サプライチェーン攻撃

サプライチェーンとは、資源をベンダーから最終消費者の手に届けるために、商品の取り扱い、流通、製造、加工に関わる活動のシステムである。サプライチェーンは、需要と供給によって支配される相互接続されたプレーヤーの複雑なネットワークである^[6]。

サプライチェーン攻撃は、普遍的に合意された定義のない広義の用語であるが^[7][8]、サイバーセキュリティの文脈では、サプライチェーンネットワークの下流にいるプレーヤーに害を及ぼす目的で、検出不可能なマルウェアをインストールするために電子機器（コンピュータ、ATM、電力システム、工場のデータネットワーク）を物理的に改ざんすることを含む^[2][4][9]。

また、この用語はソフトウェアサプライチェーンを悪用する攻撃を説明するためにも使われる。他のソフトウェアが使用する一見低レベルまたは重要でないソフトウェアコンポーネントを利用して、そのコンポーネントに依存するより大きなソフトウェアに悪意のあるコードを注入することができる^[10]。

より広義の意味では、サプライチェーン攻撃は必ずしも電子機器を伴うとは限らない。2010年に窃盗団が製薬大手イーライリリー・アンド・カンパニーの供給倉庫に屋根に穴を開けて侵入し、8000万ドル相当の処方薬をトラックに積み込んだ事件も、サプライチェーン攻撃に分類される^[11][12]。

この記事では、サイバーセキュリティに関係する物理的な供給ネットワークへのサイバー攻撃について論じるため、サプライチェーン攻撃はコンピュータ犯罪者が用いる手法として扱う^[13]。

情報システムに対するサプライチェーン攻撃は、一般に、持続的標的型攻撃（APT）^[14]から始まる。APTは、標的組織に影響を与えるために、サプライチェーンの中で最もサイバーセキュリティが脆弱な部分を特定する^[13]。ハッカーは通常、米国政府のような大規模な組織を直接標的にするのではなく、その組織のソフトウェアを標的にする。サードパーティのソフトウェアは保護が手薄なことが多く、より容易な標的となる^[15]。ベライゾン・エンタープライズが作成した調査によると、調査対象となったサイバーセキュリティインシデントの92%が中小企業で発生していた^[16]。サプライチェーンネットワークは、複数の相互接続された要素からなるため、特に脆弱であると考えられている^[15]。

APTでは、製品を物理的に改ざんすることで、機密情報にアクセスする方法がとられることがよくある^[17]。2008年10月、ヨーロッパの法執行当局はたクレジットカード詐欺集団を摘発した。この詐欺集団は、中国製のクレジットカードリーダーに追跡不可能なデバイスを挿入することで顧客の口座情報を盗み、銀行からの現金引き出しやインターネット購入を行い、推定1億ドルの損失をもたらした^[18]。

サプライチェーン攻撃の脅威は、現代の組織にとって重大なリスクをもたらす。攻撃は情報技術分野に限定されず、石油産業、大手小売業、製造業など、複雑な供給ネットワークを持つほぼすべての産業に影響を及ぼす^[2][9]。

情報セキュリティフォーラムは、サプライチェーン攻撃から生じるリスクは供給業者との情報共有に起因すると説明している。「供給業者との情報共有はサプライチェーンが機能するために不可欠であるが、同時にリスクも生み出す。サプライチェーンで漏洩した情報は、組織内部から漏洩したものと同じくらい損害を与える可能性がある」と述べている^[19]。

National University of Computer and Emerging SciencesのMuhammad Ali Nasirは、前述のリスクをグローバル化と関連付け、「...グローバル化、分散化、サプライチェーンのアウトソーシングにより、関与するエンティティの数が増え、それらも世界中に散らばっているため、露出ポイントの数も増加した...サプライチェーンへのサイバー攻撃は、その波及効果のために一度に多くの関連エンティティに損害を与える最も破壊的な方法である」と述べている^[20]。

管理が不十分なサプライチェーン・マネジメントシステムは、サイバー攻撃の重大な危険となり、機密性の高い顧客情報の損失、製造プロセスの混乱、企業の評判の毀損につながる可能性がある^[21]。

