レポートは、CSOがすべての合併や買収の取引に関与し、古くなったり設定が不十分なIT機器を精査するよう促している。
最近のSonicWall SSL VPNを利用した組織へのランサムウェア攻撃は、パッチ管理やアイデンティティ・アクセス制御の必要性だけでなく、さらに多くの教訓を与えているかもしれません。被害を受けた企業の中には、過去の合併や買収の遺産として脆弱なSonicWall機器がITネットワーク上に残っていた例があり、情報セキュリティリーダーがM&A取引の準備により深く関与しなければ、ハッカーによる被害のリスクが高まることを示唆しています。
これは、今週Reliaquestの研究者が発表したレポートの結論です。
彼らは6月から10月にかけて発生した、Akiraランサムウェアを使ったSonicWall SSL VPNへの一連の攻撃を調査し、共通点を発見しました。ほぼすべての事例で、ハッカーは買収した小規模企業から引き継いだSonicWall機器を侵害することで、企業ネットワークへの足がかりを得ていました。
Reliaquestに調査した事例数を尋ねましたが、回答はありませんでした。しかしレポートによれば、いずれのケースでもIT部門はその機器が自社環境に存在していることを認識していませんでした。
「標準的なM&Aのデューデリジェンスだけでは不十分です」とレポートは述べています。「セキュリティチームは、継承した技術を積極的に保護し、リモートアクセスツールのような新しい環境への早期可視化を優先し、攻撃者が悪用する前にリスクの高い設定や古い認証情報に対処する必要があります。」
この警告は新しいものではありません。専門家たちは何年も前から、買収候補の財務状況を調べるだけでは不十分だと指摘しています。IT資産の精査も必要であり、取締役会は取引の財務リスクとサイバーリスクの両方を理解する必要があります。
事例A:2018年にMarriottが、傘下のStarwoodホテルチェーンの予約システムから数億人分のゲストデータが盗まれていたことを発見した件。Marriottは2016年にStarwoodを買収しましたが、そのネットワークは2年前に侵入されており、買収後も4年間侵害が発見されませんでした。
「セキュリティリーダーはM&Aプロセスに関与する必要があります」と、Fred Chagnon氏(Info-Tech Researchのプリンシパルリサーチディレクター、Marriott-Starwood事件のケーススタディを実施)が述べています。
CSOやCIOなどが関与しない理由の一つは、サイバーリスクが財務記録で確認できる数値と比べて「見えない」からだと彼は説明します。その結果、「この業界ではサイバーリスクを財務上の負債としてCEOや取締役会に伝えるのが難しい」と述べています。
M&Aチームに情報セキュリティリーダーが加わる場合、実際の買収候補の評価は第三者の専門家に委託すべきだとChagnon氏は付け加えます。なぜなら、セキュリティチーム自身にその時間がなく、相手側も競合他社より第三者に機密IT情報を開示しやすいからです。
インシデント対応会社CypferのCOO、Ed Dubrovski氏は、「大半のM&A活動はいまだにセキュリティチェックリスト方式を踏襲しており、これは実質的には第三者ベンダー評価にすぎません。このような活動は形式的な要件は満たしますが、実際の核心的な問題、つまり潜在的リスクに関する最新かつ関連性のある情報の欠如には何も対処できていません」と指摘します。
買収候補のサイバーセキュリティ評価を行う場合は、まずIT資産の棚卸しやリスト作成から始め、その後に情報セキュリティポリシーや関連ポリシーの有無を確認すべきだと彼は付け加えました。
買収後、CSOは新しいネットワークを第三者接続リクエストとして扱い、コアリスクが定量化されるまではセグメント化を維持し、環境統合を試みるべきではないと彼は述べています。
「現実には、統合後のリスク状況は最もリスクの高い側に依存します」と彼は言います。
買収先のサイバーセキュリティ状況は、デューデリジェンス期間中に最優先で調査すべきだと、アドバイザリー会社Futurumの副社長兼サイバーセキュリティ部門リーダーであるFernando Montenegro氏も同意しています。これは買収される企業の規模に関係ありません。
セキュリティチームは、通常M&Aを主導するコーポレートディベロップメント(corpdev)部門を含む、組織全体と適切に連携する必要があると彼は述べています。
「ここでの課題は、セキュリティチームがcorpdevと協力して、これらの取引を分析するための適切なフレームワークを持つことです。これには、買収対象企業の主要幹部へのインタビュー、監査・コンプライアンス文書へのアクセス、買収企業のデジタルフットプリントや内部状況の徹底的な調査が含まれます。
理想的には、買収候補に対して『外部からの視点』と『内部からの視点』の両方を含め、セキュリティプログラムの徹底的なレビュー、過去のセキュリティインシデントの履歴、主要な第三者との関係なども調査対象に含めるべきだと彼は付け加えました。
さらに、IT統合がどのようなものになるか、ネットワーク接続や業務アプリケーションの接続など、考慮すべき点は多数あります。
Reliaquestのレポートによれば、SonicWall機器は中小企業でよく使われており、これらはしばしば大企業のM&Aターゲットになります。しかし、Akiraの攻撃者がSonicWall機器を持つ組織を買収した企業を狙ったかどうかは断定できないとしています。
ただし、調査した事例では、攻撃者は被害者ネットワークに侵入するとすぐに、M&Aプロセスで引き継がれた古いMSP(マネージドサービスプロバイダー)や管理者ログインなどの特権アカウントを探していました。「重要なのは、これらの認証情報は買収企業には知られておらず、買収後も監視や更新がされていなかったことです」とレポートは述べています。
M&Aで取得した技術の脆弱性が後のセキュリティ制御の侵害につながる頻度についてReliaquestに尋ねたところ、広報担当者は「Akiraが小規模組織を標的に連続して侵害している事実は、大企業が導入時にリスクに対処し、購入前に範囲を把握すべきことを意味します」と答えました。
