Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
あらゆる組織は、ソフトウェアベンダー、クラウドプロバイダー、およびオープンソースの依存関係が、安全で正当なコードを提供してくれると信頼しています。攻撃者はこの事実を熟知しており、それを悪用します。サプライチェーン攻撃は、信頼されている上流のプロバイダーを侵害することで下流の防御を完全に迂回し、組織が依存しているツールそのものを武器に変えてしまいます。ベライゾンの「2025年データ侵害調査レポート」によると、現在、全侵害事例の30%がサードパーティの侵害を伴っており、これは前年の2倍に相当します。また、OWASP Top 10 2025では、「ソフトウェア・サプライチェーンの脆弱性」が第3位のリスクとして挙げられており(コミュニティ回答者の50%が最大の懸念事項としてこれを挙げています)、ベンダーとの接続状況を把握できていない組織は、存亡に関わる盲点に直面しています。
本ガイドでは、サプライチェーン攻撃とは何か、その仕組み、2026年までに発生した最も重大な実例、そしてセキュリティチームが現在必要としている検知・防止・コンプライアンス対策について解説します。
サプライチェーン攻撃とは、信頼されているサードパーティのベンダー、ソフトウェアプロバイダー、またはサービスパートナーを標的とし、下流の組織に侵入しようとするサイバー攻撃のことです。攻撃者は標的を直接攻撃するのではなく、上流のプロバイダーのビルドパイプライン、ソフトウェア更新メカニズム、またはサービスへのアクセス権を侵害し、プロバイダーとその顧客の間にすでに存在する信頼関係を利用して、悪意のあるコードを配布したり、侵入したりします。
このため、サプライチェーン攻撃は特に危険なものとなっています。従来のセキュリティ対策では、ベンダーとの接続は安全であると想定されています。ファイアウォールはベンダーからのトラフィックを許可リストに登録し、エンドポイント保護ツールは既知の発行元からの署名付き更新プログラムを信頼します。攻撃者はこうした信頼の前提を悪用し、検知されることなく環境内を移動します。
数字がその深刻さを裏付けている。ベライゾンの「2025年DBIR」によると、データ侵害におけるサードパーティの関与は、わずか1年で15%から30%へと倍増したことが判明した。カスペルスキーの業界調査では、過去12ヶ月間に31%の企業がサプライチェーン上の脅威を経験したと報告されている。また、「OWASP Top 10 2025」では、「ソフトウェア・サプライチェーンの脆弱性」が第3位に浮上しており、セキュリティコミュニティの懸念が高まっていることを反映している。
単一の組織の攻撃対象領域を直接狙う従来のサイバー攻撃とは異なり、サプライチェーン攻撃は「信頼」そのものを武器とします。たった1社のベンダーが侵害されるだけで、何千もの組織に対して同時に悪意のあるペイロードが送り込まれる可能性があります。
サプライチェーン攻撃とは、攻撃者がベンダーのシステムやコードに侵入し、下流の標的へ到達しようとする能動的な侵害行為です。サードパーティ・リスク管理とは、ベンダーとの関係から生じるリスクを評価、監視、軽減するための継続的なガバナンス・プログラムです。攻撃はこの隙間を悪用するものですが、リスク管理プログラムはその隙間を埋めることを目的としています。
サードパーティ・リスク管理プログラムを推進する組織は、サプライチェーン攻撃を、自社の投資の正当性を裏付ける脅威モデルとして捉えるべきです。ベンダーガバナンスの枠組みの構築に関する詳細は、サードパーティ・リスク管理に関する専用リソースをご覧ください。
サプライチェーン攻撃は、各段階で信頼関係を悪用する、予測可能なライフサイクルをたどります。この連鎖を理解することで、セキュリティチームは、検知や防止策によってどこでその連鎖を断ち切ることができるかを特定できるようになります。
サプライチェーン攻撃のライフサイクル:
従来の防御策は第4段階で機能しなくなります。シグネチャベースのツールでは、信頼できるベンダーから提供された正当な署名付きの更新プログラムを検知できません。境界防御システムは、デフォルトでベンダーからのトラフィックを許可リストに登録します。EDRは、承認されたソフトウェアによって起動されたプロセスを信頼します。これが、サプライチェーン攻撃が直接 MITRE ATT&CK 技法 T1195 (サプライチェーンの侵害)、ソフトウェアに関するサブテクニックを含め(T1195.002)、ハードウェア(T1195.003)、および依存関係の侵害(T1195.001).
