セキュリティ専門家は、サードパーティのデータ侵害事件の被害範囲は最初に考えられていたよりもはるかに広いと主張しており、昨年136件のイベントにより433百万人以上の個人が影響を受けています。
Black Kiteは、2025年の検証済みパブリックブリーチ公開、外部サイバーリスク テレメトリー、およびサプライチェーン インテリジェンスの分析から、7年目の年次Third-Party Breach Report を編集しました。
同社は、136件の検証済みブリーチがベンダーあたり平均5.28の公開命名されたダウンストリーム被害者を持ち、719社と433百万人の個人エンドカスタマーに相当すると述べています。
ただし、Black Kiteは、影響を受けたベンダーが名前を付けずにさらに26,000の企業被害者を報告したと述べています。これは、影響を受けたダウンストリーム個人の総数がさらに多くなる可能性があることを意味します。
サードパーティのブリーチについて詳しく読む:SecurityScorecardがサードパーティのブリーチの急増を観察
これらのイベントの震源地となったのはソフトウェアサービスベンダーで、136件の検証済みブリーチの38件(28%)を占め、その後に専門的および技術的サービス(14件)とヘルスケアサービスプロバイダー(10件)が続きました。
ダウンストリーム企業被害者の観点から、ほとんどはヘルスケア(258件)、教育(140件)、および金融サービス(101件)に位置しているようです。
「これらのセクターは高いデータ感度と外部プラットフォームへの依存を組み合わせる傾向があり、複雑な依存チェーンのダウンストリームに位置しています」とレポートは述べています。「パターンは一貫しています。ブリーチの影響はサプライチェーンの端にあるデータ豊富なセクターに蓄積されますが、リスクはアップストリーム内、より小さなセットの集中型サービスプロバイダー内で発生します。」
可視性の低下、リスクの増加
レポートはまた、ブリーチ発見と公開の遅延を強調しました。ベンダーが侵入を検出するまでの中央値は10日でしたが、平均は68日でした。
これは脅威検出の問題を示していますが、通知の遅延は潜在的にフォレンジクスとインシデント対応の問題を明らかにしています。レポートは、顧客に通知するまでの時間が中央値73日、平均117日に達したと主張しています。
「明確にしましょう:73日は「調査期間」ではありません。能動的搾取の文脈では、それは永遠です」とレポートは述べています。「この遅延により、ダウンストリームの顧客はアクセスを取り消し、認証情報をリセットし、または独自のシステムをロックダウンする機会が奪われます。透明性の遅延はリスク転送です。」
将来のブリーチの可能性は高いままです。Black Kiteが監視している200,000の組織のうち、半分以上(54%)が少なくとも1つの重大な脆弱性を持ち、23%がダークウェブに流通している企業認証情報を持つことが判明しました。
- 70%が少なくとも1つのCISA KEV露出を持ち、84%が重大な脆弱性を持っています
- 80%がフィッシングURLへの露出を表示し、40%が能動的ターゲティングの兆候を示しています
- 62%がstealer logで露出した企業認証情報を持ち、30%が過去90日間に侵害された認証情報を持っています
- 52%がブリーチの歴史を持ち、18%が過去1年間にインシデントの被害を受けています
「従来のサードパーティリスク管理は、今日の脅威の現実に歩調を合わせていません」と、Black Kiteの最高研究インテリジェンスオフィサーであるFerhat Dikbiyikは主張しました。「過去1年間で、これらのリスクは一連の孤立した事故から組織的危機に変わりました。」
翻訳元: https://www.infosecurity-magazine.com/news/shadow-layer-organizations-supply/
