シンガポールのサイバーセキュリティ・パラドックス：大手企業はA評価、しかし全社が侵害被害

「シンガポールのすべての大手企業は、自ら直接コントロールできないリスクの影響を受けています」とSecurityScorecardのSTRIKEリサーチユニットのチーフインテリジェンスオフィサー、ライアン・シェルストビトフ氏は述べています。「脅威アクターがより巧妙になり、サプライチェーンが複雑化する中、サイバーセキュリティのレジリエンスには、直接・サードパーティ・フォースパーティ問わず、すべてのデジタル関係に対する継続的な警戒が必要です。対応の遅れは、あまりにも大きな代償を伴います。」

調査によると、過去1年で直接的な侵害を受けた企業はわずか5%で、その多くはマルウェアによるものでした。

誰も予想しなかったフォースパーティ問題

SecurityScorecardの2025年レビューでは、上位100社すべてがデジタルサプライチェーンにおいて、少なくとも1つのサードパーティプロバイダーが侵害されていたことが判明しました。シンガポールは内部サイバー衛生の悪化率が世界でも最低水準であり、C評価以下はわずか4%でしたが、こうした拡張エコシステムの侵害は依然として大きな打撃となっています。

フォースパーティリスクは、組織のサプライヤーが利用するベンダーからもたらされ、多くの場合見えにくいものの、同様に重要です。2023年のMOVEit侵害はこれを明らかにしました。サードパーティベンダーが使用していたファイル転送ツールの脆弱性が広範な影響をもたらし、ソフトウェアと直接関係のない企業まで被害を受けました。この事件は、隠れたサプライチェーンの隙間がいかに深刻な被害をもたらすかを示しています。

「サイバーレジリエンスはもはや競争優位性ではなく、ビジネスの必須条件です」とシェルストビトフ氏は述べています。「2025年には説明責任が必須となるでしょう。」

シンガポールが直面する標的型脅威

統計的なリスクにとどまらず、シンガポールは重要インフラを狙った標的型攻撃キャンペーンにも直面しています。その一例が、中国関連の脅威グループUNC3886による作戦 であり、最近ではJuniper（Junos OS）ルーターの脆弱性を悪用し、通信事業者やサービスプロバイダーのネットワークに侵入していることが観測されています。

SecurityScorecardの脅威リサーチャー、ギラッド・マイズレス氏は「このキャンペーンは、GobRAT ORBと呼ばれる中国関連のORBネットワークを通じて運用されているようです」と述べています。オペレーショナル・リレーボックス（ORB）ネットワークは、攻撃者が侵害したシステムのメッシュを通じて悪意ある活動を中継し、攻撃を持続的かつ回避的にする隠密なインフラ層として機能します。

「シンガポールの重要インフラを標的とする動きは、中国系脅威アクターがORBベースのインフラにシフトし、責任追及を困難にしつつ、地域の高価値ターゲットへの持続的アクセスを確保しようとしている明確な例です」とマイズレス氏は説明します。また、米国のインフラを狙ったVolt Typhoonという同様の諜報活動との類似性にも言及し、事前配置戦術への協調的なシフトを示唆しています。

こうしたシステミックリスクに対応するため、SecurityScorecardのレポートは、従来のリアクティブな評価からプロアクティブなレジリエンス指標とワークフローへの転換を推奨しています。具体的には、TPRMプログラムによるフォースパーティリスクの低減、エコシステム全体での脅威インテリジェンスの統合、ベンダーリスクのマッピングとサプライチェーンインシデント対応ワークフローの策定、MFAやパッチ管理によるクリティカルインフラのセキュア・バイ・デザインと強化などが挙げられています。