攻撃のライフサイクルは、より広範なサイバーキルチェーンとも対応関係にあるが、決定的な違いがある。初期アクセス段階は、侵害が上流で発生するため、被害組織には見えない。攻撃者は、すでに開いており、信頼されていた「扉」から侵入してくるのである。
ポネモン研究所の2025年の調査によると、サプライチェーンにおける情報漏洩の検知から封じ込めまで、平均267日を要するという。この「潜伏期間」は、他の種類の情報漏洩の平均を大幅に上回っている。
この脆弱性が存在する理由は、従来のセキュリティツールが初期のアクセス経路を信頼しているためです。侵害された更新プログラムが正規の経路を通じて到着しても、侵入時点ではアラートが発生しません。攻撃者は、信頼された経路を利用して環境内で活動し、通常のベンダー通信に紛れ込むような経路を通じてコマンド&コントロール(C2)を確立します。
このギャップを埋めるには、境界ベースの信頼モデルから、継続的な振る舞い へと移行する必要があります。組織は、トラフィックの送信元を理由にそれを信頼するのではなく、ベンダーとの通常の通信パターンを基準として設定し、その逸脱(異常なデータ量、ベンダー接続ポイントからの不自然な横方向の移動、予期せぬ権限昇格、あるいは正当なプロトコルに偽装されたC2コールバックなど)を検知するツールを必要としています。
サプライチェーン攻撃は複数の攻撃経路にまたがり、それぞれが信頼チェーンの異なるポイントを悪用しています。Cybleの2025年の分析によると、脅威グループは2025年に297件のサプライチェーン攻撃を主張しており、これは前年比93%の増加である。セキュリティ研究者は、過去1年間だけでオープンソースレジストリ全体から512,847件以上の悪意のあるパッケージを特定した(Sonatype/ReversingLabs、2025年)。
表:攻撃経路別のサプライチェーン攻撃の種類、代表的な事例、および推奨される防御策。
ソフトウェアのサプライチェーン攻撃は、依然として最も一般的な攻撃経路である。攻撃者はビルドパイプラインを乗っ取り、何千もの組織に配布される正規のソフトウェア更新プログラムにバックドアコードを仕込む。
2026年、オープンソースの依存関係を利用した攻撃は、最も急速に増加している攻撃手法です。攻撃者は、npmやPyPIなどのレジストリに悪意のあるパッケージを公開したり、ソーシャルエンジニアリングを用いて重要なオープンソースプロジェクトのメンテナの立場に潜り込んだりします。その規模は桁外れで、わずか1年間で50万件を超える悪意のあるパッケージが確認されています。
「アイランドホッピング」とは、攻撃者がセキュリティ対策が不十分な小規模なベンダーを足掛かりとして、より大規模な標的を狙うという攻撃手法の進化形です。攻撃者は正当なベンダーの認証情報やアクセス経路を利用して活動するため、この手法は内部者による脅威と類似している場合があります。
実際の事例からは、2020年から2026年にかけてサプライチェーン攻撃の手口がますます巧妙化していることが明らかになっています。以下の各事例研究では、それぞれ異なる攻撃経路に焦点を当て、具体的な検知の教訓を紹介しています。
表:2020年から2026年にかけての主要なサプライチェーン攻撃。その手口の高度化と影響の拡大を示す。
SolarWinds Sunburst(2020年)は、依然としてサプライチェーン攻撃の典型例として挙げられます。攻撃者はSolarWindsのOrionビルドパイプラインを侵害し、約1万8,000の組織がインストールしたソフトウェアの更新プログラムにバックドアを仕込みました。攻撃者は約14か月間、検知されることなく活動を続けました。これは、信頼された更新チャネルがいかにして従来のあらゆる防御策を迂回し得るかを如実に示す事例です。
「MOVEit Transfer (2023)」の事例は、広く利用されているファイルzero-day 、いかにして大規模なサプライチェーン侵害へと発展し得るかを示しました。ランサムウェアグループ「Cl0p」はこの脆弱性を悪用し、2,700を超える組織からデータを盗み出し、9,300万人以上に影響を与えました。
3CX(2023年)は、確認された初の「二重サプライチェーン攻撃」の被害を受けた。攻撃者はまずTrading Technologiesを侵害し、そのアクセス権を利用して3CXを侵害した。これは、サプライチェーンベンダーに対するサプライチェーン攻撃である。この事件は、ティア1サプライヤーのみを評価するだけでは、組織が上流のリスクを見逃してしまうことを証明した。この攻撃は、北朝鮮の高度な持続的脅威(APT)アクターによるものとされている。
