで発生し、米国企業やITプロバイダーが全攻撃の3分の1を占めています。これらの攻撃の頻度と高度化は、サプライチェーンの悪用が偶発的なものではなく、主要な攻撃経路になりつつあることを示しています。

サードパーティソフトウェアがもたらす完璧な嵐

サードパーティソフトウェアの脆弱性は、特有の課題を生み出し、その危険性を増大させます：

信頼の弱点

組織は、ファイル転送や認証などの重要な操作をサードパーティベンダーに委ねています。この信頼は、セキュリティチームがベンダーのセキュリティ対策を十分に把握していない盲点を生み出します。もし、組織が堅牢なシステムを構築していても、攻撃者がより簡単に侵入できるサプライヤーを狙うと、サプライチェーン攻撃のリスクは高まります。

可視性の制限

ほとんどの組織は、ベンダーのセキュリティ状況を十分に把握できていません。侵害通知が届くまで、サードパーティシステム内の怪しい活動を監視できず、遅れて気付くケースが多いです。MOVEitの侵害もこれを象徴しており、多くの組織はCl0pがダークウェブのリークサイトに被害者リストを公開したときに初めて気付いたのです。

アップデート依存

ベンダーが迅速にパッチをリリースしても、組織はそれを待ち、複雑な環境に展開しなければなりません。これにより、パッチがあってもシステムが長期間脆弱なままになるリスクが生まれます。Progress Softwareは2023年5月31日から7月6日の間に複数の脆弱性に対してパッチを出しましたが、その発見から対策までの時間は脆弱性の複雑さや組織の対応速度によって大きく異なります。

影響の乗算

サプライチェーン攻撃は、ベンダー関係の乗算的性質を利用します。一つの侵害されたベンダーが、数十、あるいは数百のクライアント組織を危険にさらすことになり、これらの組織もまた自らのクライアントやパートナーを持つため、被害は連鎖的に拡大します。これを完全に把握・封じ込めるのは非常に困難です。

経済的・戦略的影響

ゼロデイサプライチェーン攻撃は、個別の侵害を超えた影響をもたらします：

エクスプロイトの市場

ブラックマーケットでは、ゼロデイ脆弱性の取引が盛んです。リモートのゼロクリックエクスプロイトは最高値をつけ、ローカルアクセスを必要とするものは格安です。広く使われているソフトウェアの脆弱性は高額で取引され、継続的な脆弱性研究を促しています。

国家主導の関与

ゼロデイ脆弱性は、金融犯罪だけでなく、戦略的な目的にも利用されます。国家主導のアクターや高度な犯罪組織は、未修正の脆弱性を利用し続け、Volt TyphoonやSalt Typhoonのようなグループは、未パッチの脆弱性を通じて運用技術システムを標的にしています。

保険と責任

サプライチェーン侵害のコスト増大により、サイバー保険市場も変化しています。保険会社は、ベンダーのリスク管理を厳しく評価し、十分なデューデリジェンスを示せない場合は補償を除外するケースもあります。

検知と防御：見えない敵との戦い

サードパーティソフトウェアのゼロデイ脆弱性に対抗するには、従来のセキュリティとは異なるアプローチが必要です：

挙動分析による検知

ゼロデイエクスプロイトは既知のシグネチャがないため、異常な挙動を特定することに頼ります。最新のセキュリティソリューションは、機械学習や挙動分析を用いて、正常なパターンから逸脱した活動を検知し、広範な被害が出る前にゼロデイ攻撃を察知します。

サプライチェーンの可視性

組織は、自社ネットワークだけでなく、ベンダーのエコシステムまで監視範囲を拡大する必要があります。SecurityScorecardのSupply Chain Detection and Response (SCDR)は、ベンダー環境におけるエクスプロイトの兆候を早期に警告し、迅速な対応を可能にします。

迅速な対応プロトコル

ゼロデイ脆弱性が発覚した場合、迅速な対応が被害の拡大を防ぎます。具体的には： - 公表された脆弱性への露出を迅速に評価 - パッチがすぐに適用できない場合の回避策の実施 - 影響を受けたシステムの隔離 - ベンダーやセキュリティパートナーとの情報共有

Zero Trustアーキテクチャ

ゼロトラストの原則を導入することで、侵害されたシステムがアクセスできる範囲を制限し、被害を抑制します。攻撃者が脆弱性を突いても、強固なアクセス制御とネットワークのセグメント化により、被害の拡大を防ぎつつ、検知の機会も増えます。

