取引先や関連会社との関係を悪用されて不正アクセスの被害に遭ったり、ランサムウェアに感染して身代金を脅し取られたりする企業が後を絶たない。そうした攻撃を招いたセキュリティ対策の不備や、不正侵入の足掛かりとして利用された弱点について、米Verizonが2022年版データ漏えい・侵害調査報告書で解説している。

●標的は「サプライチェーン」

 調査対象としているのは、世界で報告されたセキュリティインシデント2万3896件。うち5212件で侵害が確認され、中でもランサムウェアが関係する事案は前年に比べ13%増えて過去5年の合計を上回った。

 侵害の手口をみると、信頼関係や取引関係を悪用するサプライチェーン攻撃が目立っている。特にシステム侵入事案は62%が取引先などのパートナー経由で発生していた。これは2020年に発覚したSolarWinds経由のサプライチェーン攻撃の影響が大きいという。この攻撃では管理ソフトの正規の更新版にマルウェアが仕込まれてていたために発見が遅れ、大手企業や政府機関にも被害が広がった。

 「サイバー犯罪集団にとっては、適切なパートナーを侵害すれば威力が何倍にも増える。これはサプライチェーンのセキュリティ対策に関して多くの組織が直面している困難を物語る」(Verizon)

 サプライチェーン攻撃と並んでランサムウェアの被害も深刻だ。だが脅迫の手口が巧妙化する一方で、狙った組織にランサムウェアを仕込む手段にはそれほど多様性はないとVerizonは言う。今回の調査では、ランサムウェア事案の40%にデスクトップ共有ソフトウェアが利用され、35%は電子メールが利用されていたことが判明。

 「攻撃者は相手のネットワークにいったん侵入するとさまざまなツールを利用するが、外部と接触するインフラ、特にRDPと電子メールを厳重に守れば、ランサムウェアから組織を守るうえで大いに役に立つ」(Verizon)

●サイバーセキュリティ最大の弱点は「人」

 こうした不正侵入を許す原因としてVerizonは、組織のサイバーセキュリティ対策における最大の弱点として、「人」を挙げている。

 今回の調査対象とした侵害事案のうち25%は、狙った相手をだますソーシャルエンジニアリング攻撃が始まりだったという。これには不正なリンクをクリックさせてパスワードなどを入力させようとするフィッシング詐欺や、取引先や経営者になりすまして相手を操るビジネスメール詐欺が含まれる。

 そうした攻撃に加えて、クラウドストレージの設定ミスといった人為ミスや、特権の誤用を合わせると、侵害事案の82%に人的要素が絡んでいることが分かった。「資産管理や脆弱性スキャナーだけではこの問題は解決できない。それよりも、人の行動を変える必要がある」とVerizonは強調する。

 設定ミスやアクセス管理の甘さといったセキュリティ対策の不備が不正侵入を招いている実態は、米国や欧州などのサイバーセキュリティ機関が5月に発表したアドバイザリーでも指摘していた。

●サイバー攻撃によく利用される5つの手段

 同アドバイザリーでは、攻撃者が標的に対して最初のアクセスを確立する目的でよく利用する手口として以下の5項目を挙げ、それぞれについて具体例や対策を紹介している。

・インターネットに接続されたコンピュータやプログラムの脆弱性悪用

・VPNやRDPなど、外部から社内ネットワークへの接続を目的としたリモートサービスの悪用

・メールやSNSを使って相手をだますフィッシング

・システム管理やクラウド環境管理を担うITサービス業者との契約関係など、信頼関係の悪用

・正規の認証情報を使ったアカウントの侵害