XZ Utils(2024)は、オープンソースに対する信頼がいかに脆いものであるかを露呈した。ある攻撃者は2年かけてソーシャルエンジニアリングを駆使し、重要なLinux圧縮ライブラリのメンテナの地位に潜り込み、CVSSスコア10.0と評価されるバックドアを仕込んだ。ある開発者がパフォーマンスの異常を調査していた際に、偶然この侵害を発見した。このインシデントにより、世界中のLinuxシステムの大部分が侵害されるところだった。
マークス&スペンサー(2025年)の事例は、サプライチェーン攻撃がソフトウェアの領域にとどまらないことを示した。攻撃者はソーシャルエンジニアリングを用いて外部委託業者を騙し、アクセス権を奪取した。その結果、営業利益に推定3億ポンドの損失が生じ、実物物流業務にも支障をきたした。
GlassWorm (2026) は、開発者向けツールを直接標的としています。このキャンペーンでは、Visual Studio Code向けの悪意のある Open VSX 拡張機能が 72個展開され、開発環境を侵害するように設計された Unicode ペイロードを含む GitHub リポジトリが 151 個確認されました。
UNC6426(2026)は、現代のサプライチェーン攻撃の迅速さを如実に示しています。この脅威グループはnpmパッケージを侵害し、72時間以内にAWSの管理者権限を完全に掌握しました。これは、オープンソースの依存関係の侵害が、いかに直接的にクラウドインフラの乗っ取りにつながるかを示しています。
これらのインシデントに見られる傾向から、防御側にとっての優先事項が明らかになっています:
その経済的影響は甚大です。ポネモン研究所の報告によると、2025年にはサプライチェーンにおけるセキュリティ侵害1件あたりの平均コストは491万ドルに達するとされています。医療分野では、米国の組織の92%がサイバー攻撃を受けており、77%が患者ケアの混乱を報告しています。その多くは、ベンダーのシステムが侵害されたことが原因です。ベライゾンの「2025年DBIR」によると、製造業における産業スパイを目的としたセキュリティ侵害は、3%から20%へと増加しました。
競合他社のガイダンスの多くは、予防策のみに焦点を当てています。しかし、攻撃者が信頼された経路から侵入してくる場合、予防策だけでは不十分です。効果的なサプライチェーン防御には、たとえ最初のアクセスが正当なものであったとしても、侵害後の行動を特定する検知機能が必要です。
従来のツールは、デフォルトでベンダーとの接続を信頼しています。一方、ネットワーク検知・対応(NDR)は逆のアプローチを採用しています。つまり、システムが侵害されていると仮定し、トラフィックの送信元に関わらず、振る舞い 監視するのです。
NDRを活用したサプライチェーンの検知は、以下の仕組みで機能します:
継続的なモニタリングは、特定の時点におけるベンダー評価による誤った安心感を解消します。調査によると、ティア1サプライヤー以外の状況を把握できている組織はわずか42%であり、組織が評価を行っているベンダーは平均で40%に過ぎません(Centraleyes、2025年)。振る舞い 、アンケート調査に頼るのではなく、実際のトラフィックパターンを監視することで、この可視性のギャップを埋めます。
CISAの防御に関するガイダンスが基礎となる枠組みを提供しています。以下の8つのステップは、実践的な予防チェックリストを構成しています:
ソフトウェア部品表(SBOM)とは、アプリケーションに含まれるすべてのコンポーネント、ライブラリ、および依存関係を機械可読形式で一覧化したものです。XZ Utilsのバックドアのような新たな脆弱性が公表された際、SBOMを保有している組織は、どのシステムが影響を受けているかを即座に特定できます。標準フォーマットには、SPDXやCycloneDXなどがあります。SBOMプログラムの導入に関する包括的なガイドについては、SBOM専用のリソースを参照してください。
サプライチェーン攻撃が疑われる場合、標準的なインシデント対応手順書を適応させる必要があります。サプライチェーンの侵害は、悪意のあるコードが信頼された経路を通じて侵入し、複数のシステムに同時に存在している可能性があるため、特有の課題をもたらします。
サプライチェーンIRチェックリスト:
