TokyoBlackHatNews

welivesecurity.com 12分で読了

サプライチェーン依存関係:ブラインドスポットをチェックしましたか?

サイバー企業リスクの一部は、より詳しく見てみるとはじめて明らかになります。サプライチェーンのブラインドスポットはその完璧な例です。これらの不可欠な第三者接続の背後には、主要なサイバーインシデントを引き起こす目に見えない脆弱性が隠れている可能性があります。運用を停止させ、下流への混乱を引き起こし、財務的、評判的、法的/コンプライアンス上の影響で見出しを飾ります。

サプライチェーンがますますデジタル化し複雑になるにつれて、サイバー犯罪者が狙うための大きな「リスク表面」を提供します。組織は、リスクをマッピングし、機密データを保護し、事業継続を維持するための効果的なレジリエンス戦略を展開できるように、サプライチェーンの依存関係を深く理解する必要があります。しかし、ESETの最新研究や他のソースによると、中小企業は悪質な攻撃または運用障害のいずれかによるサプライチェーンの中断が引き起こすリスクを大幅に過小評価しています。

サプライチェーンとは何か、またそれが提起するリスクは何か?

サプライチェーンは、製品またはサービスをその起源から最終顧客に移動させることに関与する組織、人、活動、情報、およびリソースの総ネットワークであり、調達、生産、流通、および配送を網羅しています。現代のサプライチェーンはしばしば世界的であり、複雑な国際ロジスティクスまたは接続が関与しています。

サプライチェーンの中断は、複数の相互関連するビジネスリスクタイプを引き起こします。これには、サイバーセキュリティ、運用、地政学的、財務的、評判的、コンプライアンス、環境的、および社会的リスクが含まれます。現実のシナリオでは、リスクはぼやけがちです。たとえば、パートナーに関連するデータ侵害には、運用的、財務的、コンプライアンス、および/または評判的要素があることが多い。

しかし、認識は常にサイバーセキュリティ上の危険について現実を反映しているわけではありません。おそらくAI搭載エクスプロイトと地政学的サイバー紛争に関するメディアの最近の焦点を反映して、本日リリースされたESETの2026年中小企業サイバーレディネスインデックスは、カナダの16%および米国の17%の小規模企業がサプライチェーン攻撃を彼らが最も懸念している脅威の中に位置付けていることを発見しました。逆に、カナダとアメリカの中小企業の34%と32%がAI搭載マルウェアを彼らのトップの脅威として特定しました。

サプライチェーン事件の規模と頻度、そしてサプライチェーンが本当にどの程度まで広がるかを考えると、これは極めて低いように思えます。2023年の3CXの侵害は、悪質な者がVOIP開発者の製品の正当なソフトウェアアップデートをトロイの木馬化して、その600,000人の顧客を潜在的に暴露した場合、単一の侵害されたベンダーに影響するインシデントがどのように産業全体に波及するかを示しました。注目すべきは、3CX自体が別のサプライチェーン攻撃の下流被害者でした。これは侵害されたTrading Technologies X_TRADER インストーラーの結果でした。それは、1つのサプライチェーン攻撃が別の攻撃を引き起こした初めての記録されたインスタンスであり、これらの鎖がどのくらい深く実行できるかの思い出させる事例でした。

より最近では、2024年のCDKおよびChange Healthcareランサムウェア攻撃、および2025年8月のJaguar Land Rover(JLR)ランサムウェア攻撃は、重要なノードに座っているベンダーでのインシデントがセクター全体に広がる方法を示しています。JLRが2番目の理由でリストに属する:侵害はそのITサービスプロバイダーの1つを通じて自動車メーカーに到達し、それを完全に古典的なサプライチェーン領域に配置します。

2024年7月からの不具合のあるCrowdStrike更新は、攻撃者が関わることなく、サプライチェーンリスクが悪意だけに関するものではないことを示して同じポイントを作りました。不具合のあるアップデート リリースは、マルウェア積載のものと同じレールを走ります。そして単一のベンダーへの依存は、1つの障害ポイントをグローバルな中断に変えることができます。