Summarize Timeline Top Qs Fact Check

『WIRED』は、2019年5月3日、ソフトウェアサプライチェーン攻撃に関連する手口を報じた^[22]。 これらは、海賊版サイトに投稿された、人気の海賊版コンパイラから拡散したと推測されている。つまり、AppleのXcodeやMicrosoft Visual Studioの改ざんされたバージョンである^[23]。 （理論的には、コンパイラが信頼の基点である場合、交互コンパイラ^[24]がコンパイラ攻撃を検出する可能性がある。）

2013年末、米国の小売業者であるターゲットは、小売業界史上最大級のデータ漏洩事件に見舞われた^[25]。

2013年11月27日から12月15日にかけて、ターゲットの米国内の実店舗でデータハッキングが発生した。1,800以上の店舗のPOSシステムにマルウェアが仕掛けられ、約4,000万人の顧客のクレジットカードおよびデビットカードの情報が流出した^[25]。ターゲットの顧客情報漏洩は、同社の利益に直接的な影響を与え、2013年第4四半期の利益は46%減少した^[26]。

この事件の6ヶ月前、同社は160万ドルのサイバーセキュリティシステムの導入を開始していた。ターゲットには、コンピュータを常時監視するためのセキュリティ専門家チームがいた。それにもかかわらず、サプライチェーン攻撃はこれらのセキュリティ対策を回避した^[27]。

サイバー犯罪者は、サードパーティのサプライヤーに侵入してターゲットの主要データネットワークにアクセスしたと考えられている^[28]。公式には確認されていないが^[29]、捜査当局は、2013年11月15日に、ハッカーが、ペンシルベニア州に拠点を置くHVACシステムのプロバイダーであるFazio Mechanical Servicesから盗んだパスコード認証情報を使用し、最初にターゲットのネットワークに侵入したと疑っている^[30]。

顧客から不注意と補償損害を理由に、ターゲットに対して90件の訴訟が提起された。第4四半期の投資家向け報告書によると、ターゲットはこの情報漏洩への対応に約6,100万ドルを費やした^[31]。

スタクスネットは、米国とイスラエルの共同サイバー作戦で使用されたとされるワームである（両政府とも公式に関与を認めていない）。このワームは、特に工場の機械や核濃縮装置のような電気機械プロセスを自動化する産業用制御システムを標的とする。スタクスネットは、プログラマブルロジックコントローラ（PLC）を操作するように設計されており、不正なコマンドを発行して産業機器を混乱させると同時に、偽の操作データを監視システムに送り込んでその活動を隠蔽する^[32][33]。

スタクスネットは、イランの濃縮ウラン計画を妨害するために開発されたと広く信じられている。シマンテックのセキュリティレスポンス担当シニアディレクターであるケビン・ホーガンは、感染のほとんどがイランで発生したと述べた^[34]。アナリストは、その主な標的はナタンズ核施設のウラン濃縮施設であったと示唆している^[32]。

スタクスネットは当初、感染したUSBフラッシュドライブを介してイランのナタンズ核施設に持ち込まれたため、標的ネットワークへの物理的なアクセスが必要であった。報告によると、エンジニアやメンテナンス作業員が、意図的かどうかにかかわらず、その施設への侵入を助長した。一度侵入すると、ワームは自律的に拡散し、Windowsシステムの複数のゼロデイ脆弱性を悪用して、シーメンスの産業用制御ソフトウェアを実行するネットワーク上のマシンに伝播した^[32][35][36]。

近年、Suceful、Plotus、Tyupkin、GreenDispenserとして知られるマルウェアが、世界中、特にロシアとウクライナの現金自動預け払い機（ATM）に影響を与えている^[37]。GreenDispenserは特に、攻撃者が感染したATMシステムに近づき、その現金庫を取り外すことを可能にする。インストールされると、GreenDispenserはATMに「故障中」のメッセージを表示することがあるが、適切なアクセス認証情報を持つ攻撃者は、ATMの現金庫を空にし、追跡不可能な削除プロセスを使用してシステムからマルウェアを削除することができる^[38]。