現在、複数の規制枠組みにおいて、特定のサプライチェーン・セキュリティ対策が義務付けられています。セキュリティおよびコンプライアンス担当チームは、規制要件と実務上の対策との明確な対応関係を示す必要があります。
表:サプライチェーンのセキュリティに関する規制枠組みの要件と管理項目の対応関係
NIST SP 800-161 Rev 1 は、3層のガバナンスモデルを通じて、最も包括的な枠組みを提供しています。企業レベルでは、組織がサプライチェーン・リスクに関する方針を策定します。ミッション/事業レベルでは、各チームがベンダーの重要度を評価し、統制措置の優先順位を決定します。運用レベルでは、セキュリティチームが技術的統制措置(監視、アクセス管理、インシデント対応)を実施します。
NIS2は、EUの組織にとって特に重要な意味を持ちます。第21条第2項(d)では、不可欠な事業体および重要な事業体に対し、サプライチェーンのセキュリティ確保を法的義務として定めており、その執行措置には多額の罰金が含まれています。DORAは、同様の要件をEUの金融セクターにも拡大し、ICTに関する第三者リスク管理および集中リスク評価を義務付けています。
サプライチェーン攻撃の情勢は、防御策が対応できる速度を上回る速さで変化しており、今後12~24ヶ月間はいくつかの傾向が顕著になるでしょう。
開発者向けツールが新たな攻撃の最前線となっている。GlassWormやUNC6426といった攻撃キャンペーンは、根本的な変化の兆しを示している。攻撃者は、IDE拡張機能、パッケージマネージャー、CI/CDパイプラインなど、開発者が日常的に使用するツールを標的としている。Dark Readingのセキュリティ研究者は、人間の介入なしに相互接続されたパッケージエコシステム内を自動的に移動できる、自己増殖型のサプライチェーンワームの出現について分析を行った。
AIは攻撃と防御の両面を強化します。AIコーディングアシスタントは新たな攻撃対象領域を生み出します。AIツールが脆弱性のあるパッケージを提案した場合、開発者はそれを無条件に信頼してしまう可能性があるからです。防御の面では、AIを活用した振る舞い 、人間のアナリストが手動で監視することは不可能な量のベンダーからのトラフィックを処理することが可能になります。
規制の圧力は強まりつつあります。NIS2の施行はEU加盟国全体で積極的に拡大しています。OWASPがサプライチェーンの脆弱性を脅威の深刻度ランキングで第3位に位置付けたことで、組織による投資が促進されています。OSC&Rフレームワーク(ソフトウェア・サプライチェーン攻撃の戦術、手法、手順に特化したATT&CKに類似した参照モデル)は、こうした脅威を分類し、防御するための新たな基準を提供しています。
予測されるコストは、その緊急性を浮き彫りにしています。グローバルなサプライチェーンへの攻撃によるコストは、2025年の600億ドルから2031年には1,380億ドルに達すると予測されています(Cybersecurity Ventures)。継続的な監視、振る舞い 、およびSBOMプログラムに今投資する組織は、こうした脅威が拡大するにつれて、はるかに有利な立場に立つことになるでしょう。
組織は、以下の3つの投資を優先すべきである。すべてのベンダー接続に対する継続的な振る舞い 、迅速な脆弱性対応を可能にするSBOMプログラム、そしてサプライチェーン侵害のシナリオに明確に対処するインシデント対応計画である。
サイバーセキュリティ業界では、サプライチェーンのセキュリティにおいて、「デフォルトで信頼する」モデルから「侵害を前提とする」モデルへと移行しつつある。この変化は、初期アクセスが正当かつ信頼できる経路を通じて行われる場合、予防策だけではサプライチェーン攻撃を阻止できないという認識に基づくものである。
この進化において、AIを活用した脅威検知は中核をなしています。シグネチャや既知の指標に依存するのではなく、振る舞い モデルはベンダーの通常のトラフィックパターンを学習し、逸脱をリアルタイムで検知します。このアプローチにより、シグネチャベースのツールでは完全に見逃されてしまう、侵害後の行動(異常な横方向の移動、予期せぬC2コールバック、不審なデータアクセスなど)を検知することが可能になります。
業界ではまた、定期的な評価よりも継続的な監視が重視されるようになっています。特定の時点でのベンダーによるアンケート調査では、昨日発生した侵害を検知することはできません。継続的な脅威検知により、評価と評価の間のギャップを埋めることができます。