ESETの調査結果を反映して、世界経済フォーラムのグローバル サイバーセキュリティ アウトルック 2026は、複数の産業と地域のビジネスリーダーに彼らが最も懸念するサイバーリスクをランク付けするよう求めました。CISO は2025年および2026年のサプライチェーン中断を#2と評価し、CEO は2025年のサプライチェーン中断を#3と評価します。サプライチェーン中断がCEOのトップ3に引き続き位置付けられないことが驚くべきことだと私は感じます。

Image

全体的に、約30%のデータ侵害は第三者を関与させ、Verizonの2025年データ侵害調査報告書(DBIR)によるとこの数字は前年比で2倍になっています。ソフトウェア サプライチェーン攻撃の総経済的コストは2023年の460億ドルから2025年の600億ドルへと急増し、2031年までに1,380億ドルに達すると予想されています。このような統計は、すべてのビジネスリーダーの懸念事項の短いリストにサイバー サプライチェーン リスクを置くべきです。

トップのサイバー サプライチェーン ブラインドスポットは何か?

サプライチェーン サイバーセキュリティ リスクは、攻撃者が第三者のサービスプロバイダー、ベンダー、またはパートナーのシステムの脆弱性を標的にして企業のネットワークまたは他のIT インフラストラクチャに浸透し、そのデータを盗む可能性があるすべての可能な方法に関係しています。これらの攻撃は、デフォルトで通信が信頼されている状況を悪用することが多く、データ、個人のプライバシー、運用上の安定性、または国家安全保障さえも危険にさらす可能性があります。

サプライチェーン サイバー脆弱性はさまざまな形式を取ります。以下のようなものがあります:

  • ネットワークに接続されたセキュリティが低い中小企業のサプライヤーを侵害して、ターゲット企業へのバックドアを作成します。
  • ソフトウェアコンポーネント(例:オープンソースライブラリ)またはアップデートに悪質なコードを注入し、多くのユーザーを潜在的に侵害します。
  • フィッシング攻撃および他のソーシャルエンジニアリングの策略を使用して、特権認証情報を盗むか、ITサービス企業などの第三者を経由してランサムウェアまたは他のマルウェアをまくことです。
  • チップセットやIoTデバイスなどの物理資産のハッキングまたは脆弱性から漏らします。

多くの組織を脅かすサイバー サプライチェーン ブラインドスポットの一部は以下の通りです:

  • 不適切なリスク評価のため、実際より企業が回復力があると考える(虚偽の安心感)。
  • 地政学的に動機付けられたインシデント(下記参照)。「付随的損害」は紛争に直接関連していない多数の組織に害を及ぼす可能性があります。
  • エンドカスタマーが可視性を持たないサプライチェーンの数段階奥にあるサイバー脆弱性(いわゆるフォース パーティ、n th パーティ、または間接的なベンダー リスク)。
  • 企業の顧客に影響する「リバース」サプライチェーン中断。
  • 地政学的イベント、自然災害、または他の混沌とした状況のため迅速にオンボーディングされた新しい未評価脆弱性と新しいサプライチェーン パートナーを想定しています。
  • パートナーとの通信を信頼する代わりに、すべての接続を検証するためのゼロ トラスト原則を活用すること。
  • 「モノカルチャー」の問題。MSSP またはサイバー保険プロバイダー間で広く普及している1つまたは少数の人気のあるサイバーセキュリティソリューションへの依存。侵害された場合、大規模に即座に混乱を引き起こすでしょう。

多くの現代的なサプライチェーンの単なる複雑さは、すべての単一のリスクを特定することを実行不可能にします。問題はその後、どこに線を引くかになります。ベンダー リスク評価はどの程度深く詳細ですか?そしてあなたがコントロール外であると考えるサプライチェーン サイバー リスクのどのレベルを受け入れる気がありますか?

主要なサプライチェーン攻撃からの影響は何か?

