サプライチェーン攻撃
Supply Chain Attack
さぷらいちぇーんこうげき
標的組織を直接攻撃するのではなく、その取引先やソフトウェアの供給元を経由して攻撃する手法。ソフトウェアアップデートの改ざん、オープンソースライブラリへの悪意あるコードの混入などが代表的な手口。
情報及び情報システムの利用におけるセキュリティ対策の適用の推進又は支援に関すること > サプライチェーンの情報セキュリティの推進
関連キーワードの用語
SCサイバーキルチェーン
Lockheed Martin社が提唱したサイバー攻撃の段階モデル。偵察、武器化、配送、攻撃、インストール、遠隔操作(C&C)、目的達成の7段階で攻撃を分析し、各段階での防御策を検討する。
SCMITRE ATT&CK
MITRE社が開発・公開している、サイバー攻撃の戦術(Tactics)と技法(Techniques)を体系的に分類したナレッジベース。攻撃者の行動パターンを理解し、防御策の検討やセキュリティ製品の評価に活用される。過去問でも出題されている。
SCアタックサーフェス
攻撃者がシステムに対して攻撃を仕掛ける可能性のある全てのポイント(入口)の総称。ネットワークポート、API、Webフォーム、ユーザーインターフェースなどが含まれ、アタックサーフェスの最小化がセキュリティ設計の基本原則となる。
SCSBOM(ソフトウェア部品表)
ソフトウェアを構成するコンポーネント(ライブラリ、モジュールなど)の一覧とその依存関係を記録したリスト。サプライチェーンにおけるソフトウェアの脆弱性管理に活用され、脆弱性が発見された際の影響範囲の特定を迅速化する。
SCSQLインジェクション
Webアプリケーションの入力値を通じて不正なSQL文を挿入・実行させる攻撃手法。データの不正取得、改ざん、削除などが可能になる。対策としてプレースホルダ(バインド機構)の使用、入力値の検証、エスケープ処理、最小権限のDBアカウント使用がある。
SCクロスサイトスクリプティング(XSS)
Webアプリケーションの脆弱性を利用して、悪意のあるスクリプトをWebページに埋め込む攻撃。反射型、格納型、DOMベースの3種類がある。対策として出力時のHTMLエスケープ、Content-Security-Policy(CSP)ヘッダの設定、入力値の検証がある。