弊社ブログでは、これまでにも注目されていない攻撃面となっているIoT機器のファームウェアの脆弱性や改ざんなどのセキュリティリスク対策に触れてきました。実際にネットワーク機器やIoT機器の脆弱性が脅かされるようなニュースも発表されており、ソフトウェアの脆弱性管理は、製品単位から部品単位(SBOM)に変化しています。
この記事では、以下の点を網羅的に解説します。
・中国系APT攻撃集団による世界規模の重要インフラ攻撃と日本政府の対応
・SBOM(ソフトウェア部品表)の役割と国際的な共通ビジョン、日本の今後の取り組み
この記事を読めば、IoT機器やネットワーク機器のセキュリティ強化に必要な具体策と、SBOMを活用した次世代の脆弱性管理への備えが明確になります。
中国系APT攻撃集団による世界規模の重要インフラ攻撃と日本政府の対応
弊社ブログでは、これまでにもIoT機器のファームウェアの脆弱性や改ざんなどのセキュリティリスク対策に触れてきました。先月のブログ「もっとも身近で危険なアタックサーフェス『ファームウェア』にご注意を!」でも、国内での最近のインシデント事例に触れながら、ファームウェアに起因するインシデントの可能性を示唆しました。
実は先月末、この潮流を証明するようなニュースが発表されたのですがお気づきになられたでしょうか。
「中国系サイバー攻撃集団、世界の重要インフラ標的に活動…日本など13か国が注意喚起文書に署名」(読売新聞 8月28日
これは、米国CISAが作成した注意喚起文書(※2)に英国やカナダなど計13か国が署名するもので、その概要は、中国政府より支援を受けている攻撃グループ(APT攻撃集団)が世界規模で通信事業者や政府機関、軍事、宿泊施設、交通、運輸分野など重要インフラに対してサイバー攻撃を展開しているとして警鐘を鳴らすものです。我が国では、警察庁と国家サイバー統括室(2025年7月1日に従来の内閣サイバーセキュリティセンター(NISC)を改組して発足)の2つの組織が署名に参加しており、政府として強い意思が感じられます。
APT攻撃者の具体的なグループ名と中国企業・政府機関との関係性
警察庁と国家サイバー統括室の同署名に関する発表文書(※3) では、その注意喚起文書の概要がまとめられています。注目すべきは、APT攻撃者を具体的に名指ししている点(Salt Typhoon、OPERATORPANDA、RedMike等と呼ばれる複数の攻撃者)とその悪意ある活動が中国の複数の企業と関連付けられ、それらが中国人民解放軍(PLA)および中国国家安全部(MSS)にサイバー関連の製品・サービスを提供していると明記されている点です。これまで想定はされていたものの、あらためて「悪の官民一体」によるサイバー諜報活動を実施していることが明確になったと言えます。
参考サイト
※3:「ソルトタイフーン(Salt Typhoon)」に関する国際アドバイザリーへの共同署名について|警察庁
SBOM(ソフトウェア部品表)の役割と国際的な共通ビジョン
この発表後には、上述の注意喚起を作成した米国CISAが、9月3日に「CISA、NSAおよび19の国際パートナー サイバーセキュリティのためのSBOMに関する共通ビジョンを発表(和訳)」をサイトのトップ記事として掲載しました(※4)。この「19の国際パートナー」には、先の注意喚起文書と同じく、我が国の警察庁と国家サイバー統括室が含まれています。このビジョンでは、「現代のソフトウェアがサードパーティ製およびオープンソースのコンポーネントにますます依存する中、SBOMは脆弱性管理とセキュア・バイ・デザイン開発を支える上で不可欠」と位置づけており、経産省が提示しているSBOMのガイドライン(※5)や、2026年度後半から運用開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」(※6)の内容にも反映されることが想定されます。
ソフトウェアの脆弱性管理は、製品単位から部品単位(SBOM)へと変わっていきます。読者の皆様も、このような動きに呼応できるよう、準備を進めていただくことをお勧めします。
参考サイト
※4:A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity|CISA
※5:サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました|経済産業省
※6:「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました|経済産業省
セキュリティ対策支援サービスのご案内
弊社では、ファームウェアやSBOMに関する情報を発信、ソリューションをご用意しております。