他の種類のマルウェアも通常、同様の挙動を示し、マシンのメモリストレージから磁気ストライプデータを取得し、マシンに現金を引き出すよう指示する。この攻撃には、ATM技術者やマシンの鍵を持つなどの内部アクセス権を持つ人物が、マルウェアをATMに仕掛ける必要がある^[39]。

2014年3月に東ヨーロッパの銀行機関の50台以上のATMで活動していたTyupkinマルウェアは、当時、米国、インド、中国にも拡散したと考えられている。このマルウェアは、Microsoft Windows 32ビットオペレーティングシステムを実行する主要メーカーのATMに影響を与える。マルウェアは各マシンの利用可能な金額情報を表示し、攻撃者が各ATMの選択されたカセットから40枚の紙幣を引き出すことを可能にする^[40]。

2017年6月、セキュリティ研究者は、ウクライナで広く使用されている財務ソフトウェアM.E.Docが、NotPetya マルウェアの拡散の初期媒介として使用されていることを特定した。Microsoftを含むセキュリティ研究者たちは、NotPetyaの感染が、M.E.Docを通じて発行された侵害されたアップデートから始まった可能性を示唆した。一部のアナリストはこれをサプライチェーン攻撃と表現したが、侵害の正確な方法は明確に特定されていない。ソフトウェアの開発者はこの主張を否定したが、後に声明を削除し、捜査に協力していると述べた^[41][42][43]。

NotPetyaは当初、ハードディスクを暗号化し、ビットコインでの身代金要求を表示するため、ランサムウェアに分類された。しかし、復号キーを提供するために使用されたメールアカウントが閉鎖され、被害者はファイルを回復する手段を失った。WannaCryとは異なり、NotPetyaには組み込みのキルスイッチがなく、停止が困難であった。この攻撃はウクライナの複数の産業に影響を与え、銀行、空港、キエフの地下鉄、製薬会社、チェルノブイリ原子力発電所の放射線検出システムなどが被害を受けた。また、ロシア、イギリス、インド、米国などの組織にも世界的に拡散した^[44]。

NotPetyaは、もともとアメリカ国家安全保障局（NSA）によって開発され、後に流出した脆弱性であるEternalBlueを使用して拡散した。EternalBlueは、2017年5月のWannaCryサイバー攻撃で以前に使用されていた。このエクスプロイトにより、NotPetyaはWindowsのServer Message Block（SMB）プロトコルを介して拡散することができた。マルウェアはまた、PsExecとWindows Management Instrumentation（WMI）を使用してネットワーク内で拡散した。これらのエクスプロイトにより、ネットワーク上のデバイスが1台感染すると、マルウェアは接続されている他のシステムに急速に拡散することができた^[44]。

ウクライナ警察は、M.E.Docの従業員が過失で刑事責任を問われる可能性があると述べ、同社のサイバーセキュリティインフラのセキュリティ脆弱性について、ウイルス対策企業から繰り返し警告があったことを挙げた。ウクライナのサイバー警察の責任者であるセルヒー・デミデュク大佐は、M.E.Docが自社システムの弱点についてセキュリティ企業から繰り返し警告されていたにもかかわらず、行動を起こさなかったと主張し、「彼らはそれを知っていた」と述べた。当局は後に、M.E.Docが捜査に協力したと報告した^[43]。

2018年8月21日から9月5日にかけて、ブリティッシュ・エアウェイズが攻撃を受けた。ブリティッシュ・エアウェイズのウェブサイトの支払いサイトに、顧客の支払いデータを収集するコードが含まれていた。注入されたコードは、クレジットカード情報をドメインbaways.comに転送するように書かれており、これはブリティッシュ・エアウェイズに属するものだと思われる可能性があった^[45]。

Magecartがこの攻撃の背後にいると考えられている。Magecartは、オンライン支払いプロセスを通じて顧客情報を盗むためにWebスキミングの手法を使用する複数のハッカーグループに付けられた名前である^[46]。この攻撃の結果、約38万人の顧客の個人情報と金融データが漏洩した。ブリティッシュ・エアウェイズは後に、2018年10月に、さらに18万5千人の顧客の個人情報も盗まれた可能性があると報告した^[47]。

