ソフトウェアサプライチェーン攻撃の損失は2026年までに約810億ドルに:Cybersecurity Dive
Juniper Researchによると、ソフトウェアサプライチェーン攻撃による損失は2026年までに76%増加し、約810億ドルに達すると予測されている。
調査会社のJuniper Researchが2023年5月11日に発表した調査によると(注1)、ソフトウェアサプライチェーン攻撃に関連する2023年のコストは、世界全体で約460億ドルに上ると予想されている。
同調査では、ソフトウェアサプライチェーン攻撃による経済的損失が2026年までに76%急増し、収益の喪失と損害によって世界経済に約810億ドルの損失を発生させる見込みが示された。この損失の大部分を負担するのは医療や金融、政府、自動車などの業界だと予測されている。
ソフトウェアサプライチェーン攻撃の関連コストはなぜ増加するのか?
ソフトウェアサプライチェーンのセキュリティ管理構造に抜本的な改革をしなければ、無防備な組織は自社で使っているソフトウェアを標的にしたサイバー攻撃の被害に遭い続けるだろう。
Juniper Researchのアナリストは「サイバーセキュリティに関連するリソース不足、データやプロセスの価値に対する認識不足、これらの持続的な脅威を構成する要素に対する認識の欠如が、経済的損失が急増し続ける原因だ」と指摘する。
2023年3月に発生した電話システム「3CX」を狙ったサプライチェーン攻撃を例にとってみても(注2)、これらの攻撃が素早く進行し、下流の多くの被害者に損害をもたらす可能性があることを強く示している。セキュリティ企業のMandiantによると、3CXの従業員が自身の認証情報を使用し、Trading TechnologiesのWebサイトからマルウェアが含まれたソフトウェア「X_Trader」をダウンロードしてインストールしたことで、3CXとその構築環境への侵害が発生した。
当時のMandiant ConsultingのCTO(最高技術責任者)であるチャールズ・カーマカル氏はこの攻撃について「ある企業のソフトウェアサプライチェーン攻撃が(注3)、別の企業や製品のソフトウェアサプライチェーンに対する攻撃につながるという、初の多層型サプライチェーン攻撃だった」と述べている。
Symantec Threat Hunter Teamによると、X_Traderに対するソフトウェアサプライチェーン攻撃は少なくとも4つの組織に対する副次的な被害につながった(注4)。
ソフトウェアのセキュリティ強化への道のりはまだ遠い
ソフトウェアのセキュリティを強化することは、ホワイトハウスの国家サイバーセキュリティ戦略の中核的な考えだ(注5)。ホワイトハウスおよび米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のサイバー当局は、ソフトウェアやハードウェア、プラットフォームのセキュリティに関する責任を、それらの製品を開発および販売しているベンダーに移すことを望んでいる。
2023年4月に開催されたRSAのカンファレンスにおけるブリーフィングで、国家サイバー長官代理であるケンバ・ウォルデン氏は、ジャーナリストに対して「国家サイバーセキュリティ戦略で説明されているセキュア・バイ・デザインやセキュア・バイ・デフォルトの原則に一部のベンダーは反発している(注6)」と語った。
米国政府の関係者は、この責任の所在に関する変更をどこまで進められるか見極めようとしている。ほとんどの専門家は議会による立法が必要であると認識しているが、ウォルデン氏は「現行の議会がソフトウェアの責任に関する体制を整えるのは難しいだろう」と分析した。
(注1)VULNERABLE SOFTWARE SUPPLY CHAINS ARE A MULTI-BILLION DOLLAR PROBLEM(Juniper Research)
(注2)Supply chain attack against 3CX communications app could impact thousands(Cybersecurity Dive)
(注3)3CX attack caused by another supply chain attack, Mandiant says(Cybersecurity Dive)
(注4)Supply chain attack that hit 3CX caught at least 4 other victims, Symantec says(Cybersecurity Dive )
(注5)White House releases national cyber strategy, shifting security burden(Cybersecurity Dive )
(注6)White House to share roadmap for national cyber strategy implementation this summer(Cybersecurity Dive)
関連記事
- 「ソフトウェアアップデートは逆効果」 Twitter社の元CISOが“セキュリティ神話”を切る
セキュリティ業界で“常識”と考えられていることも実際は逆効果になっているのかもしれない。Twitter社でCISOを務めた現役ハッカーが、データを基に“セキュリティ神話”に疑問を投げかけた。 - 企業の「OSSただ乗り」はもう限界 Log4jの悪夢から何を学ぶか
Tideliftの調査によると、OSSの主要な製作者に対する報酬の格差が明らかになり、ソフトウェアのサプライチェーンを適切に保護する方法についての疑問が呈されている。 - 「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”
サイバー攻撃の激化によって企業規模を問わずサプライチェーンリスクが生まれている。発注側と受注側それぞれでこれに向けた効果的な防御策とは何か。徳丸 浩氏がサプライチェーンリスクとセキュリティチェックシート問題について切り込んだ。 - 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。
© Industry Dive. All rights reserved.