セキュリティの専門家は、企業のサプライチェーンを標的にするハッカーと、破壊的なワームの増加などが、これからの1年に企業にとっての最大の脅威になると警告している。
英国の諜報機関、政府通信本部(GCHQ)のサイバーセキュリティ部門である国家サイバーセキュリティセンター(NCSC)と、国家犯罪対策庁(NCA)は、英国の企業が直面するサイバーセキュリティの脅威に関するレポートを共同で発表し、セキュリティリスクは高まり続けていると警告した。
このレポート「The Cyber Threat to UK Business Industry 2017-2018」は、サイバーセキュリティインシデントが極めて多かった、2017年の英国の状況を反映したものになっている。2017年の英国は、マルウェア、諜報活動、その他の通常のサイバー脅威と戦わねばならなかったのに加え、英国の国民保険サービス(NHS)を部分的にダウンさせた、ランサムウェア「WannaCry」の世界的な流行への対応も必要だった。
同レポートの記述によれば、NCSCは、2016年の10月から2017年末にかけて、政府機関横断的な対応が必要な重大なサイバー攻撃は34件記録され、より深刻度が低いインシデント(通常は1つの組織のみに限定されたもの)も762件記録されたという。
ただし、NCSCとNCAは、組織内のサイバーセキュリティ戦略がどれだけ整備されても、リスクが減らない分野があると述べている。それは、サプライチェーンだ。
同レポートでは、「当然ながら、組織のサイバーセキュリティが優れていても、サプライチェーンに連なる取引先やサードパーティーサプライヤーにも同じ基準が当てはまる保証はない。攻撃者は、サプライチェーンのもっとも脆弱な部分を標的にして、そこから意図する目標に到達しようとする」と警告している。
サプライチェーンに対する攻撃の問題は、巧妙に行われた場合、検知するのが難しい場合が多いことだ。攻撃者はしばしば、認証情報を盗んだり、バックドアを作ったりするために特別に用意されたスピアフィッシングやその他の技法を使って、密かにネットワークに侵入する。
実際、同レポートでは、この戦術が脅威をもたらしている例として、中国発の高度なサイバー諜報キャンペーン「Cloud Hopper」を挙げている。このキャンペーンは、世界中のITサプライヤーを標的とすることで成功を収めた。この事例では、より大きな最終的な目標に侵入するための踏み石としてサードパーティー組織がセキュリティ侵害を受けたが、それらのサードパーティー組織自体が扱っていた秘密情報も、攻撃者にとって収穫となっていたことが分かっている。
2017年に起こった「NotPetya」の攻撃では、サプライヤーが攻撃を受けると、どんな事態が起きるかが明らかになった。ウクライナ全土で使われていた正規のソフトウェアが、破壊的なランサムウェアワームに感染したのだ。しかし、攻撃はウクライナの国内に留まらなかった。NotPetyaは組織間の関係やサプライチェーンの結びつきを介して世界中に広がり、数十億ドルの被害を引き起こした。