信頼されているソフトウェアやハードウェアに悪意のあるコードやコンポーネントを忍ばせる「サプライチェーン攻撃」と呼ばれるハッキング手法が広がっている。ロシアや中国の影も見え隠れする大規模な攻撃に対する防御は容易ではないが、国や企業レベルでの対応は決して不可能ではない。サイバーセキュリティの常識は、長らく「信頼」という簡単な言葉で表現されてきた。つまり、見慣れない送信元から受け取った電子メールの添付ファイルに気をつけること、そして偽のウェブサイトに個人情報を渡さないことである。
こうした次第に広がりつつある狡猾なハッキング手法は「サプライチェーン攻撃」と呼ばれている。信頼されているソフトウェアやハードウェアに、悪意のあるコードやコンポーネントをこっそり忍ばせる手法だ。スパイ行為や破壊行為を企む連中は、ひとつのサプライヤーのセキュリティさえ侵害できれば、その流通機構を乗っ取ることであらゆるものを“トロイの木馬”にできる。 「サプライチェーン攻撃の恐ろしい点は、対処が非常に困難である点です。それと同時に、人々がシステム全体を信頼していることを浮き彫りにするからでもあります」と、カリフォルニア大学バークレー校の国際コンピューター科学研究所(ICSI)でセキュリティを研究するニック・ウィーバーは語る。「人々は、自分のマシンにコードがあるすべてのベンダー(ソフトウェアを開発・販売する企業など)を信頼しています。そして、すべてのベンダーのベンダーも信頼しているのです」こうしたサプライチェーンが晒されている脅威の深刻さは、2020年12月に大規模なかたちで示された。ロシアのハッカー集団(のちにロシア対外情報庁のために働いていたことが判明)が、米国のソフトウェア会社SolarWindsをハッキングし、同社のIT管理ツール「Orion」に悪意のあるコードを埋め込んだのだ。これにより、このソフトウェアを使っていた18,000に上る世界中のネットワークに外部からアクセス可能になってしまったのである。だが、これらの諜報活動と同じくらい衝撃的なことは、SolarWindsが特別な事例ではないということだ。サプライチェーン攻撃に