サプライチェーン経由のサイバー攻撃の標的 意外な4業界
当社では技術提携をしているイスラエル企業のブログを紹介しています。
今回は当社のサプライチェーンリスク評価サービス「Panorays」で技術提携をしているPanorays Ltd.のブログ『サプライチェーン経由のサイバー攻撃の標的 意外な4業界』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
サプライチェーン経由のサイバー攻撃の標的 意外な4業界
Aviva Spotts@Panorays | 2021年4月22日
金融業界、ヘルスケア業界、保険業界、政府関連施設、こうしたセグメントは、社会保障番号、診療記録など、いわゆるダークウェブなど、取引の現場で非常に価値が高いとされる個人情報を扱うセグメントとして知られており、サイバー攻撃の標的となる可能性が高いと考えられてきました。しかし、多くの組織が課題解決のため、目標達成のため、次々と登場する新しいテクノロジーや業務委託に依存し、データ共有が当たり前となった今、サイバー攻撃と無縁の組織や産業があるわけではありません。
新たな標的 意外な4業界とその理由
1.建設業界
工事現場を想像してみてください。
建設プロジェクトの計画・管理、重機の運用、作業員の管理、これらをサポートするための新しい技術が次々と開発されており、テクノロジーへの依存度が高まっています。必然的にサイバーセキュリティのリスクも高まっています。
また、建設会社は、さまざまなプロジェクトを計画・実行・管理するために日頃から多くの下請け業者を抱えています。その分だけ潜在的なアタックサーフェスも拡大しているというわけです。事実、2020年には、Bouygues(フランスの大手建設会社)、Bam Construct(英国の大手建設会社)、Interserve(英国の大手建設会社)が、わずか4カ月の間に相次いでサイバー攻撃の被害に遭っています。
さらに、建設会社は病院や政府系の施設が入る建物、有名観光地やオフィスビルといったさまざまな施設と連携しています。こうした施設もまた攻撃者の標的であり、建設業界を足掛かりにアクセスを得ようとする危険性も秘めています。
2.教育機関
サイバー犯罪者が新たに魅力を感じて、標的とし始めたのが「教育機関」です。
教育機関が保有する財務書類、生徒や親、教職員に関する個人情報は、攻撃者にとっては非常に価値のある情報です。
COVID-19の影響により、教育現場もリモートによる学習への切り替えが実施され、教育機関もまた、今までに経験したことのない課題に直面しています。学校や大学の中には、生徒や学生のニーズに応えるため、EdTechツールや新たな機材の導入をせざるを得なかった施設も少なくありませんでした。もちろんですが、こうしたオンラインツールには、サイバーリスクがついて回ります。対応を怠れば、有益なはずのツールが有害なツールになってしまいます。
米国のスタンフォード大学は、Accellion社のFTA(ファイル転送アプライアンス)の脆弱性により、学生や教職員のデータが流出、オンラインで公開されてしまいました。スタンフォード大学はこの脆弱性による被害を被った数多くの高等教育機関の一つに過ぎません。
COVID-19による感染拡大が深刻になってから、教育機関への攻撃が相次いでいます。Check Pointのリサーチャーは、2020年から2021年にかけて、教育機関、研究機関、通学の再開などに関連するトピックへのハッカーの関心が高まっていることを確認しています。
3.航空会社
航空業界もCOVID-19の影響下、厳しい状況に置かれている業界の一つです。
感染拡大中も感染拡大収束後を見越して、乗客の安全と快適性の向上に焦点を当てて、さまざまな対策を行ってきました。しかし、時間をかけて丁寧に計画を練って、対策を講じてきたのは彼らだけではなく、攻撃者側も同じことです。
例を挙げてみましょう。
2021年3月、とあるベンダーへのサイバー攻撃が航空業界全体を巻き込むほどの大きな影響を与えたインシデントが発生しました。攻撃者は個別の航空会社を標的にするのではなく、世界中の約90%の航空会社にITサービスを提供している「SITA(スイスに本社を構える多国籍企業)」を攻撃する事で、より効率的なルートでデータを収集することに成功しました。1回のデータ侵害で、何百万人もの旅行者の個人情報が危険に晒されることとなりました。
カナダの航空機メーカーであるBombardierも前出のAccellion社製のアプライアンスの脆弱性が原因のデータ侵害を経験しています。
航空産業は、旅行と輸送の安全かつ迅速で効率的なオペレーションを可能にするさまざまな高度なテクノロジーに依存しています。重要なソフトウェアにパッチが適応されておらず、脆弱なままであれば、そこを狙われた場合の結果は深刻なものとなるでしょう。
4.ゲーム業界
お気に入りのオンラインゲームによって、サイバー攻撃の標的となり得ることを想像してみたことはありますか。
バイオハザード、ストリート・ファイター、モンスターハンターなどのゲームで知られるカプコンが2020年末にサイバー攻撃を受けた際、同社は約15000人分のゲーマーの個人情報の流出を確認したと報じています。また、ウィッチャーやサイバーパンク2077などのCD Projekt Redも同じく2021年初頭に侵害の被害にあったと報じられており、ゲーム人気が高まるにつれて、ゲーム会社もサイバー攻撃の標的となりつつあることがうかがえます。
流出した個人情報はサイバー犯罪者の取引に使われます。儲かるビジネスであり、そのためにゲーム会社は魅力的なターゲットとなっているのです。
まとめ
つまりはサードパーティに起因するデータ侵害は誰にでも起こりうるという現実です。
こうした侵害は大企業にしか起こらないと考えている人も多いと思います。しかし、最近ではそうとも限らないということがわかってきています。むしろ逆の場合もあり得るのです。大企業はセキュリティにある程度の投資をして、対策をとっている場合が多いのですが、中小企業には適切なセキュリティプログラムを導入するだけのリソースが限られている場合も多く、攻撃者はその弱点を悪用してきます。
同様に、攻撃者が特定の業界のみを標的としていると考えることも改めたほうがよいでしょう。
攻撃者の狙いは、機密性の高い企業情報および/または個人情報を盗み取り、それをダークウェブ等で取引きして利益を得たり、身代金による利益を得ることであり、そのためにネットワークまたはシステム上で悪意のある活動に従事します。そして彼らの努力が報われ一定の利益をもたらす限り、如何なる組織も攻撃対象となり得るのです。
Panoraysとは
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供する「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
現状を把握し、リスクの軽減に取り組んでみませんか?
【今後予定されている無料ウェビナーのご案内】(終了しました)
★7月7日(水)今こそ始める!サプライチェーンのサイバーリスク管理~外部評価編~
★8月4日(水)後日詳細掲載予定
