今回のHelp Net Securityのビデオでは、Zero NetworksのフィールドCTOであるChris Boehm氏が、ベンダーの侵害がいかにして自社の侵害へとつながるのかを詳しく解説しています。
Boehm氏によれば、攻撃者は今や信頼できるベンダーの背後にいる下請け業者を標的にしているといいます。聞いたこともないような企業で漏洩した認証情報一つが、自社システムへの侵入口を開いてしまうことがあります。なぜなら、ベンダーのそのまたベンダーが、こちらが把握していない「鍵」を握っているからです。
Boehm氏は、盗まれたアクセストークンをバッジに例えています。バッジそのものが証明として扱われるため、それを持っている者は誰であれ通過を許されてしまう、というわけです。同氏は、一つの小さな侵害が請負業者を経由して伝わり、最終的に自社の環境内に入り込み、誰にも気づかれないまま何カ月も潜伏するケースについても説明しています。
さらにBoehm氏は、データの機密性とアクセスの深さに基づいてベンダーのリスクを階層化する手法を示し、多くのセキュリティプログラムが、信頼する各ベンダーの背後に隠れている下請け業者を見落としていると指摘しています。
翻訳元: https://www.helpnetsecurity.com/2026/07/14/vendor-breach-risk-video/
ソース: helpnetsecurity.com