2020年、情報技術インフラ企業であるSolarWindsはサプライチェーン攻撃を受けた。同社は、複数の米国連邦機関が使用するソフトウェアを提供していた^[48][49]。これにはアメリカ合衆国国家核安全保障局（NNSA）内のネットワークも含まれる^[50][51]。ロシアのハッカーが、SolarWindsが開発したネットワーク管理ソフトウェアであるOrionを侵害し、ソフトウェアのアップデートに悪意のあるコードを注入した。これにより、ITの監視と管理にOrionを利用していた複数の米国政府機関を含む多数の組織への不正アクセスが可能になった^[52]。

2020年12月13日、アメリカ合衆国国土安全保障省は緊急指令21-01「SolarWinds Orionコード侵害の緩和」を発令し、影響を受けた連邦機関に対し、侵害されたWindowsホストOSインスタンスをエンタープライズドメインから切断し、信頼できるソースを使用してそれらのホストを再構築するよう要求した^[53]。

2020年12月、FireEyeは、SolarWinds Orionソフトウェアに関わるサイバー侵害を特定した。このソフトウェアは発見前に侵害されていた。Microsoftも影響を受けた組織の1つであり、侵害に関連する悪意のあるファイルを検出し、削除した^[54][55]。Microsoftはその後、この事件に関する進行中の調査の一環としてFireEyeと協力している。このサイバー攻撃は、北米、ヨーロッパ、アジア、中東の政府、コンサルティング、テクノロジー、通信、採掘セクターなど、さまざまな業界で使用されているサプライチェーンソフトウェアを標的としていた^[55]。

2021年1月5日、連邦捜査局（FBI）、サイバーセキュリティ・社会基盤安全保障庁（CISA）、国家情報長官室（ODNI）、およびアメリカ国家安全保障局（NSA）の共同声明によると、SolarWindsの侵害によって約18,000の公共および民間セクターの組織が影響を受けたものの、侵害が確認された米国政府機関は10未満であった^[56]。

2021年2月、マイクロソフトは、攻撃者が以下の３つのサブセットファイルをダウンロードしたと報告した^[57]。

• 「Azureコンポーネントの小さなサブセット」
• 「Intuneコンポーネントの小さなサブセット」
• 「Exchangeコンポーネントの小さなサブセット」

これらのマイクロソフトのリポジトリには、本番環境の認証情報は含まれていなかった^[57]。リポジトリは12月に保護され、これらの攻撃は1月に停止した^[57]。しかし、2021年3月には、Exchange Serverの欠陥を介してインストールされたバックドアを通じて、2万以上の米国組織が侵害された^[58]。影響を受けた組織は、信用組合、町役場、中小企業など、自己ホスト型（クラウドベースではなくオンプレミス）の電子メールを使用していた。欠陥は2021年3月2日に修正されたが、2021年3月5日までに、侵害された組織のわずか10%しかパッチを適用しておらず、バックドアは開いたままであった^[59]。米国当局は、2020年12月に影響を受けた組織よりも小規模な、影響を受けた組織に通知しようと試みている^[60]。

マイクロソフトは、Indicators of Compromise（侵害の痕跡）ツールを更新し、Exchange Serverの欠陥に対する緊急緩和策をリリースした^[61]。SolarWindsとマイクロソフトのソフトウェアへの攻撃は、2021年3月現在、独立したものと考えられている^[61]。Indicators of Compromiseツールにより、顧客はExchange Serverのログファイルをスキャンして侵害を確認できる^[61][62][63]。少なくとも10の攻撃グループがExchange Serverの欠陥を利用している^[64][65][1]。Webシェルはパッチが適用されたサーバー上に残ることがあり、これにより、影響を受けたサーバーに基づくサイバー攻撃が依然として可能である^[66]。Check Point Researchによると、2021年3月12日現在、エクスプロイトの試みは数時間ごとに倍増しており^[67]、一部はセキュリティ研究者自身の名前で行われている^[68]。

