今回の事件では、KDDIが開発したメール基盤そのものに欠陥があったわけではない。攻撃者が狙ったのは、その基盤の中で利用されていた第三者製ソフトウェアの脆弱性だった。
しかも、この脆弱性はソフトウェア開発会社自身も認識していない未知の弱点で、修正プログラム配布前を突いて行われる「ゼロデイ攻撃」だった。そのため、利用者側が「パッチ(修正プログラム)を当てていなかった」から攻撃されたわけではない。どれほど運用を徹底していても、防ぐことが極めて難しい種類の攻撃だったのである。
すべてのシステムを自社開発する時代ではない
現在の大規模システムは、多数の部品を組み合わせて作られている。自社が開発したプログラムだけでなく、オープンソースソフトウェアや他社製ライブラリ、市販製品などが数多く組み込まれている。
そのため、自社システムがどの部品で構成されているかを常に把握しておくことが極めて重要になる。近年、この考え方として注目されているのがSBOM(Software Bill of Materials)である。
SBOMは、ソフトウェア版の「部品表」とも呼ばれ、どの製品にどの部品が使われているかを一覧化する仕組みである。今回KDDIは、問題を確認すると直ちに該当ソフトウェアの開発会社と連携し、原因究明と対策を進めたようだ。この迅速な対応は、SBOMをはじめとするソフトウェア構成管理の重要性を改めて示す事例となった。