ベンダーリスク管理：最初の防衛線

サプライチェーンのゼロデイ災害を防ぐには、ソフトウェア展開前の対策が重要です：

厳格なベンダー評価

ベンダーのセキュリティ対策を包括的に評価します： - 脆弱性の追跡と管理方法 - ゼロデイインシデントへの対応能力 - バグバウンティプログラムの有無 - 過去のセキュリティインシデントへの対応速度

契約におけるセキュリティ要件

契約には、脆弱性通知のタイムラインやセキュリティ監査のサポート、インシデント対応の責任範囲など、具体的なセキュリティ基準を盛り込みます。サービスレベルアグリーメント（SLA）には、ゼロデイシナリオも明記します。

継続的な監視

ベンダーリスク評価は年次のチェックボックスではありません。多くの組織は、年次評価だけで十分と誤解していますが、攻撃者はそれよりも速く動くため、リアルタイムのゼロデイ検知とサプライチェーンの監視が必要です。

最前線からの教訓

MOVEitの侵害や類似の事件は、重要な教訓を提供します：

早期検知の重要性

Progress Softwareは2023年5月28日にソフトウェア環境の怪しい活動を最初に把握し、5月31日までに未知の脆弱性を特定し、迅速に通知とパッチを行いました。しかし、攻撃者はその数日前から悪用を始めており、継続的な監視の重要性を示しています。

複数の脆弱性の発見

MOVEitのコードレビューにより、さらに5つのゼロデイ脆弱性が発見され、2023年7月6日までに修正されました。これは、一つの脆弱性の発見が他の脆弱性の発見につながることを示し、徹底したセキュリティ監査の必要性を裏付けています。

データの循環

2024年11月、初期のMOVEit攻撃から1年以上経った後も、主要企業の従業員記録280万件以上が闇市場のフォーラムに投稿されました。これは、ゼロデイ侵害の被害データが長期にわたり流通し続けることを示しています。

今後の道筋：レジリエンスの構築

ゼロデイサプライチェーンの脅威に対処するには、業界全体の変革が必要です：

ソフトウェアサプライチェーンの透明性

SBOM（Software Bills of Materials）の導入により、ソフトウェアの構成要素と依存関係の可視化が進みます。脆弱性が出た場合、影響を受けるシステムを迅速に特定できるため、混乱を避けられます。

セキュアな開発実践

Ivantiのエクスプロイトやその他の重要な脆弱性は、セキュアコーディングとセキュリティ対策の徹底の必要性を示しています。ベンダーは、開発サイクル全体でセキュリティを優先すべきです。

情報共有

ベンダー、セキュリティ研究者、エンドユーザー間の迅速な脅威情報共有は、露出期間を大幅に短縮します。ゼロデイ攻撃を検知したら、即座に他のユーザーに通知し、防御行動を取ることが重要です。

規制の強化

世界各国の新たな規制は、ソフトウェアベンダーに対しセキュリティ脆弱性の責任を求める方向に進んでいます。これにより、市場はより良いセキュリティ実践と透明な脆弱性開示を促進します。

結論：継続的な備えの必要性

サードパーティソフトウェアのゼロデイ脆弱性は、永続的な課題です。3年で2回目の大規模侵害が起きており、2024年初頭までに新たに公開されたCVEsの半数以上が、ベンダーが修正を行う前に悪用されています。この傾向は今後も続く見込みです。

MOVEit Transferの侵害は、広く使われているソフトウェアが、発見・悪用されるべき壊滅的な脆弱性を抱えていることを示しました。2024年だけでも75のゼロデイ脆弱性が野放しで悪用されており、その44%がエンタープライズシステムを標的としています。組織は、ゼロデイの悪用が日常的な脅威となったことを認識し、常に警戒を怠らない必要があります。

この環境で成功するには、従来の境界防御を超えた、深層防御戦略を採用することが求められます。侵害は起こるものと想定し、迅速な検知と封じ込めに注力し、ベンダー管理や継続的監視、インシデント対応能力を高めることが重要です。サプライチェーンのタイムボムは引き続き動き続けています。次の大規模なゼロデイ攻撃がいつ起こるかはわかりませんが、その時に備え、理解と準備を進めることが求められます。脅威を理解し、堅牢なベンダーリスク管理を実施し、監視を怠らず、迅速な対応能力を養うことで、これらの壊滅的な攻撃のリスクを大きく減らすことができるのです。

注：この記事は2025年11月に調査・執筆され、ゼロデイ脆弱性とサプライチェーンのセキュリティ脅威に関する最新情報を反映しています。