ITサービスプロバイダーを標的としたサプライチェーン攻撃が注目を集めたことを受けて、業界では、サプライチェーン攻撃によりサードパーティが被るリスクに関する懸念がますます高まっています。実際、SolarWinds社Kaseya社への攻撃では、世界中の多くの組織でセキュリティ侵害が引き起こされる結果となりました。

通信事業者は、大量の機密データの伝送および保存を行っています。このため、同企業は、地政学的スパイ活動や企業スパイ活動を行う国家レベルの脅威アクターや、手っ取り早く利益を得ようとするサイバー犯罪集団にとって格好の標的となっています。

確かに、通信事業者はサイバーセキュリティに関して年間数千万ドルを費やしているものの、多くは、今もなお複雑なサイバー攻撃キャンペーンの効果的な検知と対応に必要となる自社のネットワークに関する可視性を持っていません。通信事業者は、自らが提供するサービスの重要性にもかかわらず、顧客を危険にさらす標的型攻撃の犠牲者となり続けています。

1つの企業への攻撃が他のすべての企業への攻撃へとつながる

攻撃者にとって、サプライチェーン攻撃は効果的な戦略の1つとなります。それは、1つの企業への攻撃が他のすべての企業への攻撃へとつながるような「芋づる式」の攻撃となります。通信事業者は膨大な量のクリティカルなインフラを管理しているため、サイバー攻撃による影響は非常に広範囲に及ぶ可能性があり、ハッキングされた通信事業者1社だけでなく、同社が抱える膨大な顧客のデータも危険にさらされることになります。

たとえば2022年9月、Optus社(Singtel社のオーストラリアの携帯電話事業部門)は、オーストラリアの人口の3分の1以上に相当する約1000万人の顧客の個人情報に攻撃者がアクセスしたことを明らかにしました。この攻撃により、200万人以上の顧客の個人が特定できる情報が流出しました。

窃取されたデータには、パスポート情報、運転免許証情報、政府発行の医療IDデータなどが含まれていました。この攻撃は、大規模な医療関連および金融関連のID窃取や詐欺に関する懸念を引き起こしましたが、それは多くの通信事業者に対する深刻なハッキングのうちの1つであるに過ぎません。このような攻撃は、被害者である企業のブランド、評判、そして市場における企業存続にも大きな影響を与える可能性があります。

サイバーリーズンは、約10年間、最も悪名高い国家レベルの脅威グループを追跡しており、これまでに発見された通信事業者を標的とする最も重大な攻撃オペレーションのいくつかを阻止してきました。

DeadRinger

2021年、サイバーリーズンの研究者は、東南アジアに位置する通信事業者を標的とした3つのスパイ活動のクラスターを調査しました。DeadRingerと名付けられたこの攻撃は、通信事業者のネットワークへの継続的なアクセスを維持し、彼らの顧客から機密情報を収集することを目的としたものでした。

この攻撃者は、中国のために活動していると評価されているグループであり、通話明細記録(CDR)データを含む課金サーバーや、ドメインコントローラー、Webサーバー、Microsoft Exchangeサーバーなどの主要なネットワークコンポーネントをハッキングしました。

また、サイバーリーズンの研究者は、攻撃者がActive Directoryに保存されているデータを窃取していること、そして個人が特定可能な情報、請求データ、メールサーバーデータ、ユーザーのジオロケーションなどとともに、顧客組織内におけるすべてのユーザー名とパスワードをハッキングしていることを発見しました。

言うまでもなく、大量のデータが窃取されたことにより、知的財産、企業機密、市場における競争上の優位性の喪失に関して、機密が被る最終的なコストは、不可能ではないにしても、それを正確に把握することは困難です。

オペレーションSoftCell

2019年、サイバーリーズンの研究者は、グローバルな通信事業者を標的とした悪名高いOperation SoftCell攻撃に関する詳細を明らかにしました。この攻撃は、中国政府が後援する攻撃に関連するツールや手法を使用する脅威アクターによって実行されました。

この攻撃は、少なくとも10社の通信事業者に影響を与え、5大陸にまたがる30の国々における数億人の顧客に影響を与えました。サイバーリーズンは、この多段階型の攻撃が、少なくとも7年前の2012年に始まっていること、そしてそれが政治家、政府高官、ビジネスリーダー、「中国の敵」と思われる人物、反体制活動家など、価値の高いターゲットから機密データを取得することを重視していたことを明らかにしました。

SoftCellのようなスパイ活動により引き起こされる知的財産の損失は年間数十億ドルに上ると推定されており、こうした活動が中国の経済大国としての急成長の大きな要因の1つになっていると言われています。

データを危険にさらすだけでは済まない

機密データやプロプライエタリなデータを盗まれることを望む企業や組織は存在しません。しかし、このような攻撃は、サービス拒否やランサムウェアのようにすぐに業務に支障をきたすものではないため、その優先順位は低くなりがちです。ところが現実には、知的財産の窃取は広範囲に影響を及ぼすため、他のサイバー攻撃よりも莫大なコストがかかる可能性があるのです。

企業は、革新的なプロセスや製品を生み出し、競合他社よりも優位に立つために、研究開発に多額の投資を行っています。しかし、そのような優位性は、グローバルな競争相手の1社が知的財産を窃取した時点で消えてしまいます。そうなった場合、企業は突然、優位に立つどころか、自社が開発したイノベーションに対して、競合他社と市場で競争しなければならなくなります。知的財産を窃取した競合他社は、研究開発費を回収する必要がないため、イノベーションを開発した企業よりもコストを引き下げることができます。

サプライチェーンへの攻撃は、すべての企業や組織が真剣に取り組むべき問題であり、通信事業者ほどその脅威を予見しているところはないでしょう。経済的な脅威に加えて、国家レベルの攻撃者は、設計図、製法、図面、およびその他のプロプライエタリなデータへのアクセス権を取得することで、それらの情報を単なる企業スパイ行為を越えるレベルの悪意ある目的に利用できます。

【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜

世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。

本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/