サイバー犯罪者がサプライチェーンパートナーを通じて攻撃を開始する方法

その性質上、サプライチェーンには人と組織の間の協力的なパートナーシップが必要です。これは、共通の目標を達成し、成長を促進するのに役立ちますが、多くの問題を引き起こす可能性もあります。

これらの共生関係を通じて、企業は無意識のうちにビジネスのデリケートな側面を明らかにしてきました。しかし、この見過ごされていた弱点により、サイバー犯罪者が標的組織に足場を築く機会が開かれました。

このような攻撃の蔓延を強調するOpusand Ponemon Instituteの調査によると、組織の少なくとも59％がサードパーティ企業を介したサイバー攻撃に苦しんでいます。さらに厄介なのは、調査対象の組織の16％のみが、サードパーティからのサイバーセキュリティリスクを効果的に軽減すると主張しているという事実です。

あなたの会社をそのようなリスクから保護するための最初のステップがそれらを特定することであるのは当然のことです。以下は、悪意のある攻撃者がサプライチェーンパートナーを介して攻撃を開始するいくつかの方法であり、実際の例で示されています。

ほとんどすべての組織が外部のハードウェアとソフトウェアを利用しています。技術をゼロから構築したい人はほとんどいません。むしろ、オープンソース分野のブームは、事業運営のほぼすべての側面でアウトソーシングの大規模な波をもたらしました。

その便利さにもかかわらず、この機会にはかなりのリスクが伴います。 2018年の悪名高いEquifax違反は、オンラインデータベースの実行を担当するソフトウェアの欠陥が原因でした。 Equifaxはまた、別のベンダーからのサイト上の悪意のあるダウンロードリンクを非難しました。

サプライチェーンにおけるこれらの弱点の結果として、犯罪者は少なくとも1億4300万人の個人データを手に入れました。

多くの企業が、インターネットに接続されているが適切なセキュリティ対策が不足している暖房、換気、および空調（HVAC）システムを使用しています。これらは、2014年の大規模なターゲット違反の場合と同様に、ハッカーに企業システムへの潜在的なゲートウェイを提供します。

ハッカーは、TargetのHVACシステムを提供している会社に属するログイン資格情報にアクセスできました。その後、彼らはログインして支払いシステムにアクセスし、推定7000万人の情報を盗みました。これには、名前、住所、電子メールアドレス、電話番号などの機密データが含まれていました。

別の形態のリスクは、企業の機密データを保存するクラウドサービスプロバイダーから発生します。確かに、そのようなエンティティはシステムのセキュリティに多額の投資をしています。彼らの評判はそれに依存しています。

しかし、他の組織システムと同様に、これらも妥協する傾向があります。これは、2018年の悪名高いParadise Papersハッキングの場合でした。約1340万の機密ファイルが漏洩し、世界中のグローバル企業や超富裕層の機密金融取引が明らかになりました。これらのファイルの少なくとも半分、約680万は、オフショアの法律サービスプロバイダーであるApplebyからのものです。

同様の攻撃が2018年の夏に発生し、Deep RootAnalyticsが約2億人の有権者の個人データを漏洩しました。ディープルートは、共和党と民主党の両方で使用されているマーケティング会社です。この違反は、公的にアクセス可能なサーバーに会社が誤ってデータを配置したことが原因でした。

従業員が約50人しかない比較的小さな会社ですが、大規模な組織でも同様の事件が発生しています。 Verizonの侵害の場合、NiceSystemsは600万件の顧客レコードをパブリックAmazonS3ストレージサーバーに保存しました。レコードは、6か月分のカスタマーサービスの通話ログで構成されていました。それらには個人情報とアカウント情報が含まれていました。ニースには3,500人以上の従業員がいます。

25万人以上の従業員を抱えるデロイトでも、同様のデータ侵害が発生しています。 2018年9月、ハッカーは優良顧客の一部の機密計画や電子メールにアクセスできるようになりました。この場合の抜け穴は、管理者アカウントの1つに対する弱いアクセス制御でした。

大企業の場合、セキュリティは内部的に水密である可能性があります。ただし、これはベンダーのITシステムにも当てはまらない場合があります。それが、昨年秋にオーストラリアで開催されたドミノ・ピザで起こったことのようです。当時の報告によると、この事件は元サプライヤーの弱いサイバーセキュリティシステムが原因でした。その結果、システムは顧客の名前と電子メールアドレスを漏洩しました。この違反は、影響を受けた顧客がパーソナライズされたスパムメールを受信し始めたときに初めて明らかになりました。ドミノは、個人データの悪意のあるハッキングはなく、そのシステムに障害はないと主張しましたが、被害はすでに発生しています。

サイバー犯罪者が悪用する可能性のあるもう1つの抜け穴は、モノのインターネット（IoT）センサーです。多くの事業者は、コンピューター、電話、ネットワークのセキュリティリスクに注意を払っています。しかし、IoTデバイスを見落とすことが多く、攻撃者が企業システムに飛び込む可能性があります。

これらのデバイスには、通信目的でインターネットに接続するセンサーがあります。これらは、他の分野の中でも特に、機械の故障予測や在庫管理を支援できるため、サプライチェーンで一般的です。それらの機能的価値にもかかわらず、それらは攻撃者に機密データへのアクセスを提供し、妨害行為やボ​​ットネット攻撃を容易にする可能性のある人気のある攻撃ベクトルです。

このような攻撃の例では、Miraiと呼ばれるボットネットを使用して、Reddit、Netflix、Githubなどにドメインネームサービスを提供しているDynを侵害しました。 Miraiは、分散型サービス拒否（DDOS）攻撃を実行するように設計されたIoT固有のボットネットです。

上記の例は、攻撃者がサプライチェーンの弱いリンクを使用してシステムにアクセスする可能性があるという事実を裏付けています。残念ながら、サプライチェーンパートナーが実施するセキュリティ対策を直接管理することはできません。しかし、結局のところ、顧客はあなたがどのように危険にさらされたかを気にしません。彼らは単に自分たちのデータが安全であることを知りたいだけです。そして、これはあなたの手に厳重なセキュリティを確保する責任を負わせます。

サードパーティのセキュリティシステムとそのプライバシーポリシーを評価する際のデューデリジェンスは不可欠です。これまで見てきたように、大小の組織はこれらの戦術の餌食になる可能性があります。パートナーの規模に関係なく、セキュリティへの取り組みを評価することが不可欠です。

自分の弱点がどこにあるかを評価し、すべての抜け穴を塞ぐことを優先することを最重要目標にします。

オリビアスコットはのマーケティングマネージャーです VPNpro.com。