Vectra AI、「侵害を前提とする(Assume Compromise)」という原則を中核としています。これは、高度な攻撃者は侵入経路を見つけ出すものであり、重要なのはそれらを迅速に発見することであるという認識に基づいています。Attack Signal Intelligence 、信頼できるベンダー接続からの異常な横方向の移動、正規のチャネルを通じたC2コールバック、サプライチェーン侵害を示す不審なデータアクセスパターンなど、侵害後の行動Attack Signal Intelligence 。このアプローチは、サプライチェーン攻撃者が悪用する「デフォルトで信頼する」ネットワークポリシーに依存するのではなく、信頼できるベンダーからのトラフィックを含むすべてのネットワークトラフィックに対して継続的な振る舞い を行うことで、267日間に及ぶ検知のタイムラグを直接的に解消します。
サプライチェーン攻撃は、現代のビジネスを支える基盤となる信頼関係を悪用するものです。SolarWinds社に対する14か月間にわたり検知されなかった攻撃から、UNC6426によるわずか72時間でAWSの管理者権限を取得した事例に至るまで、こうした攻撃は、その巧妙さ、速度、そして影響力の面でますます深刻化しています。平均267日という検知までの期間と、平均491万ドルという侵害による損害額は、従来の「デフォルトで信頼する」というセキュリティモデルでは不十分であることを如実に示しています。
サプライチェーン攻撃に対する防御には、3つの機能が連携して機能することが必要です。具体的には、信頼できるベンダーとの接続における侵害後の活動を検知する継続的な振る舞い 、zero trust に基づいた防止策、そしてNIST 800-161、NIS2、DORAなどのフレームワークに沿ったコンプライアンスプログラムです。これらの機能を組み合わせることで、組織は攻撃者が依存している検知のギャップを埋めることができます。
Vectra AIプラットフォームVectra AI、Attack Signal Intelligence を活用して、ネットワーク、ID、クラウド環境全体におけるサプライチェーン侵害の兆候Attack Signal Intelligence どのように検知Attack Signal Intelligence をご覧ください。
サプライチェーン攻撃は、信頼されているサードパーティベンダー、ソフトウェアプロバイダー、またはサービスパートナーを標的とし、下流の組織に侵入することを目的としています。攻撃者は標的を直接攻撃するのではなく、上流のプロバイダーを侵害し、既存の信頼関係を利用して悪意のあるコードを拡散させたり、アクセス権を取得したりします。ファイアウォール、エンドポイントツール、許可リストといった従来の防御策は、ベンダーとの接続を本質的に信頼しているため、サプライチェーン攻撃は特に危険なものとなっています。
ベライゾンの「2025年DBIR」によると、現在、全情報漏洩の30%がサードパーティの侵害を伴っており、これは前年の2倍に上る。これとは異なり フィッシング や直接的な悪用とは異なり、サプライチェーン攻撃は、組織が依存している正当なソフトウェア更新チャネルやベンダーへのアクセス経路を悪用するため、振る舞い 機能なしでは初期段階での検知が極めて困難となる。
主な6つのタイプは、ソフトウェア・サプライチェーン攻撃(ビルドパイプラインの侵害)、オープンソース依存関係攻撃(npm、PyPI、および類似のレジストリにおける悪意のあるパッケージ)、ハードウェア・サプライチェーンの改ざん(製造工程におけるコンポーネントやファームウェアの改変)、サードパーティ・サービスプロバイダーの悪用(ベンダーのアクセス権を利用して顧客環境に侵入する)、 CI/CDパイプライン攻撃(ビルドおよびデプロイメントインフラへの侵害)、およびアイランドホッピング(小規模なベンダーを踏み台として、より大規模な標的へ攻撃を拡大すること)です。
オープンソースの依存関係を利用した攻撃が最も急速に増加しており、過去1年間で512,847件以上の悪意のあるパッケージが確認されています。SolarWinds Sunburstのようなインシデントが示すように、ソフトウェアのサプライチェーン攻撃は依然として最も深刻な影響をもたらす攻撃経路であり、この事例では、単一の侵害されたビルドパイプラインを通じて約18,000の組織が影響を受けました。
検知こそが最大の課題です。サプライチェーン攻撃は、従来のツールでは精査されない信頼された経路を通じて侵入するため、その発見と封じ込めに平均267日を要します。シグネチャベースの検知では、正当に署名された更新プログラムを検知できず、ホワイトリストに登録されたベンダーからのトラフィックは、検査されることなくファイアウォールを通過してしまいます。