2021年4月14日までに、FBIは影響を受けたサーバーからWebシェルを削除するための秘密のサイバー作戦を完了し、サーバーの所有者に何が行われたかを通知していた^[69]。

2021年5月、マイクロソフトは、同社が「Nobelium」と名付けたグループによって開始された、24カ国の150の組織に対する3000通の悪意のある電子メールを特定した。これらの電子メールの多くは配信前にブロックされた。「Nobelium」は、「米国国際開発庁（USAID）が使用するConstant Contactの電子メールマーケティングアカウント」へのアクセス権を取得した。セキュリティ研究者は、「Nobelium」が疑うことを知らないユーザーによってクリックされるスピアフィッシングメールを作成し、リンクは悪意のある「Nobelium」コードのインストールを指示してユーザーのシステムに感染させ、ランサムウェア、スパイ活動、偽情報などの対象にすると主張している^[70]。米国政府は、「Nobelium」がロシアの連邦保安庁に由来すると特定している^[71]。2021年7月までに、米国政府はExchange Server攻撃の首謀者を特定することが期待されている^[72]：「中国の国家安全部が犯罪契約ハッカーを利用している」^[73][74]。

2021年9月、証券取引委員会（SEC）の執行職員は、侵害されたSolarWindsのアップデートをダウンロードした企業に対し、侵害されたアップデートをサーバーにインストールした場合は、自発的にSECにデータを提出するよう要請した^[75]。

2022年7月、IIS（Exchange Serverにデフォルトでインストールされている）によってホストされる悪意のあるモジュールであるSessionManagerが、2021年3月からExchange Serverに感染していることが発見された。SessionManagerはメモリを検索してパスワードを探し、新しいモジュールをダウンロードしてサーバーを乗っ取る^[76]。

セキュリティ企業のMandiantは、国家が支援するグループが、一度企業のクラウドにアクセスすると、SAMLを悪用して、Active Directoryや類似のサービスへのフェデレーション認証を意のままに取得できることを示した^[77]。攻撃者がアクセス権を取得すると、組織に属するあらゆる情報や資産に侵入することができる。これは、この技術によって攻撃者が標的組織の任意のメンバーになりすますことができるためである^[78]。企業や機関が資産をクラウドサービスに移行し続けるにつれて、これらの攻撃は悪意のある攻撃者にとってますます魅力的になっている^[79]。

2020年、SolarWindsは、初めて文書化されたGolden SAML攻撃とされる、しばしば「Solorigate」と呼ばれる攻撃の対象となった。悪意のある攻撃者が、ソフトウェアアップデートのソースコードに、正当に見せかけたバックドアコードを感染させた^[80]。顧客は欠陥のあるアップデートをシステムにインストールし始め、最終的に世界中で18,000人以上に影響を与えた^[78]。この攻撃は、米国の多数の政府機関や民間セクターの機関にも影響を及ぼした^[79]。

2021年5月、コロニアル・パイプラインへのランサムウェア攻撃により、主要な燃料供給ネットワークが一時的に停止し、米国東海岸へのガソリン、ディーゼル、ジェット燃料の供給が混乱した。バイデン政権は不足を防ぐために緊急権限を発動し、専門家はこの事件を米国インフラに対する史上最悪のサイバー攻撃と評した。ロシア関連のサイバー犯罪グループDarkSideによるこの攻撃は、重要なエネルギーシステムの脆弱性に対する懸念を高め、燃料トレーダーが代替の供給ルートを探し、価格高騰の懸念が浮上した^[81]。

2021年6月16日、バイデン大統領はプーチン大統領に対し、16の重要インフラセクターへのサイバー攻撃は禁止であり、米国は将来のサイバー脅威に対応すると述べた^[82]。米国のサイバーセキュリティ・社会基盤安全保障庁（CISA）が指定する16の重要インフラセクターには、エネルギー、食料・農業、緊急サービス、医療、その他金融サービス、通信、輸送システムなどの基幹産業が含まれる^[83]。

