編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

サプライチェーンが企業セキュリティの弱点に--英政府レポート

Danny Palmer (ZDNet.com) 翻訳校正: 石橋啓一郎

2018-04-26 06:30

 セキュリティの専門家は、企業のサプライチェーンを標的にするハッカーと、破壊的なワームの増加などが、これからの1年に企業にとっての最大の脅威になると警告している。

 英国の諜報機関、政府通信本部(GCHQ)のサイバーセキュリティ部門である国家サイバーセキュリティセンター(NCSC)と、国家犯罪対策庁(NCA)は、英国の企業が直面するサイバーセキュリティの脅威に関するレポートを共同で発表し、セキュリティリスクは高まり続けていると警告した。

 このレポート「The Cyber Threat to UK Business Industry 2017-2018」は、サイバーセキュリティインシデントが極めて多かった、2017年の英国の状況を反映したものになっている。2017年の英国は、マルウェア、諜報活動、その他の通常のサイバー脅威と戦わねばならなかったのに加え、英国の国民保険サービス(NHS)を部分的にダウンさせた、ランサムウェア「WannaCry」の世界的な流行への対応も必要だった。

 同レポートの記述によれば、NCSCは、2016年の10月から2017年末にかけて、政府機関横断的な対応が必要な重大なサイバー攻撃は34件記録され、より深刻度が低いインシデント(通常は1つの組織のみに限定されたもの)も762件記録されたという。

 ただし、NCSCとNCAは、組織内のサイバーセキュリティ戦略がどれだけ整備されても、リスクが減らない分野があると述べている。それは、サプライチェーンだ。

 同レポートでは、「当然ながら、組織のサイバーセキュリティが優れていても、サプライチェーンに連なる取引先やサードパーティーサプライヤーにも同じ基準が当てはまる保証はない。攻撃者は、サプライチェーンのもっとも脆弱な部分を標的にして、そこから意図する目標に到達しようとする」と警告している。

 サプライチェーンに対する攻撃の問題は、巧妙に行われた場合、検知するのが難しい場合が多いことだ。攻撃者はしばしば、認証情報を盗んだり、バックドアを作ったりするために特別に用意されたスピアフィッシングやその他の技法を使って、密かにネットワークに侵入する。

 実際、同レポートでは、この戦術が脅威をもたらしている例として、中国発の高度なサイバー諜報キャンペーン「Cloud Hopper」を挙げている。このキャンペーンは、世界中のITサプライヤーを標的とすることで成功を収めた。この事例では、より大きな最終的な目標に侵入するための踏み石としてサードパーティー組織がセキュリティ侵害を受けたが、それらのサードパーティー組織自体が扱っていた秘密情報も、攻撃者にとって収穫となっていたことが分かっている。

 2017年に起こった「NotPetya」の攻撃では、サプライヤーが攻撃を受けると、どんな事態が起きるかが明らかになった。ウクライナ全土で使われていた正規のソフトウェアが、破壊的なランサムウェアワームに感染したのだ。しかし、攻撃はウクライナの国内に留まらなかった。NotPetyaは組織間の関係やサプライチェーンの結びつきを介して世界中に広がり、数十億ドルの被害を引き起こした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AI導入に立ちはだかる「データ」「複雑さ」「コスト」「人材」の壁をどう乗り切ればいいのか?

  2. クラウドコンピューティング

    【IDC調査】2026年には75%のアプリがAIを実装!導入で遅れた企業はどう“逆転”すべきか?

  3. 運用管理

    経産省調査で明らかに:未だにレガシーシステムを抱える企業が8割!オープン化でよくある課題とは?

  4. 運用管理

    AWS東京リージョンの大規模障害に学ぶ、パブリッククラウド上のシステムの迅速な復旧方法

  5. windows-server

    【ユースケース】ソフトウェア開発にDell EMCインフラ+コンテナを使うメリット

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]