サイバー犯罪者はサプライチェーン攻撃を産業規模の作戦に変え、侵害、認証情報窃取、ランサムウェアを「自己強化型」エコシステムに結びつけていると研究者は指摘する。
最新トレンドレポートで、Group-IBは、企業の広範なダウンストリーム侵害につながる個別攻撃が、サイバー犯罪者がベンダーやサービスプロバイダーを侵害する複数の手法を追求する中で相互接続されていると見ている。
最近のShai-Hulud NPMワーム、Salesloft事件、またはOpenClawのパッケージポイズニングのようなサプライチェーンハッキングは、被害者の顧客への継承されたアクセスを悪用しようとする犯罪組織の主要な目標に急速になりつつある。
「オープンソースパッケージの侵害はマルウェア配布と認証情報窃取を促進する」と研究は述べている。「フィッシングとOAuth悪用はSaaSおよびCI/CD環境のロックを解除するID侵害を可能にする。データ侵害は、なりすましとラテラルムーブメントを洗練させるために必要な認証情報、コンテキスト、関係を提供する。ランサムウェアと恐喝はチェーンの後半に到着し、以前に収集されたアクセスとインテリジェンスを利用する。各段階が次の段階を強化し、サプライチェーン悪用の自己強化サイクルを生み出す。」
今後1年間で、GroupIBはサプライチェーン攻撃がAI支援ツールによってより迅速に実行されると予測している。これらのツールは、ベンダー、CI/CDパイプライン、ブラウザ拡張マーケットプレイス全体の脆弱性を機械速度でスキャンできる。
また、従来のマルウェアがID攻撃に置き換えられることも予想している。犯罪者は自身を正規ユーザーとして設定し、その活動は通常の日常業務機能に溶け込み、より長期間検出を回避する。
HR、CRM、ERPを提供するプラットフォーム、およびMSPは優先度の高いターゲットであるとGroup-IBは述べている。単一の侵害により、ハッカーが数百の顧客へのアクセスを獲得できるためだ。
データ侵害の進化
Salesloft侵害、および2025年3月のOracle侵害は、データ侵害が単一報酬モデルから、アクセスが追加侵害に使用されるモデルへとシフトしている例である。
犯罪者は大量のデータを一度に取得して恐喝支払いを要求する代わりに、時間をかけてOAuthトークンを収集し、誤設定されたパートナー接続を悪用して横方向に移動した。その後、ダウンストリームの顧客をターゲットにし、そのデータと連絡先リストを盗んでサイクルを繰り返すか、NPMおよび類似のエコシステムを含むケースでは、ユーザーに悪意のあるアップデートを提供して大規模な詐欺を実行する。
「サイバー犯罪はもはや単一の侵害によって定義されない。信頼の連鎖的な失敗によって定義される」とGroup-IBのCEOであるDmitry Volkov氏は述べた。
「攻撃者はサプライチェーン侵害を産業化している。なぜなら、それは規模、速度、ステルス性を提供するからだ。単一の上流侵害が業界全体に波及する可能性がある。防御者は孤立したシステムの観点で考えるのをやめ、すべての関係、ID、依存関係にわたって信頼そのものを保護し始めなければならない。」
組織は第三者を自身の攻撃対象領域の拡張として扱うべきである。
「サプライチェーン脅威モデリング、自動化された依存関係チェック、データフロー可視性への戦略的投資はもはやオプションではない – それらは現代のセキュリティアーキテクチャの基盤である」とVolkov氏は述べた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/12/supply_chain_attacks/