2023年3月、音声・ビデオチャットアプリ3CX Phone Systemが、ソフトウェア上の悪意のある活動の検出により、サプライチェーン攻撃の対象になったと考えられた。このアプリは食品から自動車まで幅広い業界で使用されており、攻撃は世界中の何十万人ものユーザーに影響を与える可能性がある^[84]。マルウェアはインストールプロセスを通じてホストデバイスに感染し、macOSとMicrosoftの両方のインストーラーを通じて拡散するトロイの木馬ウイルスとして機能する。彼らは、脅威アクターが制御するC2サーバーに接続する悪意のあるペイロードを介してインフォスティーラーを使用した^[85]。

この攻撃は、ロシアのサイバーセキュリティ企業カスペルスキーが2020年に発見したGopuramバックドアを利用した。このバックドアの使用は、北朝鮮のサイバー犯罪グループであるラザルスグループが、2020年に南アジアの暗号通貨企業に対して同じバックドアを使用したことから、この攻撃がラザルスによって実行されたことを示唆していた^[85]。Gopuramバックドアは、ラザルスが標的とすることが知られている暗号通貨機関に対する過去の他の攻撃でも利用されている^[84]。

2023年7月、中国の国家支援ハッカーがアメリカ合衆国国務省を標的にし、複数の政府職員のMicrosoftメールアカウントをハッキングし、機密情報へのアクセスを可能にした。彼らは、複数の国務省職員の約6万通のメールから情報を盗んだ^[86]。国務省当局者は、盗まれた情報には「被害者の旅行日程や外交審議」が含まれていると述べている^[87]。悪意のある方法で使用された場合、この情報は重要な政府高官を監視し、機密であるべき米国の通信を追跡するために使用される可能性がある。国務省のハッキングはMicrosoft Exchange Serverの脆弱性により発生し、サプライチェーン攻撃として分類されている^[86]。

2024年3月、XZ Utilsのxz/liblzmaにバックドアが疑われ^[88]、バージョン5.6.0と5.6.1に悪意のあるコードが含まれていることが知られている。このエクスプロイトは、SSHサーバーの特定のサードパーティパッチが使用されない限り休眠状態のままであるが、特定の状況下では、この干渉により悪意のある攻撃者がsshdの認証プロトコルを破り、システム全体への不正なリモートアクセスを可能にする可能性がある^[89]。

影響を受けるLinuxディストリビューションのリストには、Debian不安定版^[90]、Fedora Rawhide^[91]、Kali Linux^[92]、openSUSE Tumbleweedが含まれる^[93]。安定版リリースの更新モデルに従うほとんどのLinuxディストリビューションは、古いバージョンのxzを搭載していたため影響を受けなかった^[94]。Arch Linuxはユーザーに即時更新を促す勧告を発行したが、ArchのOpenSSHパッケージにはバックドアに必要な一般的なサードパーティパッチが含まれていないことも指摘した^[95]。FreeBSDは、サポートされているすべてのFreeBSDリリースが影響を受けるリリースよりも古いバージョンのxzを含んでおり、攻撃がLinuxのglibcを標的としているため、この攻撃の影響を受けない^[96]。

2024年10月31日、Phylum、Socket、Checkmarxなどの複数のセキュリティ企業の研究者が、オープンソースのNode Package Manager（NPM）ライブラリのユーザーに対する攻撃を検出した。未確認の攻撃者が、プラットフォームのユーザーを騙して悪意のあるコードをダウンロードさせる目的で287以上のパッケージを公開した^[97]。この攻撃はタイポスクワッティングと呼ばれる手法を使用しており、正当なパッケージの名前を酷似させてコピーし、開発者を騙してダウンロードさせる。パッケージ「Fetch-mock-jest」の場合、攻撃者は単語の順序を並べ替え、「fetch」という単語をスペルミスして「jest-fet-mock」という名前を作成した。模倣されたパッケージの種類に基づき、研究者はこの攻撃がNPMを使用するソフトウェア開発者を広く標的としていると考えている。標的とされたパッケージは主にHTTPリクエストのモックや暗号通貨関連のもので、Puppeteer、Bignum.js、Fetch-mock-jestなどが含まれており、これらは主に開発環境で使用される^[98]。

