サイバーインテリジェンスプラットフォームのSecurityScorecardが本日発表した新しい統計によると、サードパーティを介して記録されたすべてのサイバーセキュリティ侵害の約75%は、被害者のソフトウェアおよびテクノロジーのサプライチェーン内の他のエンティティが攻撃された後に発生しました。
データによると、2023 年に SecurityScorecard が記録したすべての侵害のうち、サードパーティによる侵害が約 29% を占めていますが、攻撃ベクトルが大幅に過小報告されていることから、これは実際の数を大幅に過小評価している可能性が非常に高いことが示されています。
Kaseya、Progress Software、SolarWinds などの大手企業が運営するプラットフォームやサービスに関わる大規模な侵害が証明しているように、近年、テクノロジー サプライ チェーン内の脆弱性がサイバー犯罪者にとって計り知れない価値があることが判明しています。 このような状況が発生したのは、サプライヤーのテクノロジーが侵害されることで、脅威アクターが最小限の労力で下流の顧客を攻撃できるようになるという事実が大きく関係しています。
「サプライヤーのエコシステムは、ランサムウェア グループにとって非常に望ましいターゲットです。 サードパーティの侵害の被害者は、ランサムウェアのメモを受け取るまで事件に気づかないことが多く、攻撃者が検出されずに何百もの企業に侵入する時間ができてしまいます」と、SecurityScorecard の脅威調査およびインテリジェンス担当上級副社長、Ryan Sherstobitoff 氏は述べています。
SecurityScorecard のデータによると、過去 1 年間のサプライ チェーン攻撃は、特に 1 つの脅威アクターによって支配されていました。Clop (別名 Cl0p) ランサムウェア チームがサードパーティによる侵害の 64% を占め、次に LockBit が続きました。 7%。 もちろん、これは、Clop/Cl0p が、パッチが適用された重大なゼロデイ脆弱性 CVE-2023-34362 を使用して、Progress Software の MOVEit ツールを劇的かつ広範に侵害したことによって加速されました。
そのうち、MOVEit と他の 2 つの脆弱性、Citrix Bleed と Proself (主に日本で使用されているファイル ストレージ システム) は、脆弱性が特定されたすべてのサードパーティ侵害の 77% に関与していました。
大きな目標
医療および金融サービスは、サプライチェーン攻撃を含むサードパーティの侵害によって最も被害を受けるセクターとして浮上しており、観測された攻撃件数の 35% が医療専門家、16% が金融サービスに影響を及ぼしています。
医療業界は、複雑な関係エコシステムに依存する傾向があり、特に民営化された保険主導の市場など、患者ケアサイクルのさまざまな部分で複数のベンダーが貢献しているため、医療業界は特にサードパーティの攻撃の犠牲になりやすい可能性があります。米国と同様ですが、NHS でもある程度は同様です。
観測された侵害の大部分(64%)は北米で発生しており、そのうちの 63% を米国が占めています。 ヨーロッパで発生したのはわずか 9% で、英国が 3% を占め、22% が APAC、4% がオーストラリアで発生しました。 SecurityScorecard のアナリストは、セキュリティ サプライヤーやニュース メディアが米国、オーストラリア、英国などの市場に焦点を当てているため、地理的な差異を特定するのが難しい可能性があると警告しました。
英語圏を超えて、日本ではサードパーティによる侵害の発生率が大幅に高かった(これが、APAC で記録された大量のインシデントの一因となった)。 これはおそらく、日本の主要産業における国際パートナーシップへの大幅な依存によるものであり、おそらく、日本国内に複雑で相互依存する企業の網を生み出してきた伝統的な系列ビジネスモデルの遺産の一部である可能性がある。
重要な系列会社としては、三菱自動車が挙げられます。三菱自動車は、その名を冠した事業のほかに、カメラメーカーのニコンやビール醸造所のキリンも運営しています。 住友は自動車メーカーのマツダやエレクトロニクス企業のNECを会員に含んでいる。
サードパーティのリスクは全員に影響を及ぼします
しかしながら、日本や米国に比べて英国で記録された侵害はほとんど発生していませんが、いかなる組織もサードパーティのリスクに注意を払わない理由はありません。 データによると、組織の 98% が現在、ある時点で侵害を受けたサードパーティと関係を持っており、ガートナーによると、そのような侵害を修復するコストは通常、内部侵害を修復するコストよりもはるかに高いとのことです。 、場合によっては40%にも達します。
「デジタル時代においては、信頼はサイバーセキュリティと同義です。 企業は、自社のデジタルおよびサードパーティのエコシステム全体にわたって、メトリクス主導のビジネスに合わせたサイバー リスク管理を継続的に実装することで、回復力を向上させる必要があります」と SecurityScorecard CEO 兼共同創設者の Aleksandr Yampolskiy 氏は述べています。