Juniper Researchによると、ソフトウェアサプライチェーン攻撃による損失は2026年までに76%増加し、約810億ドルに達すると予測されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
調査会社のJuniper Researchが2023年5月11日に発表した調査によると(注1)、ソフトウェアサプライチェーン攻撃に関連する2023年のコストは、世界全体で約460億ドルに上ると予想されている。
同調査では、ソフトウェアサプライチェーン攻撃による経済的損失が2026年までに76%急増し、収益の喪失と損害によって世界経済に約810億ドルの損失を発生させる見込みが示された。この損失の大部分を負担するのは医療や金融、政府、自動車などの業界だと予測されている。
ソフトウェアサプライチェーンのセキュリティ管理構造に抜本的な改革をしなければ、無防備な組織は自社で使っているソフトウェアを標的にしたサイバー攻撃の被害に遭い続けるだろう。
Juniper Researchのアナリストは「サイバーセキュリティに関連するリソース不足、データやプロセスの価値に対する認識不足、これらの持続的な脅威を構成する要素に対する認識の欠如が、経済的損失が急増し続ける原因だ」と指摘する。
2023年3月に発生した電話システム「3CX」を狙ったサプライチェーン攻撃を例にとってみても(注2)、これらの攻撃が素早く進行し、下流の多くの被害者に損害をもたらす可能性があることを強く示している。セキュリティ企業のMandiantによると、3CXの従業員が自身の認証情報を使用し、Trading TechnologiesのWebサイトからマルウェアが含まれたソフトウェア「X_Trader」をダウンロードしてインストールしたことで、3CXとその構築環境への侵害が発生した。
当時のMandiant ConsultingのCTO(最高技術責任者)であるチャールズ・カーマカル氏はこの攻撃について「ある企業のソフトウェアサプライチェーン攻撃が(注3)、別の企業や製品のソフトウェアサプライチェーンに対する攻撃につながるという、初の多層型サプライチェーン攻撃だった」と述べている。
Symantec Threat Hunter Teamによると、X_Traderに対するソフトウェアサプライチェーン攻撃は少なくとも4つの組織に対する副次的な被害につながった(注4)。
ソフトウェアのセキュリティを強化することは、ホワイトハウスの国家サイバーセキュリティ戦略の中核的な考えだ(注5)。ホワイトハウスおよび米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のサイバー当局は、ソフトウェアやハードウェア、プラットフォームのセキュリティに関する責任を、それらの製品を開発および販売しているベンダーに移すことを望んでいる。
2023年4月に開催されたRSAのカンファレンスにおけるブリーフィングで、国家サイバー長官代理であるケンバ・ウォルデン氏は、ジャーナリストに対して「国家サイバーセキュリティ戦略で説明されているセキュア・バイ・デザインやセキュア・バイ・デフォルトの原則に一部のベンダーは反発している(注6)」と語った。
米国政府の関係者は、この責任の所在に関する変更をどこまで進められるか見極めようとしている。ほとんどの専門家は議会による立法が必要であると認識しているが、ウォルデン氏は「現行の議会がソフトウェアの責任に関する体制を整えるのは難しいだろう」と分析した。
(注1)VULNERABLE SOFTWARE SUPPLY CHAINS ARE A MULTI-BILLION DOLLAR PROBLEM(Juniper Research)
(注2)Supply chain attack against 3CX communications app could impact thousands(Cybersecurity Dive)
(注3)3CX attack caused by another supply chain attack, Mandiant says(Cybersecurity Dive)
(注4)Supply chain attack that hit 3CX caught at least 4 other victims, Symantec says(Cybersecurity Dive )
(注5)White House releases national cyber strategy, shifting security burden(Cybersecurity Dive )
(注6)White House to share roadmap for national cyber strategy implementation this summer(Cybersecurity Dive)
© Industry Dive. All rights reserved.