2021年上半期 注目すべきサードパーティに由来するデータ侵害
当社では技術提携をしているイスラエル企業のブログを紹介しています。
今回は当社のサプライチェーンリスク評価サービス「Panorays」で技術提携をしているPanorays Ltd.のブログ『2021年上半期 注目すべきサードパーティに由来するデータ侵害』を紹介します。
みなさまのサイバーセキュリティ対策の参考としてご活用いただければ幸いです。
Yaffa Klugerman@Panorays | 2021年7月22日
2021年の上半期を振り返ってみましょう。
この半年でサードパーティに由来するデータ侵害のニュースを皆さんも何度か耳にしたと思います。
こうしたインシデントでは、グループ会社、取引先、サプライヤーなどを介して、結果的に攻撃者に自組織へのアクセスを与えることとなり、機密情報の漏洩などのリスクがあります。データ侵害は組織にとって、深刻な問題となる可能性があり、規制により罰金が科される可能性もあれば、訴訟や社会的信用の失墜、ひいては既存顧客を失うだけでなく、機会損失につながる可能性もあります。また、サイバー犯罪者にもかなりの利益をもたらす可能性があるため、攻撃が増加傾向にあるのも不思議ではありません。
では2021年の上半期事例を見ていきましょう。
こうした事例から何を学ぶことができるのでしょうか。
2021年上半期で被害の大きかった5件
1.Accellion
何が起きたのか?
昨年末、サイバー犯罪者は、ネットワーク上で大量、かつ機密性の高いファイルの転送機能をもったAccellionのFTA(ファイル転送アプライアンス)の脆弱性を悪用して、社会保障番号や銀行口座情報などの個人データへのアクセスに成功しました。攻撃の動機は金銭目的と言われており、今年に入ってからも、ニュージーランド予備銀行、ワシントン州、米国大手食料品チェーンKroger、コロラド大学、サイバーセキュリティ企業のQualysなどを含む、数多くの組織に被害が及んでいることが報じられています。
教訓
Accellionの例は、攻撃者がサードパーティを介して、標的となる組織に比較的簡単にアクセスできる方法を見つけたとき、何が起こり得るかを示す反面教師となる例です。被害の全容は未だに掴めておらず、被害を受けた組織の数はまだ増える可能性さえあります。Accellionは7月現在、北カリフォルニア州とワシントン州の訴訟で複数の訴訟に直面していますが、今後も訴訟の数が増えることは疑いの余地はありません。
2.フォルクスワーゲンとアウディ
何が起きたのか?
2021年3月フォルクスワーゲングループ アメリカは、2019年8月から2021年5月の2年弱の間、ベンダーがインターネット上に保護されていない状態でデータを保管していたため、結果として、アクセス権限を持たない第三者がそのデータにアクセスし、330万人の顧客データが窃取されたと公表しました。330万人の顧客データのうち97%以上がアウディの顧客とその購入に興味を持つ個人で、アクセス可能な状態にあったデータは、連絡先情報から社会保障番号、ローン番号(割賦信用番号)までさまざまな種類のデータであったと報じられています。
教訓
このインシデントは、機密データが誤ってインターネット上で公開されたままになった場合に何が起こりうるかを理解するのに良い例ですが、決して珍しいインシデントではなく、比較的容易に防ぐことのできるインシデントでもあります。最近のPanoraysの調査では、意外に多くのベンダーがクラウドストレージを適切に設定していないことが判明しています。顧客情報を保護するために、自らのセキュリティ対策だけでなく、自組織の顧客情報などを扱うベンダーが適切な情報管理を行い、クラウド上に安全に保管していることを確認する必要があります。
3.Click Studios
何が起きたのか?
