この音声は自動生成されています。ご意見があればお知らせください。
今年初め、悪質な若いハッカーたちが米国の大手小売業者やサプライヤーのコンピュータネットワークに侵入した際、それはアメリカの有名ブランドとあまり知られていないパートナー企業の間で静かに進行していたサイバーセキュリティ協力体制の大きな試練となりました。
エネルギー、水、医療など命や安全に関わる重要分野への攻撃が増加し懸念が高まる中、小売・ホスピタリティ分野が直面するサイバー脅威はあまり注目されないことが多いです。しかし、小売業界は米国最大の民間雇用主であり、その強靭性は米国経済にとって不可欠です。これまでに小売・ホスピタリティ情報共有分析センター(RH-ISAC)は、著名な企業からサプライチェーンの要となる無名企業まで、あらゆる規模の小売業者を守る役割を強めてきました。
最近の小売業界へのハッキングは、専門家によればサイバー犯罪グループ「Scattered Spider」によるもので、企業が自社と他社を守るためにどのように連携しているかを示したと、RH-ISACの最高セキュリティ責任者兼戦略担当副社長のパム・リンデモエン氏はCybersecurity Diveに語りました。
「小売業界は協力体制を強化し、インテリジェンスやベストプラクティス、対応戦略を共有しています」とリンデモエン氏は述べました。
Scattered Spiderに関連する侵害は、悪名高く広範なギャングで、主に米英のティーンエイジャーや若者で構成されており、5月と6月に複数の大手小売業者を襲撃しました。被害にはヴィクトリアズ・シークレット、Whole Foodsの流通業者United Natural Foods、百貨店チェーンのBelkなどがあります。他の小売業者はこの侵入に注意を払い、次の標的にならないように努める中、RH-ISACは業界全体のセキュリティ強化を支援しました。
「私たちはこの脅威への対応を調整する上で重要な役割を果たしました」とリンデモエン氏は述べました。
ISACが大西洋を越えた同盟国に頼ることができたのも幸いでした。彼らはちょうどScattered Spiderによる攻撃への対応を終えたばかりでした。4月を通じて、Scattered Spiderと関係するハッカーが百貨店チェーンのハロッズやマークス&スペンサー、食品小売業者のCo-opに侵入し、英国当局から緊急警告が発せられました。
これらの攻撃の直後、RH-ISACはGoogleのMandiant部門の脅威インテリジェンス専門家と会員向けブリーフィングを開催したとリンデモエン氏は述べました。ISACはまた、英国企業と連携して英国での脅威活動をより深く理解し、ハッカーが米国小売業者に目を向けた際の備えに役立てました。
最新情報をチェック。Cybersecurity Diveの無料日刊ニュースレターにご登録ください。
Scattered Spiderは若いサイバー犯罪者の集団かもしれませんが、深刻な脅威となっています。このグループは従来型の脆弱性を避け、ヘルプデスク担当者を騙してアカウントのパスワードをリセットさせるなど、ソーシャルエンジニアリング手法に大きく依存しています。時には標的企業のネットワークに深く侵入し、企業が侵入対応策を検討するために開催するバーチャル会議にこっそり参加することさえ知られています。
このグループの手口は「高度な技術的防御があっても、人間の脆弱性が最も弱い部分になり得るという厳しい現実を思い出させるものです」とリンデモエン氏は述べました。「彼らがセキュリティコントロールを回避するためにソーシャルエンジニアリングに大きく依存していることは、私たちが多層防御に注力しなければならないことを強調しています。」
サイバー防御サービスの充実
多層的なサイバー防御の推進は、2014年に一連のサイバー攻撃(ターゲットなどの小売業者が被害)を受けて設立されたRH-ISACの使命の大きな部分です。(設立当初は約30社の会員でしたが、現在はホテル、レストラン、小売業者、消費財メーカーなど290社以上の「コアメンバー」がいます)。グループは会員間で脅威活動についての会話を促進していますが、リンデモエン氏によればそれ以上のことを行っており、単に侵害指標の交換を助けるだけではありません。
「会員たちは実際にプレイブックや対応戦略、リアルタイムで得た教訓を共有しています」と彼女は述べました。
7月には、RH-ISACは他分野のISACと連携し、Scattered Spider対策に関するガイダンスを発表しました。報告書では、このハッカー集団は「実際の脅威」であり、「組織に重大なリスクをもたらす」と述べられています。
ISACはまたGoogle、Microsoft、Palo Alto Networks、Akamaiと提携し、これら企業のサービスや専門知識をISAC会員に提供しています。Microsoftは脅威ブリーフィングやAIのセキュリティ運用への統合に関する助言を行い、Googleは対面トレーニングや脅威インテリジェンスを提供。AkamaiはOTセキュリティの円卓会議を実施し、サイバー詐欺活動の追跡を支援、Palo Alto Networksは経営陣による取締役会への脅威報告の改善を支援しています。
