2020年12月に公になったSolarWinds事件をきっかけに、ソフトウェアのサプライチェーンのリスクに対する関心が高まっています。しかし、ソフトウェアの脆弱性を悪用するのではなく、ソフトウェアの開発元や配布元を侵害し、ソフトウェアそのものに悪意のあるコードを仕込むという、いわゆる「サプライチェーン攻撃(の一種)」自体は、SolarWinds事件が世界初というわけではありません。例えば、2009年には韓国で、広く使われているソフトウェアのアップデートプログラムを何者かが改ざんし、当該ソフトウェアの自動更新機能を介してユーザーのPCにボットを感染させ、大規模なDDoS攻撃を起こした事件「7・7大乱(テラン)」がありました。韓国ではこの事件以降も自動更新機能を悪用した攻撃の被害が数年にわたって続いたことを踏まえ、2014年に政府が「更新システムのセキュリティガイドライン」を公開しています。このような韓国での事例が既にある一方で、2020年のSolarWinds事件が世界中で大きく注目されたのは、被害組織の数が多く、その中に米連邦政府機関や大手企業が含まれるなど、影響が広く世界中に及んだためでしょう。
Source: インターネットwatch