若要解析供應鏈攻擊牽涉的層面，微軟認為，可根據上下游來區分，以上游來看，駭客能針對DNS、PKI、雲端服務供應商、VPN服務供應商、網路服務供應商，以及合作夥伴。圖片來源／微軟

在過往的資安威脅當中，就受害對象而言，可分為隨機式攻擊（Opportunistic Attacks），以及目標鎖定式攻擊（Targeted Attack），然而，隨著滲透手法持續發展，這兩種攻擊搭配的狀況越來越多，尤其這幾年的多起供應鏈攻擊事件更為顯著。

IT人常用的工具軟體被駭客攻陷，成為滲透企業的新利器

舉例來說，2017年9月發生震驚全球的系統清理軟體CCleaner遭駭事件，該套軟體被植入惡意程式，導致227萬臺電腦受到影響。由於這套軟體是許多IT人員愛用的免費工具軟體，因此，有心人士若竄改這套產品，就能透過這個管道，將攻擊程式散播到許多企業。

到了2019年，供應鏈攻擊事件趨於多元，軟體類型仍為最大宗，其中，與臺灣最密切的，莫過於針對華碩個人電腦軟體更新平臺Asus Live Update的攻擊。

不久，華碩爆發雲端硬碟服務ASUS WebStorage用戶端程式遭濫用，在有漏洞的路由器與中間人攻擊的手法之下，裝有這套程式的個人電腦會感染惡意程式Plead。

VPN漏洞讓供應鏈有弱點，駭客趁虛而入

到了2019年第三季，有多起供應鏈攻擊被揭發，都跟VPN有關。

例如，9月底，歐洲飛機製造商空中巴士（Airbus）揭露，他們遭到一系列駭客攻擊，對方鎖定的目標是空中巴士的供應商，像是英國的引擎製造商勞斯萊斯（Rolls-Royce）、法國的技術諮詢與供應商Expleo，以及兩家承包商，企圖尋找其中的商業機密，而攻擊的目標，正是連接這些公司與空中巴士之間的VPN加密連線。

而在IT廠商的部份，也出現VPN相關的供應鏈攻擊事件。首先是防毒軟體廠商Avast，9月底發現有人透過暫存的VPN連線組態檔，從VPN侵入該公司內部網路，為期將近4個月，目標正是兩年前遇害的CCleaner（Avast在2017年9月併購開發CCleaner的Piriform公司）；就在同一天，NordVPN、TorGuard與VikingVPN等三家VPN業者的金鑰，也被公開。

網站使用的外部服務遭濫用，駭客置入惡意程式

除了上述事件，資安業界也將表單劫持（formjacking），以及網站誤用被嵌入側錄付款資訊惡意程式（Skimmer）的網路服務，認定為供應鏈攻擊。

像是電子商務平臺Volusion用的雲端基礎設施，遭駭客入侵，就是一例。有駭客在芝麻街網站搭配基於Volusion平臺而設置的線上商店，載入置於Google雲端儲存服務的JavaScript檔，而這支檔案會動態注入線上商店頁面，並在Volusion網站存放另一支JavaScript檔，該程式會將消費者輸入的卡號轉貼至其他網站。

由於採用這樣的手法，因此，許多人推測，是攻擊英國航空與Newegg的Magecart集團所為。

綜觀這幾年發生的供應鏈攻擊事件，我們可以發現企業若要做好相關的防護，必須重新思考對於各種形式委外服務的依賴。

若無法完全自主，就要擴大整體防護的層面，強化或管制這類技術與服務整合的使用範圍，不應自掃門前雪，或過度信任外部合作的資源。