自社のセキュリティ対策をいくら強化したとしても、万全な対策にはならない。なぜならサプライチェーン攻撃は自社ではなく、自社と取引がある他社を通じてこちらに向かってくるからだ。ではサプライチェーン攻撃に遭遇する可能性はどの程度なのだろうか。
サプライチェーン攻撃はどこか遠い世界の話にも聞こえるが、その認識は間違いだ。
SecurityScorecardとCyentia Instituteが2023年2月1日に発表したレポートによると(注1)、全世界の組織の98%はサプライチェーン攻撃が命中しそうな際どい状況にあった。どういう意味だろうか。
レポートによれば、調査した組織と密接な関係があるサードパーティーベンダーのうち、少なくとも1つが過去2年間に情報漏えいを引き起こしていた。
SecurityScorecardの調査は、世界の23万5000以上の主要組織と、その組織が直接使用している(またはそのベンダーが使用している)約7万3000のベンダーと製品に関する分析に基づく。
なぜ98%の組織が影響を受けるのか。それは自社とサードパーティー、そのサードパーティーとつながっているフォースパーティー(第4段階の組織、ベンダーのベンダー)というように組織間の関係をたどっていくと、関連する組織の数が爆発的に増えるからだ。調査によれば、ある組織と関係を持つサードパーティーの平均数は約10社だ。つながりをたどっていくと関係する組織の数は急増する。
ソフトウェアのサプライチェーンに対する攻撃によって間接的に被害を受ける組織が増えているのはこのためだ。無防備な顧客を危険にさらす脆弱(ぜいじゃく)性や、混乱を招くランサムウェア攻撃は、標的となった当事者だけでなく、下流の顧客にも問題を引き起こす。
レポートによれば、サードパーティーベンダーのセキュリティレベルは調査対象の組織と比較して低い水準にあった。半数の組織が、過去に侵害を受けた少なくとも200社のフォースパーティーベンダーと間接的に連携していた。
状況を悪化させている理由の一つは、情報サービス部門が平均25社のベンダーとの関係を維持していることだ。これは全ての業界の中で最も多く、平均値の2.5倍に相当する。サードパーティーが攻撃を受けた場合に影響を受けやすい。なお、ヘルスケア業界は平均15.5社であり、金融業界は平均6.5社と最も少なかった。
「潜在的な脆弱性を特定する上で、可視性が障害になる。また、あらゆる分野の組織にとってベンダーとの関係は膨大な数に及んでおり、間接的にサイバーリスクにさらされる危険性が増している」(SecurityScorecardのマイク・ウッドワード氏《データ品質および信頼性担当バイスプレジデント》)
Black Kiteが発表した別のレポートによると(注2)、2022年中に63のベンダーに対する攻撃が約300社に影響を与えた。平均すると、2021年には1ベンダー当たり2.5社が影響を受けたのに対し、2022年には4.7社が影響を受けた。
レポートによれば、最も一般的な攻撃ベクトルは不正なネットワークアクセスで、インシデントの40%を占めた。
Black Kiteのボブ・メイリー氏(CSO《最高セキュリティ責任者》)は、「攻撃に用いられたアクセスの正確な方法は一般に公開されず、すぐには分からない。だが、不正なネットワークアクセスはフィッシングや認証情報の盗難、アクセス制御の脆弱性などが原因となっていたことが多い」と述べる。
「テレワークの増加により、攻撃される機会が増えている。リモートで働く従業員は通常、ハッカーが簡単に侵入できる公共のアクセス可能なネットワーク上で作業している」(メイリー氏)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。