最近の記憶に残る最も破壊的なインシデントのいくつかは、サプライチェーンの重要なノードに位置する組織にヒットしました。そして、結果としての混乱は元の標的をはるかに超えて波及しました。

巨大なブラスト半径を持つサイバー攻撃の主要な例は、2025年8月のJLRランサムウェア攻撃です。攻撃者はアウトソースされたITサービスプロバイダーを通じて自動車メーカーに到達し、その後5週間以上にわたって生産ラインとITサービスを混乱させました。その結果は、2025年9月の英国全体のセクターでの車両生産が25%低下を引き起こしたグローバルな製造シャットダウンでした。部品需要は一夜にして崩壊し、JLRのサプライヤーと関連事業に数百人の労働者の解雇を強要し、英国政府が国家経済および労働力危機を回避するために£1.5億の緊急ローン保証を発行するよう促進しました。英国史上最も費用がかかるサイバー攻撃と見なされて、それは£1.9億以上の総経済的損害をもたらしました。

2025年4月のMarks&Spencer(M&S)攻撃は同様のパターンに従いました。ハッカーはアウトソースされたITサービスプロバイダーに対して社会工学を成功させ、従業員になりすまし、ヘルプデスクスタッフを説得して重大なシステム認証情報をリセットします。何百万人ものお客様からの連絡先の詳細、生年月日、および注文履歴が明らかに流出し、企業のオンラインおよびアプリベースの注文処理は数週間停止していました。長時間の停止は約£3億のコストと恒久的な評判的な損傷を引き起こしました。

一般的に使用されているオープンソース ソフトウェア ライブラリを悪質なコードで侵害することは、同様であり、ますます人気のある攻撃ベクトルであり、オープンソース マルウェアは2024年から2025年へ188%増加しました

ソフトウェア サプライチェーン内の地政学的ブラインドスポットの明白な例では、2017年の一般的なM.E.Docアカウンティングソフトウェアの正当なアップデートに配置された悪質なバックドアは、広範な配布を引き起こしました。ウクライナ経済をターゲットにすることを目的として、攻撃はNotPetyaワイパー マルウェアを世界中の組織に広げ、£100億のコストと見積もられた破壊をまきました。攻撃はその後、ロシア調整ソースに属しました。

チップと回路基板などのハードウェア コンポーネントでさえ、潜在的に悪用または武器化され、検出または防御が極めて困難なブラインドスポットを作成する可能性があります。進行中の例は、ESETが2019年に発見したKr00kファームウェア サプライチェーン脆弱性(CVE-2019-15126)です。攻撃者は、数百万のスマートフォン、ラップトップ、およびIoTデバイスを含む影響を受けたデバイスに、簡単に復号化できるオールゼロキーでWi-Fi送信を暗号化させることができます。広大な利用規模のため、影響を受けたデバイスの多くは依然ファームウェア パッチがインストールされていない可能性があります。

そして極端な例として、2024年9月の「オペレーション グリムビーパー」サプライチェーン攻撃は、イスラエルインテリジェンス作戦の一部としてレバノンとシリアのヘズボラメンバーが使用したポケベルとトランシーバーが爆発するのを見ました。ヘズボラが購入した機器が体系的に数年間傍受され、武器化された後、30人以上が殺害され、3,000人が負傷しました。サプライチェーン ブラインドスポットについて話してください…

地政学的サプライチェーン リスクに関する主要な検討事項は何か?

イランがバーレーンとアラブ首長国連邦のAmazon Web Services(AWS)データセンターに対してドローン攻撃を開始しています。運動学的およびサイバー戦争が重複する場所では、国家行為主体とその代理人は、戦略的目標の幅広い経済的破壊を実施するためにサプライチェーン依存関係の重要性を悪用できます。これは金銭盗難を含む可能性があります。付随的損害は計画の一部です。

  • すべての第三者ホスティング関係、ネットワークへのベンダーアクセスなどを注意深く監査します。データが不安定な地域のデータセンターを通じて移動していますか、直接またはサービスプロバイダーアクティビティを通じてですか?クラウドサービスの中断はサプライチェーン全体を予測不可能に広げることができます。
  • サイバーコンバットが現在、イスラエル製OTハードウェアなどの専門的な攻撃でターゲットにしているハードウェアまたはソフトウェアに依存していますか?
  • マネージド セキュリティ ソリューション プロバイダー(複数)および他の重要なベンダーが自分たちの地政学的サイバーリスク暴露をレビューしているかどうかを確認します。第三者が侵害検出および応答(MDR)機能を管理する場合、たとえば、彼らのソリューションは攻撃表面の一部になります。

組織がサプライチェーン サイバー レジリエンスを構築するにはどうすればよいか?

