- 2024/01/16
- サイバー攻撃
最近のインシデント事例から学ぶサプライチェーン攻撃への対処方法
Post by : Cybereason Advisory Team
LINEヤフーが受けたサプライチェーン攻撃の顛末
LINEヤフーは2023年11月27日、サイバー攻撃により約44万件の個人情報が漏洩したと発表しました。このインシデントはその漏洩件数もさることながら、そのマルウェア侵入経路も高い注目を集めました。なぜなら、初期侵入口は、LINEヤフーおよび韓国NAVER Cloudではなく、彼らの業務委託先におけるマルウェア感染であったためです。
この委託先企業に所属する従業員が利用するPCがマルウェアに感染し、そこからNAVER Cloudのシステムを介してLINEヤフーのシステムへと感染が拡大しました。最終的にはLINEヤフーのサーバへの侵入を許し、ユーザーや従業員、取引先に関する膨大な量のデータが窃取されました。当ケースでは初回の不正アクセスから1週間以上経過後に初めて不審なアクセスが検知されたことから、業務委託先の従業員が保有する正規のユーザーアカウントが悪用された可能性が指摘されています。
この事例のように、大企業のシステムに対して直接侵入を試みるのではなく、比較的セキュリティ対策が手薄な関連会社や取引先のシステムに侵入し、そこを足掛かりにして大企業のシステムへの侵入を図る「サプライチェーン攻撃」の被害が年々拡大しています。
海外の宿泊予約サービスがサプライチェーン攻撃を受けた事例
前述のようなサプライチェーン攻撃の被害は、海外でも急増しています。2023年11月には、世界最大級の宿泊予約サービス「ブッキング・ドットコム」に不正アクセスが行われた結果、同サービスを利用して宿泊施設の予約を行ったユーザーの個人情報が大量に流出するというインシデントが発生しました。
このケースでも、サイバー攻撃者はブッキング・ドットコムのシステムに直接侵入を試みる代わりに、まずは同サービスに登録しているホテルに対して旅行者を装ってフィッシングメールを送り付けてマルウェアに感染させています。こうしてホテル内システムへの侵入を果たした後、ホテル担当者がブッキング・ドットコムにアクセスする際に利用するアカウント情報(ID/パスワード)を窃取します。攻撃者は手にした認証情報を利用してブッキング・ドットコムに対して不正アクセスを行っています。
先ほどのLINEヤフーの事例と同様、正規のアカウント情報を使っているためにアクセスを受けた側は「それが不正なものかどうか」を容易に判別できません。その結果、不正アクセスの発覚遅延により、被害が拡大を防げなかったものと推測されます。
最終的に攻撃者はブッキング・ドットコムのシステムを悪用することで、ホテル予約者にブッキング・ドットコムを騙ったフィッシングメールを送付します。予約者はその不正サイトを通じてクレジットカード情報を含む個人情報を入力し、攻撃者は多くの予約者の個人情報をを窃取することに成功したと見られています。
サプライチェーンを常に考慮したリスク評価が必要
これらの事例を見ても分かる通り、たとえ自社のセキュリティ対策に万全を期していたとしても、取引先や関連会社のセキュリティ対策に不備による不正侵入を発端として、最終的には自社に大きな被害が及ぶ可能性があります。特に取引先や関連会社の従業員が用いる正規の認証情報がを悪用した不正アクセスが行われた場合は、その発覚が遅れてしまうことで結果として被害拡大を許してしまう傾向があります。
また自社がサイバー攻撃者からの直接的な攻撃を受けた場合は、自社の情報が窃取されるリスクとともに、取引先に被害が飛び火する可能性を常に考慮する必要があります。企業経営者の中には「わが社には攻撃者が欲しがるような情報はないから、セキュリティ対策にはお金を掛けなくても大丈夫!」と公言してはばからない方もいますが、たとえ自社に個人情報や機密情報がなかったとしても、攻撃者が自社への侵入を足掛かりにして取引先のシステムに侵入し、そこから個人情報や機密情報を窃取する危険性があります。
そのような事態に発展してしまった場合、最初にマルウェアの侵入を許してしまった企業における責任は免れることはできません。その結果、企業の信用や社会的な信頼が大きく失墜することから、企業としては風評リスクについてもその影響度を考慮したリスク評価や予防対策を事前に実施する必要があります。
社外ユーザーのアカウント管理の徹底
ここまでに取り上げたリスクに対処するためには、常にサプライチェーンを考慮した他社への影響度、影響範囲、あるいは他社から影響を受ける可能性を念頭に置いたセキュリティ対策を講じることが重要です。例えば取引先や業務委託先の企業に自社システムへのアクセスを許可している場合は、その企業のアカウントがアクセス可能な範囲や権限を必要最小限に設定し、利用状況を定期的に監査すること等が求められます。
また業務上利用するソフトウェアやウェブサービスについては、企業内で運用ルールをしっかり定めることで、サプライチェーン攻撃の脅威を特定しやすい環境を整備することが重要となります。ルールを逸脱した振る舞いを見つけやすくなり、結果的に脅威の早期検知が可能となります。
万が一インシデントが発生した際には、サプライチェーンに連なる他社のステークホルダーと迅速にコミュニケーションがとれるよう、平時からインシデント対応の体制やプロセスを整備しておくことが重要です。実際にインシデントが発生したことを想定したシミュレーションや演習を行うことも有事に備えて事前にできる取り組みの一つです。
弊社でもお客様のインシデント対応態勢を評価する「IRRA(インシデント対応態勢評価)」や、インシデント対応のシミュレーションを行う「インシデント対応演習サービス」といったサービスを提供しています。ますます高まるサプライチェーン攻撃のリスクに備えるために、ぜひ利用を検討いただければ幸いです。
2023年下半期サイバー脅威予測 〜2023年上半期の主要な脅威の振り返りと、下半期に警戒すべき脅威の予測〜
サイバーリーズンでは、2023年上半期に起きたサイバー空間の脅威の傾向を受けて、特に大きな影響を及ぼす4つの脅威を2023年下半期のサイバーセキュリティ予測として取り上げました。
2023年上半期の主要な4つの脅威を振り返りながら、下半期のサイバー脅威予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/11263/