2021年4月Click Studios(オーストラリア)は、顧客に対し、自社が使っている法人向けパスワード管理ソフト『Passwordstate』がサイバー攻撃を受けたと公表しました。攻撃者はこのサービスのユーザである企業をマルウェアに感染させるために、同ソフトの更新システムを悪用したと報じられています。Passwordstateは、世界中の約29,000社370,000人以上のセキュリティおよびITプロフェッショナルによって使用されていますが、実際に侵害の影響を受けた企業の数は未だ明確ではありません。Click Studiosは利用顧客に対し、すべてのパスワードをリセットするよう警告を出しています。
教訓
これが何を意味するのか。
つまり、パスワード管理ソフトがサードパーティであると認識さえしていない人もいるのではないか、という事実です。
パスワードのような重要な情報を託すのですから、本来であれば運営会社のセキュリティ態勢を徹底的に評価し、継続的に監視すべき高リスクのサプライヤーとして認識し、扱う必要があります。Passwordstateに起きた事例からもわかる通り:
- 委託先の洗い出し、
- 委託先が侵害された場合のリスクレベルを含む影響の全貌を把握し、
- サプライチェーンやグループ会社を含めた自組織のセキュリティ態勢を継続的に評価、監視、改善していく
ことが非常に重要であることを証明しています。
4.サウスウェストオクラホマ癌センター
何が起きたのか?
米国オクラホマ州にあるサウスウェストオクラホマ癌センターのクラウドストレージのプロバイダであるElektaは、今年始めに自社のネットワーク上で異常を検知、約8000人の癌患者の患者情報などを記したデータへの不正アクセスが発覚しました。アクセスされた情報には、患者名、社会保障番号、住所、生年月日、治療履歴を含むカルテなどでした。
教訓
攻撃対象は金融機関や学校、製造業などである、というのは過去の話であり、患者情報を含む医療機関の情報も攻撃対象となっています。如何なる情報も狙われる、次の被害者は自分である可能性があることを肝に銘じておきましょう。
5.Kaseya
何が起きたのか?
2021年7月2日金曜日、REvilランサムウェアの攻撃者グループが、リモート監視・管理ソフトウエア「Kaseya VSA」の脆弱性を悪用し、攻撃を仕掛けました。Kaseyaは予防措置としてオンプレミスとSaaSサーバの両方をシャットダウンしましたが、後にスウェーデンの800店舗を展開する食料品小売業者のCoopチェーンを含む、世界中の1500社程度の企業が影響を受けていることが明らかになりました。攻撃者は被害にあったすべてのシステムの暗号化を解く身代金としてビットコインで合計7000万ドル(約77億円)の支払いを要求しています。
教訓
この攻撃は史上最大級とも言われるランサムウェア攻撃であり、業務が完全に停止した企業も少なくありませんでした。その後、Kaseyaは該当の脆弱性に対処するためパッチをリリースしています。幸運だったのは、多くの企業ではバックアップが削除されておらず、データも盗まれなかったため、身代金を払わずに済んだと報じられています。パッチ管理とバックアップはこまめに行いましょう。
サードパーティ経由の侵害を防ぐ方法
セキュリティ予算が潤沢で、セキュリティ対策をしっかり施している大企業と比較して、サプライチェーンはガードが甘く、侵入しやすいことも少なくなく、データ侵害の「入り口」として利用されてしまいます。従って、誰に委託しているのか、委託先、連携先のセキュリティ態勢はどうか、自組織が求めるセキュリティ基準を満たしているのかを把握し、見極めることが重要です。サプライヤーのリスク分析が不十分、不正確な場合、それは自組織の脆弱性に直結します。サプライチェーンやグループ会社を含むサードパーティのセキュリティに対する可視性とコントロールが必要です。
Panoraysとは
サードパーティのセキュリティ態勢に関する可視性とコントロールは、自組織のセキュリティ態勢を維持する上で重要です。SOMPO CYBER SECURITYがサプライチェーンリスク評価サービスとして提供するサイバーセキュリティ リスクレーティングプラットフォーム「Panorays」は、内部評価(自動化されたセキュリティに関する質問票)と外部評価(アタックサーフェスの評価)をビジネス上の関係性を考慮に入れて、総合的にサードパーティを評価し、リスクを迅速かつ正確に把握できるようにします。継続的にサードパーティを監視および評価し、日々変化を続けるサイバー空間の脅威や侵害に関するアラートを提供することで、グループ会社やサプライチェーンといったサードパーティの侵害に対し、迅速かつ包括的に対応し、修復し、復旧する為に役立ちます。
現状を把握し、リスクの軽減に取り組んでみませんか?
Panoraysの詳細はこちらをご覧ください。
「Panorays」サプライチェーンリスクマネジメントサービス
