協力会社やフリーランスが踏み台になる、より危険なサイバー攻撃
他の企業やフリーランスの人材が自社の従業員と同じように働く環境は珍しくない。だが、自社の従業員と違ったサイバーリスクがあるという。どのようなリスクがあるのだろうか。
「企業は通常、請負業者やフリーランサーに対して、職責を果たすために必要な自社のアプリケーションやデータへのアクセスを許可する。データの内容は財務関連からマーケティングプラットフォームや機密資料まで、業務の性質によってさまざまだ」
こう語るのはテルアビブに拠点を置くスタートアップ企業Talon Cyber Security(Talon)のオハッド・ボブロフ氏(共同創業者兼CTO《最高技術責任者》)だ。
何が起こり得るのか
パートナー企業の従業員やフリーランサーと働くことは珍しくないが、サイバー攻撃の危険性が高まるのだという。
Talonが2022年12月20日に発表したレポートによると(注1)、独立請負業者やフリーランサーを含むサードパーティーワーカーの雇用が、セキュリティリスク増加の要因になっていることが分かった。
同社のレポートによれば、サードパーティーワーカーの9割が管理されていない個人所有のデバイスを使って業務を遂行しており、企業は彼らの行動をほとんど、あるいは全く把握できていないという。
回答者の約45%が仮想デスクトップインフラやDaaS(Desktop as a Service)技術を使用していた。これらは高価ながら、一貫性のないユーザーエクスペリエンスを提供するため、セキュリティの観点から危険だと考えられている。
Talonのレポートは、企業環境において管理されていない遠隔地の請負業者と契約するリスクを明らかにした。多くの企業は重要なサービスを提供するために、請負業者やフリーランスの労働者に依存している。だが、彼らが使用しているテクノロジーやビジネスで起こる可能性のあるセキュリティリスクを十分に把握できていないのが現状だ。
Forrester Researchの調査によると(注2)、ギグエコノミーへのシフトが進む中、重要なビジネス機能を請負業者やフリーランサーに依存する企業が増えているという。
同社のアラ・ヴァレンテ氏(シニアアナリスト)は次のように述べる。
「彼らは会社の電子メールアドレスを持ち、オフィスで隣の席に座ることもあるため従業員だと思われがちだが、実はそうではない。彼らはサイバー攻撃の媒介となり、企業を過度のリスクにさらす可能性がある」
実際に踏み台になった事例もある
過去1年間に起こった幾つかの有名な事件で、攻撃者はサードパーティーの契約者を標的にした。最も注目を集めた攻撃の一つでは、Oktaが攻撃グループ「Lapsus$」によるランサムウェア攻撃の被害者になった。この事件では、攻撃者は2022年1月にサードパーティーのカスタマーサポートエンジニアのノートPCを標的にしており(注3)、ここからOktaに対するランサムウェア攻撃が始まった。
当初は攻撃を否定していたOktaだが、その後、顧客の2.5%がデータ流出の影響を受けたことを確認した。Oktaは最初の攻撃から2カ月後に攻撃者がスクリーンショットを投稿したため困惑したことを認めている(注4)。
なおTalonのレポートはTalonがTechnology Market Insightsに委託した調査に基づいており、米国の258人のサードパーティーワーカーを対象とした。
出典:Remote, third-party workers raise security risks for enterprises: report(Cybersecurity Dive)
注1:2022 Talon Cyber Security Third-Party Risk Report
注2:The State Of Third-Party Risk Management, 2022
注3:Okta’s Investigation of the January 2022 Compromise
注4:Okta says 2.5% of customers breached, as Lapsus$ sows disorder(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- サプライチェーン攻撃対策、「これ」を忘れてはいけない
企業は全てのベンダーに厳格なセキュリティ対策を要求し、守らせる必要がある。攻撃される可能性が最も低いツールが、最も大きなリスクをもたらすことがあるからだ。企業の基幹システムや通信インフラ、クラウド、メール、SNS以外にも思わぬ攻撃対象が残っている。一見してITとは無関係な所にわながあるのだ。 - 取引先が多い企業がサプライチェーン攻撃を防ぐ方法は?
自社の取引先や顧客のうち、最も防備が整っていない組織を犯罪者は狙う。サプライチェーン攻撃の基本だ。取引先や顧客が多い場合はどのように対処できるだろうか。