昨年10月、ISACは会員企業のサプライヤーのサイバーセキュリティ強化を支援するプログラムを開始しました。これは小売・ホスピタリティ企業がサプライチェーンの脆弱性に強い懸念を抱いていることを反映した動きです。
RH-ISACは「非常に効果的」であり、「ここ数年の継続的な成長がその証拠です」と全米小売業協会(NRF)小売技術・サイバーセキュリティ担当副社長のクリスチャン・ベックナー氏は述べました。ISACの成熟度の高まりは、NRFがグループと提携し、情報共有や不正対策リソースの開発などの活動を行う決め手となったとベックナー氏は述べました。
リンデモエン氏は、ISACは「会員同士が学び合い、集団として防御を強化することを支援すること」に注力していると述べました。
他分野のISAC同様、RH-ISACには市場で激しく競争する企業が多数参加しています。しかし、リンデモエン氏は、ハッカーの攻撃時に企業がビジネス上の競争を脇に置いて協力する姿に感銘を受けているといいます。
「私たちの分野では競争心が消え、協力が生まれます」と彼女は述べました。「実際に『こんな話を聞いた。彼らに私が助けると伝えてほしい』という電話をもらったこともあります。それが実際に起きているのを見るのは本当に感動的です。」
「人」の要素のセキュリティ確保
このような協力は、業界の特性上、特にサイバー攻撃にさらされやすい分野において重要です。
RH-ISAC会員企業で働く人々――Scattered Spiderのような犯罪者に対する最前線の防御者である従業員たちは、親切で協力的、信頼できるよう訓練されています。しかし、顧客やゲストと接しない従業員にも求められるこの企業文化こそが、ソーシャルエンジニアリングが繁栄する環境です。ハッカーは特に繁忙期のホリデーセールシーズンに攻撃することを好み、過労気味の小売従業員が警戒を緩めがちです。
「業界として彼らがどんな人たちかを考えると、ホスピタリティの人々です」とリンデモエン氏は会員について語ります。「だからこそ、その特性を利用するのがこの分野の攻撃の特徴です。親切心が狙われているのです。」
小売・ホスピタリティ企業のサイバー防御専門家にとっての課題は、温かさと警戒心のバランスをどう取るかです。「従業員を教育し、ホスピタリティを維持しつつ、十分な質問をして悪用されていないか確認するにはどうすればいいのか?」とリンデモエン氏は述べました。「この種の脅威は企業の『人』の要素を狙うので、私たちの分野でこれを管理するのは非常に難しいと感じています。」
RH-ISAC自体も課題に直面しています。自主的な情報共有グループであるため、会員企業のサイバーセキュリティプログラムに対する影響力は限られています。ベストプラクティスを推奨することはできますが、強制はできません。会員によって推奨事項の遵守度に差があるため、業界全体のサイバー態勢が断片化する可能性もあります。
ISACの会員の多様性も、業界全体をどれだけ包括的に支援できるかに重要な役割を果たします。
RH-ISACのコアメンバーの約70%は年間売上高10億ドル以上、13%は200億ドル超を報告していると、グループの最新の年次報告書によれば示されています。ISACの構成が大企業に偏ると、小規模企業はグループへの影響力が小さくなり、参加していない小企業はサイバー対策の指導を受けにくくなります。RH-ISACも小売業(コアメンバーの48%)が中心で、ホテルやカジノなどのホスピタリティ業(18%)、レストラン(9%)は少数派です。
小売・ホスピタリティのように複雑な分野では、会員の多様性を高めることが、ISACの成果物が業界に存在するあらゆるビジネス上の考慮事項やセキュリティ課題を反映するために不可欠となります。
「規制が少なく多様性の高い分野ほど、全員にリーチするのは難しい」と情報共有グループ「Cyber Threat Alliance」のマイケル・ダニエル会長は述べました。「小売業はほぼ数え切れないほど存在します。個々の企業規模も重要ですが、業界全体の企業数も同じくらい重要です。」
サイバー・レジリエンスの向上
それでも、最近のRH-ISACレポートには楽観的な材料もあります。小売・ホスピタリティ分野の最高情報セキュリティ責任者(CISO)の約20%が、現在は経営幹部に直接報告しており、昨年から12ポイント増加しています。「私たちはビジネスの意思決定に組み込まれつつあります」とリンデモエン氏は述べました。「CISOの影響力がこの分野で高まっています。」
さらに、サイバー・レジリエンスの重要な要素である事業継続性が、回答者の約半数の優先事項リストのトップに躍り出ました。リンデモエン氏は「攻撃を防ぐだけでなく、迅速に回復することへの注目と関心が高まっていることは、このビジネスに不可欠です」と評価しました。
この分野のサイバー防御者には、予算制約やスピードとセキュリティの常なるせめぎ合いなど大きな課題が残っていますが、RH-ISACのリーダーたちは企業が増大する脅威をうまく乗り越えていることに満足しています。
「これらの注目度の高い攻撃が続いているにもかかわらず」とリンデモエン氏は述べ、「企業はレジリエンスを示しています。」
翻訳元: https://www.cybersecuritydive.com/news/retail-isac-lessons-learned-scattered-spider/758504/