ネットワーク検知・対応(NDR)は、振る舞い を通じてこの課題に対処します。NDRは、ベンダーとの通常の通信パターンを基準として設定し、そこから逸脱する動きを検知します。具体的には、異常なデータ量、ベンダーの接続ポイントからの不審な横方向の移動、正当なプロトコルに偽装されたC2コールバック、予期せぬ認証情報の使用などが挙げられます。この継続的な監視アプローチにより、初期のアクセスが信頼できるものであったかどうかにかかわらず、侵害後の行動を検知することが可能です。
ソフトウェア部品表(SBOM)とは、アプリケーションに含まれるすべてのソフトウェアコンポーネント、ライブラリ、および依存関係を機械可読形式で一覧化したものです。新たな脆弱性が公表された際、SBOMを保有する組織は、どのシステムに影響を受けるコンポーネントが含まれているかを即座に特定し、修正の優先順位を決定することができます。標準フォーマットには、SPDXやCycloneDXなどがあります。SBOMの要件は、大統領令やNIS2などの規制要件によって、ますます重要視されるようになっています。詳細な導入ガイダンスについては、SBOMに関する専用リソースを参照してください。
ポネモン研究所の2025年の調査によると、サプライチェーンにおける情報漏洩の平均的な被害額は491万ドルに上ります。しかし、そのコストはインシデントによって大きく異なります。2025年に発生したマークス&スペンサーへの攻撃では、営業利益に3億ポンドの打撃を与えたと推定されています。また、MOVEit Transferの情報漏洩事件では、2,700以上の組織と9,300万人の個人が影響を受けました。
検知から封じ込めまでの平均期間が267日であることは、コスト増大の要因となります。攻撃者が検知されずに潜伏する期間が長ければ長いほど、データの流出、横方向の移動、および被害の規模は拡大します。世界的に見ると、サプライチェーン攻撃によるコストは2031年までに1,380億ドルに達すると予測されています。継続的な振る舞い を通じて潜伏時間を短縮できる組織は、インシデント1件あたりのコストを大幅に削減することができます。
サプライチェーンのセキュリティについては、7つの主要なフレームワークが取り上げている。NIST SP 800-161 Rev 1は、3層構造のC-SCRMガバナンスモデル(企業レベル、ミッション/事業レベル、運用レベル)により、最も包括的なアプローチを提供している。NIS2指令第21条(2)(d)は、EUの重要・重要事業体に対してサプライチェーンのセキュリティを義務付けている。MITRE ATT&CK 、技術カテゴリごとにサプライチェーンの侵害をMITRE ATT&CK 。 T1195 これには3つのサブ手法が含まれます。OWASP Top 10 2025では、「ソフトウェア・サプライチェーンの脆弱性」がA03として位置付けられています。ISO 27001の附属書A.15では、サプライヤーとの関係におけるセキュリティが規定されています。PCI DSS 4.0の要件12.8では、サードパーティ・プロバイダーの管理が義務付けられています。DORAでは、EUの金融機関に対し、ICTにおけるサードパーティ・リスク管理が求められています。詳細なコントロール対応表については、上記のコンプライアンス対応表をご参照ください。
2020年12月に発覚したSolarWindsの「Sunburst」攻撃は、史上最大規模のサプライチェーン攻撃である。国家が関与する高度な持続的脅威(APT)グループとみられる攻撃者は、SolarWindsのネットワーク管理ソフトウェア「Orion」のビルドパイプラインを侵害した。彼らは、正規のソフトウェア更新プログラムにバックドア(通称「Sunburst」)を仕込み、約1万8,000の組織が通常の更新チャネルを通じてこれをインストールした。
攻撃者は約14か月間、検知されることなく活動を続けていた。被害を受けた組織には、政府機関や大手企業が含まれていた。ここから得られる重要な教訓は、境界セキュリティだけでなく、パイプラインの完全性を確保し、信頼された接続の振る舞い 継続的に振る舞い 不可欠であるということだ。SolarWindsの事例が示したように、信頼された更新チャネル自体が侵害された場合、被害者のネットワーク内で発生する異常な活動を検知できるのは、振る舞い のみ振る舞い 。