メインコンテンツへ
セキュリティセキュリティ実践

ソフトウェアサプライチェーンセキュリティに関する脅威と対策の説明として、最も適切なものはどれか。

ア.サプライチェーンセキュリティの問題は製造業のみに関係し、ソフトウェア開発においてサプライチェーンリスクは存在しない。
イ.サプライチェーン攻撃はブルートフォース(総当たり)によるパスワード解析が主な手口であり、多要素認証の導入だけで完全に防御できる。
ウ.サプライチェーン攻撃はOSSライブラリ・ビルドパイプライン・CI/CDツールなど「信頼された経路」を改ざんして悪意あるコードを本体に混入させる手法で、SBOM管理・署名検証・依存関係の固定が対策となる。正解
エ.オープンソースライブラリは公開されているため改ざんリスクが低く、サプライチェーン攻撃のベクターにはならない。

解説

「信頼できるはずの仕入れ先を汚染する」のがサプライチェーン攻撃。自社コードが完璧でも、使っているOSSや自動ビルドツールが汚染されていれば丸ごとやられる。SolarWinds事件(2020)やxz-utils事件(2024)がその典型。

なぜ ウ が正解か

ウが正解。SolarWinds事件ではビルドパイプラインが改ざんされ、正規の更新ファイルにバックドアが混入した。対策としてはSBOMで依存関係の可視化・Sigstoreなどでのアーティファクト署名検証・package-lock.json等で依存バージョン固定・CI/CDツールへのアクセス制御強化がある。

なぜ イ は間違いか

サプライチェーン攻撃の主眼はパスワード解析ではなく、信頼されたソフトウェア供給経路への侵入。MFAだけでは防げない。

なぜ ア は間違いか

ソフトウェア開発のサプライチェーン(OSS・クラウドサービス・ビルドツール等)は現代の最重要攻撃面の一つ。製造業限定は誤り。

なぜ エ は間違いか

オープンソースライブラリは誰でも参照できるが、メンテナのアカウント乗っ取り・typosquatting(名前の似た偽ライブラリ公開)・悪意ある貢献者によるコード混入など、むしろ攻撃対象として積極的に狙われる。

出典: AI生成問題(学習用)