ファイル転送サービスを含むサードパーティーベンダーに対する攻撃は、2023年も引き続きサプライチェーンの下流にいる被害者を捕らえた。サイバーセキュリティの専門家によると、サプライチェーン攻撃は今後も続き、その結果、2024年には最も強力なサイバー攻撃が起こるという。
「サイバーインシデントの被害者はサードパーティーベンダーだけではない。業務の中断やデータ盗難が発生すると、その顧客は全員第二次被害者になる」(バーグ氏)
サプライチェーン攻撃による波及効果はさらに広がる可能性がある。
ラブジョイ氏は「多くの組織はデジタルフットプリントを拡大し、ビジネスプロセスを強化するために、自社のIT部門の外に目を向けている。しかし複雑なITパートナーエコシステムは、幾つかの潜在的なリスクも生み出している。悪意のある攻撃者はサードパーティーのエントリポイントを利用して組織のシステムに侵入し、システムに感染したり、データを盗んだり、業務を妨害したりする可能性がある」と語った。
メレン氏によると、企業は連携しているサードパーティーのインフラストラクチャを直接制御できず、このことが防御のギャップを残しているという。
「サプライチェーン攻撃は、インターネット時代に私たちが大きく依存するようになった相互接続性を利用するという点で独特だ」とメレン氏は言う。
バーグ氏は「全てのビジネスアプリケーションを支える、暗号化やロギング、システム管理といったソフトウェアライブラリは無料かつオープンソースであるため、多くの場合、私たちが期待する堅牢なセキュリティを実行するための時間やリソースを持たないボランティアスタッフによって保守されている」と述べた。
セキュリティ業界では、製品の安全性を確保する責任を誰が負うべきかという長年の議論がある。安全ではない製品について顧客は長い間苦情を述べてきたが、ソフトウェア開発者やメーカーはユーザーがデバイス、アプリケーションを適切に設定できていないとして、その議論をしりぞけてきた。
この議論は2023年に一巡し、2024年に向けて安全保障において大きな役割を果たす可能性がある。
2023年に発生した2つの最大の情報セキュリティ危機には、それぞれ重要なインフラストラクチャプロバイダーと政府機関が関与しており、基本的な構成要素が欠けている製品の脅威にさらされていた。
米国の上下水道事業者に対するイラン関連の脅威アクター「Cyber Av3ngers」によるハッキングと、中国に関連する脅威アクター「Storm-0558」による米国国務省の電子メールのハッキングは、いずれも国の安全保障インフラの欠陥を暴露した。
イスラム革命防衛隊に関連する脅威グループCyber Av3ngersは、インターネットに公開されているデバイスや脆弱なデフォルトパスワードなど、水処理施設で使用されるロジックコントローラーの潜在的な弱点を悪用した疑いが持たれている。
CISAは2023年12月中旬までに、悪意のある脅威グループが悪用しやすいデフォルトのパスワードの使用を排除するようメーカーに指針を発行した。
Storm-0558は非アクティブなMicrosoftのコンシューマーの署名キーを盗むことによって、約25にも及ぶMicrosoftの顧客の電子メールアカウントをハッキングした。これによってMicrosoftが、悪意のあるアクティビティーを探すのに役立つセキュリティログのために顧客に追加料金の支払いを強制するポリシーを定めていることを暴露した。
重大なセキュリティ脅威と政府による広範な圧力に刺激され、IT業界は開発ライフサイクルの中核機能としてセキュリティを組み込むために数多くの措置を講じている。
Amazon Web Services(AWS)は2024年半ばまでに、ほとんどの特権ユーザーに対して多要素認証(MFA)を義務付ける予定だ。「AWS Management Console」の顧客が「AWS Organizations」の管理アカウントにおけるrootユーザーでサインインする場合は、MFAを設定する必要がある。AWSは要件をスタンドアロンアカウントにも拡大する予定だ。
Amazonのマーク・ライランド氏(セキュリティ担当ディレクター)は「MFAの有効化はアカウントのセキュリティを強化するための最もシンプルかつ効果的なメカニズムであり、権限のない個人によるデータへのアクセスを防ぐための追加の保護層を提供する」と述べた。
IT-ISACは2023年12月にSaaSやその他のクラウド企業に対し、デフォルトでセキュアの原則を採用するように呼びかけるホワイトペーパーを発表した。議論は長い間、セキュリティリスクの増大とメーカーにとっての市場投入までの速度の低下と、ユーザーにとっての生産性の低下との間の矛盾を中心に行われてきた。
Guidewire SecurityのCISOでホワイトペーパーの共著者であるジェームズ・ドルフ氏は「もちろん、より一般的なユーザーエクスペリエンスを優先する場合にトレードオフがあるのと同じように、トレードオフは存在する」と述べた。
ホワイトペーパーで概説されているように、ドルフ氏は「ソフトウェア業界のセキュリティを向上させ、ニュースで誰もが目にするようなマイナスの結果を避けるためには、セキュリティのユーザーエクスペリエンスはソフトウェアの他の目標と同等であるべきだ」と指摘した。
(注1)CISA, NSA, FBI and International Cybersecurity Authorities Publish Guide on The Case for Memory Safe Roadmaps (CISA)
(注2)White House wants input on open source security, memory-safe languages(Cybersecurity Dive)
(注3)CISA, NSA, FBI and International Cybersecurity Authorities Publish Guide on The Case for Memory Safe Roadmaps (CISA)
(注4)Configuring Dependabot security updates(Github Docs)
(注5)About autofix for CodeQL code scanning(Github Docs)
(注6)Clorox warns of quarterly loss related to August cyberattack, production delays(Cybersecurity Dive)
(注7)MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack(Cybersecurity Dive)
(注8)Caesars Entertainment faces class action lawsuits following rewards database hack(Cybersecurity Dive)
© Industry Dive. All rights reserved.