協力会社やフリーランスが踏み台になる、より危険なサイバー攻撃

他の企業やフリーランスの人材が自社の従業員と同じように働く環境は珍しくない。だが、自社の従業員と違ったサイバーリスクがあるという。どのようなリスクがあるのだろうか。

[David Jones，Cybersecurity Dive]

　「企業は通常、請負業者やフリーランサーに対して、職責を果たすために必要な自社のアプリケーションやデータへのアクセスを許可する。データの内容は財務関連からマーケティングプラットフォームや機密資料まで、業務の性質によってさまざまだ」

　こう語るのはテルアビブに拠点を置くスタートアップ企業Talon Cyber Security（Talon）のオハッド・ボブロフ氏（共同創業者兼CTO《最高技術責任者》）だ。

何が起こり得るのか

　パートナー企業の従業員やフリーランサーと働くことは珍しくないが、サイバー攻撃の危険性が高まるのだという。

　Talonが2022年12月20日に発表したレポートによると（注1）、独立請負業者やフリーランサーを含むサードパーティーワーカーの雇用が、セキュリティリスク増加の要因になっていることが分かった。

　同社のレポートによれば、サードパーティーワーカーの9割が管理されていない個人所有のデバイスを使って業務を遂行しており、企業は彼らの行動をほとんど、あるいは全く把握できていないという。

　回答者の約45％が仮想デスクトップインフラやDaaS（Desktop as a Service）技術を使用していた。これらは高価ながら、一貫性のないユーザーエクスペリエンスを提供するため、セキュリティの観点から危険だと考えられている。

　Talonのレポートは、企業環境において管理されていない遠隔地の請負業者と契約するリスクを明らかにした。多くの企業は重要なサービスを提供するために、請負業者やフリーランスの労働者に依存している。だが、彼らが使用しているテクノロジーやビジネスで起こる可能性のあるセキュリティリスクを十分に把握できていないのが現状だ。

　Forrester Researchの調査によると（注2）、ギグエコノミーへのシフトが進む中、重要なビジネス機能を請負業者やフリーランサーに依存する企業が増えているという。

　同社のアラ・ヴァレンテ氏（シニアアナリスト）は次のように述べる。

　「彼らは会社の電子メールアドレスを持ち、オフィスで隣の席に座ることもあるため従業員だと思われがちだが、実はそうではない。彼らはサイバー攻撃の媒介となり、企業を過度のリスクにさらす可能性がある」

実際に踏み台になった事例もある

　過去1年間に起こった幾つかの有名な事件で、攻撃者はサードパーティーの契約者を標的にした。最も注目を集めた攻撃の一つでは、Oktaが攻撃グループ「Lapsus$」によるランサムウェア攻撃の被害者になった。この事件では、攻撃者は2022年1月にサードパーティーのカスタマーサポートエンジニアのノートPCを標的にしており（注3）、ここからOktaに対するランサムウェア攻撃が始まった。

　当初は攻撃を否定していたOktaだが、その後、顧客の2.5％がデータ流出の影響を受けたことを確認した。Oktaは最初の攻撃から2カ月後に攻撃者がスクリーンショットを投稿したため困惑したことを認めている（注4）。

　なおTalonのレポートはTalonがTechnology Market Insightsに委託した調査に基づいており、米国の258人のサードパーティーワーカーを対象とした。

出典：Remote, third-party workers raise security risks for enterprises: report（Cybersecurity Dive）

注1：2022 Talon Cyber Security Third-Party Risk Report

注2：The State Of Third-Party Risk Management, 2022

注3：Okta’s Investigation of the January 2022 Compromise

注4：Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）