サプライチェーンが企業セキュリティの弱点に--英政府レポート

Danny Palmer (ZDNET.com) 翻訳校正: 石橋啓一郎

2018-04-26 06:30

 セキュリティの専門家は、企業のサプライチェーンを標的にするハッカーと、破壊的なワームの増加などが、これからの1年に企業にとっての最大の脅威になると警告している。

 英国の諜報機関、政府通信本部(GCHQ)のサイバーセキュリティ部門である国家サイバーセキュリティセンター(NCSC)と、国家犯罪対策庁(NCA)は、英国の企業が直面するサイバーセキュリティの脅威に関するレポートを共同で発表し、セキュリティリスクは高まり続けていると警告した。

 このレポート「The Cyber Threat to UK Business Industry 2017-2018」は、サイバーセキュリティインシデントが極めて多かった、2017年の英国の状況を反映したものになっている。2017年の英国は、マルウェア、諜報活動、その他の通常のサイバー脅威と戦わねばならなかったのに加え、英国の国民保険サービス(NHS)を部分的にダウンさせた、ランサムウェア「WannaCry」の世界的な流行への対応も必要だった。

 同レポートの記述によれば、NCSCは、2016年の10月から2017年末にかけて、政府機関横断的な対応が必要な重大なサイバー攻撃は34件記録され、より深刻度が低いインシデント(通常は1つの組織のみに限定されたもの)も762件記録されたという。

 ただし、NCSCとNCAは、組織内のサイバーセキュリティ戦略がどれだけ整備されても、リスクが減らない分野があると述べている。それは、サプライチェーンだ。

 同レポートでは、「当然ながら、組織のサイバーセキュリティが優れていても、サプライチェーンに連なる取引先やサードパーティーサプライヤーにも同じ基準が当てはまる保証はない。攻撃者は、サプライチェーンのもっとも脆弱な部分を標的にして、そこから意図する目標に到達しようとする」と警告している。

 サプライチェーンに対する攻撃の問題は、巧妙に行われた場合、検知するのが難しい場合が多いことだ。攻撃者はしばしば、認証情報を盗んだり、バックドアを作ったりするために特別に用意されたスピアフィッシングやその他の技法を使って、密かにネットワークに侵入する。

 実際、同レポートでは、この戦術が脅威をもたらしている例として、中国発の高度なサイバー諜報キャンペーン「Cloud Hopper」を挙げている。このキャンペーンは、世界中のITサプライヤーを標的とすることで成功を収めた。この事例では、より大きな最終的な目標に侵入するための踏み石としてサードパーティー組織がセキュリティ侵害を受けたが、それらのサードパーティー組織自体が扱っていた秘密情報も、攻撃者にとって収穫となっていたことが分かっている。

 2017年に起こった「NotPetya」の攻撃では、サプライヤーが攻撃を受けると、どんな事態が起きるかが明らかになった。ウクライナ全土で使われていた正規のソフトウェアが、破壊的なランサムウェアワームに感染したのだ。しかし、攻撃はウクライナの国内に留まらなかった。NotPetyaは組織間の関係やサプライチェーンの結びつきを介して世界中に広がり、数十億ドルの被害を引き起こした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]