過去1年間、高度持続的脅威(APT)を用いた標的型フィッシング攻撃が中小企業に大きな影響を与えている。
攻撃グループは何を狙っているのか
Proofpointの研究者が2023年5月24日に発表したレポートによると(注1)、APTを用いる攻撃グループの行動にはある特徴が見つかった。
APTグループが攻撃する中小企業の種類は多岐にわたるものの、地域のマネージドサービスプロバイダーに対する攻撃が増えていた。サービスを利用する数百の下流の企業に影響を与えるサプライチェーン攻撃の可能性があるという。
予算不足で踏み台にされる中小企業
Proofpointのマイケル・ラッジ氏(脅威リサーチエンジニアスタッフ)は次のように述べた。「中小企業はこれまで事業環境を維持する十分なサイバーセキュリティ予算を確保できていない。中小企業は国家と連携したAPT攻撃(フィッシング攻撃)の主要な標的になった」
ロシアやイラン、北朝鮮と関連するAPTグループが、中小企業を対象に国家主導の金融窃盗やスパイ活動、知的財産の盗難、破壊的攻撃、偽情報キャンペーンを継続しているという。
Proofpointは2022年の第1四半期から2023年の第1四半期までに実施した20万社以上の中小企業に対する遠隔測定の結果を分析し、報告書にまとめた。報告書はサイバー当局が「標的が豊富でリソースが乏しい」と表現する中小企業のような組織が直面している根強い脅威を浮き彫りにした(注2)。ただし、Proofpointは攻撃活動の年間比較の数値を提供していない。
APTの攻撃者の狙いは中小企業そのものでない場合がある。まず中小企業のインフラを侵害して、マルウェアを設置したり、配信したりする。その後、米国や欧州の政府機関や金融機関を標的としたフィッシングキャンペーンを実行する。
マネージドサービスをてこに攻撃を広げる
もう一つの攻撃パターンは、APTの攻撃者が脆弱(ぜいじゃく)なマネージドサービスプロバイダーを標的にしてサプライチェーン攻撃を開始するというものだ。
「連携アクセスやエンドターゲットとなる組織の上流プロバイダーへの注目が高まることは、SolarWinds事件のようなサプライチェーン攻撃に続く論理的な帰結だ。つまり、今回見つかった攻撃は、完全に新しいものというわけではない。攻撃者は脆弱な中小企業の環境向けにフィッシングキャンペーンで使った既存の戦術を拡大しているようだ」(ラッジ氏)
出典:SMBs, regional MSPs under fire from targeted phishing attacks(Cybersecurity Dive)
注1:Account Compromise, Financial Theft, and Supply Chain Attacks: Analyzing the Small and Medium Business APT Phishing Landscape in 2023(proofpoint)
注2:CISA aims for target rich, resource poor sectors in rollout of security basics(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- サプライチェーン攻撃対策、「これ」を忘れてはいけない
企業は全てのベンダーに厳格なセキュリティ対策を要求し、守らせる必要がある。攻撃される可能性が最も低いツールが、最も大きなリスクをもたらすことがあるからだ。企業の基幹システムや通信インフラ、クラウド、メール、SNS以外にも思わぬ攻撃対象が残っている。一見してITとは無関係な所にわながあるのだ。 - セキュリティ対策が万全な企業が存在しない「ある理由」
自社のセキュリティ対策をいくら強化したとしても、万全な対策にはならない。なぜならサプライチェーン攻撃は自社ではなく、自社と取引がある他社を通じてこちらに向かってくるからだ。ではサプライチェーン攻撃に遭遇する可能性はどの程度なのだろうか。