Phylumの研究者は、これらのタイポスクワットされたパッケージは一見すると正常に見えるが、詳しく調べると、理解できない難読化されたコードが含まれていることを指摘した。コードを逆難読化した後、研究者は、悪意のあるパッケージが誤ってダウンロードされると、自動的にEthereumスマートコントラクトと対話して攻撃者が使用するコマンド＆コントロールサーバー（C2）のIPアドレスを取得するスクリプトを実行することを発見した。スクリプトは次に、被害者のマシンのオペレーティングシステムを特定し、コントラクトから受け取ったIPアドレスから互換性のあるマルウェアをダウンロードする。このマルウェアは、攻撃者のC2サーバーとの持続的な通信を維持し、オペレーティングシステムのバージョン、GPU、CPU、マシンのメモリ量、ユーザー名などのユーザーのシステム情報を定期的に漏洩させる^[97]。

Checkmarxの研究者Yahud Gelbは、研究者が特定のIPアドレスにあるC2サーバーを停止させようとしても、攻撃者はEthereumコントラクトを更新して異なるアドレスを返すようにすることができると説明している。彼はコントラクトのメカニズムについて、「Ethereumブロックチェーン上のスマートコントラクトは公共の掲示板のようなものだと考えてください。誰でも投稿されたものを読むことができますが、更新できるのは所有者だけです」と書いている。これにより、マルウェアは常にスマートコントラクトを照会して、現在のC2サーバーのアドレスが当局によって停止された場合に備えて、保存されているアドレスを更新できるため、問題は複雑になる。

研究者たちは、攻撃者がタイポスクワッティングを行うことで、いくつかの企業のソフトウェア開発サプライチェーンが危険にさらされる可能性があると懸念している。彼らは、攻撃の追跡不可能な性質と、その正確に設計された持続性の手法が、迫りくる脅威をさらに増大させると詳述している。さらに、企業の従業員は通常、開発環境を使用する際に高いシステム権限とCI/CDパイプラインへのアクセス権を持っているため、企業とその顧客のデータがさらに危険にさらされる。彼らは、上記のようなnpmパッケージをソフトウェア開発ライフサイクルのどの段階でも使用する開発者は、インストールを実行する前に注意を払い、堅牢な依存関係スキャンを実装する必要があると警告した^[99]。

攻撃者の身元や動機に関する情報はほとんどない。しかし、研究者は悪意のあるパッケージの逆難読化されたコード内にロシア語で書かれたエラーメッセージを発見したが、これは本当の犯人が疑惑をそらすために仕組んだ陽動である可能性があると推測している^[99]。Phylum、Checkmarx、Socketの研究者たちは、サプライチェーン攻撃が絶えず進化している性質と、脅威アクターが自らの制御下にあるサーバーの検出を回避するために創造的な方法を継続的に考え出さなければならない状況に注意を喚起し、プロジェクトの開発段階でダウンロードされる依存関係を再確認することの重要性を強調した。

2021年5月12日、大統領令14028号（EO）「国家のサイバーセキュリティの改善」は、NISTおよび他の米国政府機関に対し、米国のサイバーセキュリティを強化する任務を課した^[100]。2021年7月11日（EOタイムラインの60日目）、NISTはサイバーセキュリティ・社会基盤安全保障庁（CISA）および行政管理予算局（OMB）と協議の上、「4i」：重要ソフトウェアのユーザー向けガイダンス、および「4r」：ソフトウェアサプライチェーンのセキュリティと完全性に関する最低限のベンダーテスト要件を提出した^[100]。

• 30日目：意見公募^[101]
• 45日目：「重要ソフトウェア」の定義
• 60日目：EOタスク4i, 4r：ユーザーガイダンス、およびベンダーテスト^[100]
• 180日目：EOタスク4c：サプライチェーンソフトウェアセキュリティ強化のためのガイドライン
• 270日目：EOタスク4e, 4s, 4t, 4u：サプライチェーンソフトウェア強化のためのガイドライン
• 360日目：EOタスク4d：サプライチェーンソフトウェアのレビューおよび更新手順に関するガイドライン
• 365日目：EOタスク4w：パイロットの要約サポート

