NRAブログ BLOG

サイバー攻撃リスクを把握し自社のIT資産を守る

サプライチェーンリスクの実態

組織やシステム、データなどのつながりを利用して、対策が手薄な企業を経由し標的になる企業へ不正に侵入することを「サプライチェーン攻撃」と言います。
標的となる大企業はセキュリティ対策が強固で侵入しにくいため、対策が手薄な中小企業を狙うのです。
情報処理推進機構(IPA)が2024年1月に公開( 25年5月に更新)した「情報セキュリティ10大脅威2024」では、1位のランサムウェアによる被害に次いでサプライチェーンの弱点を悪用した攻撃が2位になっており、6年連続でランクインしています。
これによると、サイバー攻撃による侵害のうち、自社以外のサードパーティが原因になったものは29%に及び、サプライチェーンに関する攻撃であった調査結果があります。
この調査結果を国別で分析したところ、日本では48%がサードバーティ経由の攻撃であることが判明しており、グローバルの29%に比べて突出して日本のリスクの高さがうかがえます。
最近の事例では、大手自動車メーカーの主要取引先のマルウェア被害の事例が記憶に新しいですが、サプライチェーン(供給網)を支える1社のシステム障害により、14カ所の工場の28ラインが止まり、約1万3000台の生産を見送りました。また、大手自動車メーカーのグループ系列メーカーが被害同日の一部生産を見合せるなど広範囲に影響しました。

サイバー犯罪者の視点

巧妙かつ高度化している手口に、一度対策を行ったから大丈夫という慢心は新たな被害を受ける可能性があることを忘れてはいけません。
攻撃者は

  • セキュリティ対策がなされていないサプライチェーン内の企業を狙い
  • ダークウェブで売り買いされている認証情報を取得
  • 既知の脆弱性にさらされているソフトウェアへマルウェアを展開
  • 機密情報の研究開発データを盗み、インターネット上へ流出させる

など、必ずしも自ら1次攻撃を行うことはせず、私たちが普段知る由もないダークウェブ上で情報を取引し、これを取得した悪意のある別の攻撃者が攻撃してくるなど複雑です。

経済産業省ASM(Attack Surface Management)導入ガイダンス

経済産業省では、サイバー攻撃の初期段階では、公開されている情報やインターネットからアクセス可能なIT資産から得られる情報を用いて攻撃対象を選定したり、攻撃手法を確立する「偵察」を行うとされていることから、自社のIT資産を守るための手法として注目されている「ASM(Attack Surface Management)」について、自社のセキュリティ戦略に組み込んで適切に活用してもらえるよう、ASMの基本的な考え方や特徴、留意点などの基本情報とともに取組事例などを紹介した、「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を作成しました。
ASM(Attack Surface Management)とは、組織の外部(インターネット)からアクセス可能なデジタルIT 資産の情報を調査し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスまたはツールを指します。
誰もが知りえる公開情報と紐つくデジタル情報から、犯罪者視点でリスクを読み取り、可視化するASMは、自身で行うと知識、労力共に高負荷でこうした製品、サービスを活用して定期的にリスク評価を実施し、必要な対策を行うことを強く求めています。

ASMと脆弱性診断サービスの違い

ASMと脆弱性診断サービスでは、対象とするIT資産が異なります。
ASM は外部(インターネット)からアクセス可能な未把握を含むIT資産を主に対象としており、脆弱性診断は、既に把握済みのIT資産を対象としています。

ASM・サイバーリスク可視化ツール”リスクセンサー

弊社が提供するリスクセンサーは、ASMに加えデジタルTPRM、ダークウェブ調査をオープンソースツールのほか独自ツールを組み合わせ、専門家チームにより調査するサービスです。

まとめ

サプライチェーンリスクも大きな要因ですが、実は日本の企業の8割超で何かしらの情報漏洩が確認できているそうなのです。
一般人の私たちにはアクセスできないダークウェブに、ID/PWやマイナンバーが付帯されたユーザーリストなどが掲載、販売されていたりするらしく、ハッカー目線で外からどう見えているか、広範に調査、リスクとなる領域を把握することがとても重要だと思われます。
エンドポイントセキュリティなどの認知できているリスクや脆弱性に局所的に対策するものと分けて、経済産業省のガイドラインにもある通り、先ずは全体像をつかむというのが先決ではないでしょうか。
なかなかリスク対策への投資や、必要性も理解してもらえない方へ、わかりやすい評価レポートが提供されるリスクセンサーで説得を試みてはいかがでしょう。

前のページへ戻る