English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
AI とサプライ チェーンの可視化が OT セキュリティの脅威を軽減する鍵となる
May 30, 2024ipopba - Stock.adobe.com
公共事業、交通機関、製造業などの重要情報インフラ(CII)に対する執拗なサイバー攻撃は収まる気配がありません。 脅威アクターと敵対者は、これらの重要なリソースを支える運用テクノロジー (OT) がサイバー脅威に対して脆弱であることを発見しました。
彼らはまた、攻撃が成功すると国民に壊滅的な被害をもたらし、政治的、経済的不安を引き起こす可能性があることも発見した。 2021 年にコロニアル パイプラインに対するランサムウェア攻撃により、航空便がキャンセルされ、数百万人のアメリカ人が自動車用の燃料を購入できなくなりました。 2016年のウクライナの送電網に対する攻撃でも、真冬に70万人が停電した。
シンガポールもこうした脅威と無縁ではありません。 水、エネルギー、輸送、石油化学、製造能力を維持するために高度に接続されたテクノロジーに依存している国として、進化する国境を越えたサイバー脅威の状況と相まって、シンガポールは潜在的な標的とみなされています。 攻撃者の動機は、ウクライナの送電網への攻撃の場合のように政治的なものである可能性もあれば、植民地パイプライン攻撃の場合のように純粋に金融的なものである可能性もありますが、シンガポールが準備をしていなければ、その影響は甚大なものになる可能性があります。
シンガポール政府による運用技術サイバーセキュリティ専門家委員会 (OTCEP) の設立は、重要な前進です。 シンガポールは、世界中の業界専門家の総合的な経験を活用することで、世界クラスのポリシーと手順を開発し、その専門知識を重要なシステムを担当する関係者と共有してきました。
2020 年の SolarWinds に対する攻撃では、ソフトウェア サプライ チェーンの脆弱性が脅威アクターによって悪用される可能性があることが浮き彫りになりました。 これは、脅威アクターにとって、信頼できるサプライヤーを攻撃して、意図したターゲット (この場合は複数の米軍および政府機関) にアクセスすることがいかに魅力的であるかを明らかにしました。
合計すると、攻撃者は、大手通信会社、電力会社、および米国のフォーチュン 500 企業のほとんどで、18,000 を超える企業および政府のシステムにアクセスしました。 幸いなことに、攻撃者が利用したのはこれらの橋頭堡のほんの一部だけでした。米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) の推定では 100 未満とされていますが、それでも 1 社のソフトウェア会社を侵害した後では、丸一日かかる作業でした。
Sonatype によると、この注目を集めた事件以来、ソフトウェア サプライ チェーン攻撃は 742% という驚くべき割合で増加しています。 米国と欧州の政府はこの脅威の緊急性を認識し、迅速に新しい法律や指令を発令しています。 他の地域もこれに倣うことを期待しています。 ソフトウェアのサプライチェーンは国境を越えるため、どの国も影響を受けないわけではないため、協力が鍵となります。
ランサムウェアとサプライチェーン攻撃ではどちらが心配かと聞かれたことがあります。 これらは相互に排他的ではないため、私は通常「コンボ」と答えます。 ランサムウェアはペイロードです。 サプライチェーンは攻撃ベクトルです。 2021年のカセヤの攻撃で見られたように、アタッカーたちは戦略を「組み合わせ」始めている。
多くのマネージド セキュリティ サービス プロバイダーで使用されているソフトウェアを作成している Kaseya は、800 を超える中小企業 (SMB) にランサムウェアを配布するための意図せぬ手段となっていました。 幸いなことに、ほとんどの中小企業は OT システムを運用していませんが、シンガポールの脅威アクターや敵対者にとってハイブリッド攻撃の有効性が失われることはありませんでした。
ソフトウェア サプライ チェーンのセキュリティを確保することは、現在、特に CII 分野の企業にとって、ビジネス戦略全体の重要な側面となっています。 ソフトウェア サプライ チェーン全体の透明性とすべてのサードパーティ組み込みソフトウェアの認識は、人命を救い、社会が依存する重要なプロセスと機器を保護するのに役立ちます。
破壊的なテクノロジーの出現に伴い、OT システムのオペレーターとサプライヤーにとって革新の準備ができていることが重要です。
サイバー セキュリティにおける人工知能 (AI) の役割を考えてみましょう。AI は英雄になるのでしょうか、それとも悪役になるのでしょうか? 研究者らは、脅威アクターが ChatGPT のような生成 AI システムをどのように利用してソフトウェア サプライ チェーンを汚染するかを実証しました。 開発者は共通リポジトリ内のソフトウェア パッケージを推奨するために AI に注目するかもしれませんが、開発者が返す提案には「幻覚」、つまり実際には存在しない現実的なパッケージが含まれることがよくあります。 攻撃者が行う必要があるのは、悪意のあるパッケージを作成し、幻覚にちなんだ名前を付け、疑うことを知らない開発者が作成するソフトウェアにそのパッケージを組み込むのを待つことだけです。