現代の組織は、複雑な関係や依存関係の網の目によって、相互に深く結びついている。意思決定の推進、パートナーとの協業、顧客との関わり、業務の最適化など、組織はデータに依存しているからだ。
2024年には、世界中で作成、消費、保存されるデータ量が147ゼタバイトに達すると推定されている。
データを共有することの利点は明らかだが、これはリスクという点でも組織がつながっていることを意味する。組織とデータの流れが相互に接続されることで、ダイナミックなエコシステムが形成され、ネットワークの一部で混乱や違反が発生すると、システム全体に波及する可能性がある。たとえ自社内の秩序が保たれていたとしても、他の場所で違反が発生すれば、データのセキュリティ、プライバシー、完全性に影響を及ぼす可能性があります。
では、おそらく地球の裏側にある別の組織がデータ侵害に遭った場合、どうすればいいのでしょうか?サードパーティによる情報漏えいの影響を過小評価すべきではありませんが、リスクを大幅に軽減する現実的な方法があります。
第三者による情報漏えいの影響
サードパーティによる情報漏えいのシナリオでは、最初の情報漏えいは組織内のネットワークではなく、組織が取引関係にあるサードパーティのネットワークやシステムで発生します。
ハッカーは、この最初の侵害をプラットフォームとして、サプライチェーン内の他の組織の機密データやシステムにさらに不正アクセスします。
例えば、金融機関が顧客データを扱うソフトウェア・プロバイダと提携しているとしよう。ソフトウェア・プロバイダのネットワークがハッカーによって侵害され、金融機関の顧客データが流出した場合、第三者による侵害が発生する可能性がある。
これは一例に過ぎず、サプライチェーン侵害が発生する可能性はいくつかある。
第三者による情報漏洩の影響には、以下のようなものがある:
- 顧客情報、知的財産、財務記録、企業秘密などの機密データの流出。
- 侵害の調査・修復、影響を受ける当事者への通知、規制当局による罰金、潜在的な法的和解による金銭的損失。
- ダウンタイム、生産性の低下、および侵害への対処とシステムの復旧のための追加リソースの必要性につながる業務上の混乱。
- 顧客の信頼と潜在的なビジネス機会の喪失につながる風評被害。
- 侵害されたサードパーティ・ベンダーが組織のサプライチェーンの重要な一部である場合、顧客に製品やサービスを提供する他の企業の能力に影響を与える可能性がある。
- サードパーティの侵害は、他の組織自身のシステムやインフラの脆弱性を暴露する可能性がある。ハッカーは、侵害されたサードパーティを足がかりに、さらなる標的へのアクセスを試みるかもしれない。
ソーラーウィンズのハッキング
SolarWindsは、IT管理および監視ソリューションを提供するソフトウェア会社である。サード・パーティによる侵害の最近の例として最も悪名高いのは、ハッカーがSolarWinds社のシステムに不正アクセスし、大きな影響を及ぼしたことだろう。
ハッカーはソーラーウインズのソフトウェア・アップデートに悪質なコードを挿入し、それが世界中の政府機関や組織を含むソーラーウインズの顧客に配布された。
その結果、ハッカーは多くの顧客のネットワークに侵入し、システムを侵害し、機密データにアクセスすることができた。
SolarWinds社のハッキングは、サードパーティ・ベンダーに関連するリスクと、攻撃者が信頼できるベンダーを標的として、そのグローバル・サプライ・チェーン全体の複数の組織にアクセスするサプライ・チェーン攻撃の可能性を浮き彫りにしました。
サードパーティの侵害における漏洩したパスワードの役割
パスワードは、サードパーティによる侵害において重要な役割を果たしている。深刻で見過ごされがちな問題の一つは、パスワードの再利用です。多くの個人は、個人的なアカウントや仕事上のアカウントなど、複数のアカウントでパスワードを再利用している。
サードパーティ・ベンダーがデータ漏洩に見舞われ、ユーザー認証情報(パスワードを含む)が漏洩した場合、ハッカーはそれらの認証情報を使用して、同じパスワードが使用されている他のアカウントに不正アクセスすることができる。これにより、サードパーティによる情報漏えいの影響が大幅に増大します。
ハッカーはしばしば自動化ツールを使用して、1つの侵害から漏洩した認証情報を複数のオンラインサービスでテストします。クレデンシャル・スタッフィングとして知られるこのテクニックは、多くの人が異なるアカウント間でパスワードを再利用しているという事実を利用しています。
侵害されたサードパーティ・ベンダーのユーザーの認証情報が他のアカウントへのアクセスに成功裏に使用された場合、不正アクセス、データ盗難、潜在的な金銭的損失につながる可能性があります。
Specops Password Policyのようなツールを使用すると、他の場所で漏洩したパスワードがないかActive Directoryを継続的に監視することができます。
Specopsのデータベースには、ブルートフォースアタックをリアルタイムで監視する攻撃監視システムから得られた40億を超えるユニークなパスワードに加え、人間が率いる脅威インテリジェンスチームからマルウェアによって盗まれたデータが含まれています。
攻撃サーフェスの把握と管理
外部攻撃サーフェス管理(EASM)は、サードパーティによる侵害を防止し、その影響を軽減する上で重要な役割を果たします。EASMソリューションは、サードパーティ・ベンダーに関連するものを含め、組織に接続されたインターネットに面したすべての資産をスキャンして特定することができます。
サードパーティベンダーがホスティングサービス(EASMの顧客のドメインとその上のウェブサイトなど)を提供している場合、そのドメインをスキャンすることは、そのドメインがEASMの顧客が100%所有している場合と同じです。
このような可視性を確保することで、組織は攻撃対象の真の範囲を理解し、サードパーティー・ベンダーによってもたらされた潜在的な脆弱性や弱点を特定することができる。これはいくつかの実用的な方法で役立つ:
- リスク評価:リスク評価:EASMプラットフォームは、サードパーティの資産(EASMの顧客自身が所有していないあらゆる資産)を含む、組織の攻撃対象領域のサイバーセキュリティ態勢を評価することができます。例えば、クラウドホスティングのサーバーは、AmazonやMicrosoftのような大企業が所有し、保守している。あるいは、ウェブサイトやオンラインストアの開発・保守をサードパーティに委託している組織もあるかもしれない。設定ミス、脆弱性、露出したデータベース、脆弱な暗号化など、サードパーティ資産の要因を評価することで、EASMは攻撃者に悪用される前に潜在的なリスクを特定するのに役立ちます。
- 継続的な監視:サードパーティ資産を含む組織の攻撃対象領域を継続的に監視することで、ITチームはサードパーティベンダーが導入した変更や新たな脆弱性をリアルタイムで検出することができます。このようなリスクを迅速に特定し対処することで、企業はサードパーティによる侵害を防止し、その影響を最小限に抑えることができる。
- ベンダーリスク管理:EASMプラットフォームは、ベンダーのリスク管理プログラムと統合することができるため、企業はサードパーティベンダーのサイバーセキュリティ態勢を評価し、監視することができます。企業は、どのベンダーを採用し、適切なセキュリティ対策を実施するかについて、十分な情報に基づいた意思決定を行うことができます。
- インシデント対応:サードパーティによる情報漏えいが発生した場合、EASMソリューションはインシデント対応活動を支援するための貴重な知見とデータを提供し、被害を最小限に抑えて修復までの時間を短縮することができます。
サードパーティのリスクを含め、自社の攻撃対象領域をより深く理解したいとお考えですか?
Outpost24に無料のアタック・サーフェス分析をご依頼ください。
主催・執筆:Outpost24
Comments