ブッシュ政権およびオバマ政権によってそれぞれ可決された包括的国家サイバーセキュリティイニシアティブおよびサイバースペース政策レビューは、グローバルなサプライチェーンリスク管理のための多角的なアプローチの開発に米国の連邦資金を投入するよう指示している^[102][103]。Technology Innovation Management Reviewのエイドリアン・デイビスによると、組織をサプライチェーン攻撃から守ることは、サイバーレジリエントなシステムを構築することから始まる^[104]。サプライチェーン・レジリエンスは、サプライチェーンリスク管理の専門家であるドナル・ウォルターズによれば、「サプライチェーンが予期せぬ混乱に対処する能力」であり、その特徴の1つは、サプライチェーンが最も侵入を受けやすい場所を企業全体で認識することである。サプライチェーン管理は、効果的なサプライチェーン・レジリエンスを構築する上で重要な役割を果たす^[105]。

2015年3月、保守党と自由民主党の連立政権下で、英国ビジネス省は中小企業をサイバー攻撃から保護するための新たな取り組みを発表し、これにはサプライチェーンのレジリエンスを向上させるための措置も含まれていた^[106]。

英国政府は、企業のサプライチェーンと全体的なサイバーセキュリティを保護するための良い慣行を訓練するサイバーエッセンシャルスキームを作成した^[107][108]。

米国のポストトレード企業であるDepository Trust & Clearing Corporationグループは、その業務において、サプライチェーン全体を通じた脆弱性管理のガバナンスを導入し、開発ライフサイクル全体にわたるITセキュリティに注目している。これには、ソフトウェアがコーディングされ、ハードウェアが製造された場所も含まれる^[109]。

2014年のPwCの報告書「Threat Smart: Building a Cyber Resilient Financial Institution」では、金融サービス企業がサイバー攻撃を軽減するために以下のアプローチを推奨している。

金融機関の収益、評判、ブランド、知的財産への潜在的な損害を避けるために、経営陣はサイバーリスクの所有権を持つ必要がある。具体的には、機関がサイバーリスクに対してどのように防御し対応するか、そして組織をサイバーレジリエントにするために何が必要かを理解するために、事前に協力する必要がある。^[110]

FireEyeは、持続的標的型攻撃やスピアフィッシングなどの高度なサイバー脅威に対する自動脅威フォレンジックと動的マルウェア保護を提供する米国のネットワークセキュリティ企業であり^[111]、企業がサプライチェーンにレジリエンスを構築するために特定の原則を導入することを推奨している。これには以下が含まれる^[112]。

• 小規模なサプライヤー基盤： これにより、企業はサプライヤーをより厳密に管理できる。
• 厳格なベンダー管理： 承認されたプロトコルのリストを遵守するために、サプライヤーに厳格な管理を課す。また、サプライヤーの拠点で時折サイト監査を実施し、担当者がビジネス目的で定期的にサイトを訪問することで、より大きな管理が可能になる。
• 設計に組み込まれたセキュリティ： チェックディジットなどのセキュリティ機能をソフトウェアに設計し、コードへの以前の不正アクセスを検出できるようにする。コードを機能的に強化し、セキュリティを強化するための反復的なテストプロセスが良いアプローチである^[113]。

2015年4月27日、カスペルスキーのGReATに所属するシニアセキュリティリサーチャーであるセルゲイ・ロジキンは、サイバーセキュリティに関する会議で、標的型攻撃やサイバースパイ活動キャンペーンからのリスク管理の重要性について次のように述べた。

高度な脅威に対する緩和戦略には、セキュリティポリシーと教育、ネットワークセキュリティ、包括的なシステム管理、そして...ソフトウェアパッチ機能、アプリケーション制御、ホワイトリスト、デフォルト拒否モードなどの専門的なセキュリティソリューションが含まれるべきである。^[114]