サプライチェーン サイバー リスク軽減の一般的な戦略には、サプライヤーのサイバーセキュリティ姿勢の厳密な精査、監視を強化するための新しい技術の導入、攻撃への影響を軽減するためのゼロトラスト原則の活用、およびレジリエンスを構築し、サプライチェーン関連のインシデントを適切に管理するためのインシデント対応および事業継続計画の作成とテストが含まれます。サプライヤー全体のウェブはリスク評価の一部である必要があります。

サプライチェーン サイバー レジリエンスを構築および運用化するために、1年間のレジリエンスを構築する活動の順序を推奨します。

最初の3ヶ月

  • サプライチェーン リスクのビジネスおよびIT所有者を指定します。
  • すべての第三者IT およびビジネス サプライチェーン ベンダーを特定し、1)機密データへのアクセス、および2)ビジネスへの重大性によって優先順位を付けます。
  • ベンダーのための最小限の受け入れ可能なサイバーセキュリティ姿勢またはコントロールを定義するポリシーを作成します。
  • ベンダーのサイバー要件への準拠を確認し、必要に応じて置き換えます。

最初の6ヶ月

  • ベンダーのサイバー要件への準拠の監視を継続します。
  • 主要なハードウェアおよびソフトウェア サプライチェーン リスク(例:オープンソース依存関係)をビジネス用語で説明します。
  • サイバー要件を調達活動と契約交渉に組み込みます。重要なベンダーを監視およ監査する権利をネゴシエートします。
  • 戦略的なベンダーを含むテーブルトップインシデント対応演習を実施します。

最初の12ヶ月

  • テーブルトップ演習から学んだ教訓を実装します。
  • 契約上のサイバー要件に対するベンダーを監査します(例:パッチへの平均時間)。関連する場合はサプライヤーサイバーインシデントを調査します。
  • 可能な限りIT システムにはありんとフェイルセーフを構築し、ソリューション「モノカルチャー」の問題を回避します。
  • サイバー要件ポリシーをレビューおよび更新します。
  • ビジネスに影響するグローバル サイバー規制/コンプライアンスの変更を監視および対応します。

レジリエンスは必須です

エスカレートしている脅威と危険な相互依存の世界では、サプライチェーン サイバー レジリエンスは生存レベルでの競争上の差別化です。サイバー犯罪者は、組織の第三者のリンク上流または下流を特定および標的にしたいと考えています。混乱したパートナーの鎖が、集団的な恐喝圧力に直面する可能性があります。事実上、「クラウドファンディングされた」ランサムウェアシナリオ。

基礎的なレジリエンス構築ブロックとして、企業は、デジタルおよび非デジタルシステムを含む重大な第三者の依存関係と脆弱性を包括的にマッピングする必要があります。明白でない可能性があるものを含めます。典型的な運用サプライチェーン リスク評価を超えて見える方法は以下のとおりです:

  • AI支援の継続的なサプライチェーン監視
  • 自動化されたサプライチェーン依存関係マッピング
  • ゼロトラスト サプライチェーン アーキテクチャと接続
  • 脅威インテリジェンスのサプライチェーン構成への適用
  • レジリエンス計画/考慮事項の内部システムからより広いサプライチェーン エコシステムへの拡張
  • サイバー責任保険会社からの可能な入力と支援。ベンダーのサプライチェーン サイバー パフォーマンスに関するデータ駆動型の洞察がある可能性があります

翻訳元: https://www.welivesecurity.com/en/business-security/supply-chain-dependencies-have-you-checked-your-blind-spot/

ソース: welivesecurity.com
#インシデント対応 #サイバーセキュリティ #サプライチェーン攻撃 #ゼロトラスト #ソフトウェア供給チェーン #ベンダーリスク管理 #ランサムウェア #事業継続計画 #地政学的リスク #脆弱性管理

関連記事

次のデータ侵害アラートがトラップかもしれない理由

詐欺師が悪乗りするときに襲いかかる:「二次被害」を避ける方法

ブレークアウト時間が加速する中、予防重視のサイバーセキュリティが前面に出る