ブリティッシュ・エアウェイズ、BBC、ブーツは、ランサムウェア集団「Clop」によるサプライチェーン攻撃を受け、最後通牒を突きつけられた。サイバー犯罪集団はダークウェブポータルに掲載された投稿で、被害を受けた組織に対し、6月14日までに連絡を取らなければ、盗まれたデータが公衆の面前に晒されるリスクがあると警告した。盗まれたデータには、氏名、銀行口座情報、住所、国民保険番号などの個人情報が含まれているとみられている。
このセキュリティインシデントの影響を受けたのは、英国の給与計算サービスプロバイダーであるZellis、ダブリンに拠点を置くAer Lingus、ロチェスター大学、ノバスコシア州政府などである。
ジャガー・ランドローバー、ハロッズ、ダイソンなどを顧客とするゼリス社は、この攻撃を認め、この侵害が同社のITエコシステムの他の重要なコンポーネントに影響を及ぼしていないことを顧客に保証した。
「この世界的な問題により、少数のお客様が影響を受けていることを確認いたしました。現在、お客様へのサポートに積極的に取り組んでおります。Zellisが所有するソフトウェアはすべて影響を受けておらず、当社のIT資産の他の部分に関連するインシデントやセキュリティ侵害は発生しておりません」とZellisは声明で述べています。
「ゼリス社のサイバーセキュリティインシデントにより、MOVEitというサードパーティサプライヤーを通じて影響を受けた企業の一つであるとの通知を受けました」とブリティッシュ・エアウェイズはスカイニュースに語った。
このサプライチェーン攻撃はどのようにして発生したのでしょうか?
Clopは、人気のビジネスソフトウェアMOVEitのSQLインジェクション脆弱性(CVE-2023-34362)を悪用し、同社のサーバーにアクセスしました。MOVEitは機密ファイルを安全に移動するために設計されており、世界中で人気があり、顧客の多くは米国と欧州にいます。
先週、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は、ハッカーがMOVEit Transferツールに脆弱性を発見したと警告し、世界中のユーザーに対し、サプライチェーン攻撃の可能性から機密情報を保護する方法を検討するよう促した。
Clop ランサムウェア グループとは何ですか? また、彼らの要求は何ですか?
Clopはロシアを拠点とするランサムウェア集団で、世界中の大手企業を標的とした数々のデータ侵害事件に関与していることが明らかになっています。2023年2月、ClopはCHSヘルスケアの患者のデータを含む130以上の組織に影響を与えたサプライチェーン攻撃の犯行声明を出しました。また、2020年にはAccellion File Transfer Applianceのデータ侵害にも関与しており、シェル、クローガー、オーストラリア証券投資委員会など約100の組織に影響を与えました。デイリー・メール紙が報じた別の大規模攻撃では、NHSが300万ポンドの身代金要求を拒否した後、NHS患者の機密医療記録をダークウェブに流出させたことが確認されています。
この最近の攻撃を受けて、このグループはダークウェブポータルで、ビジネスファイル転送にMOVEitを使用している企業に対し、「MOVEitをご利用の企業の皆様、例外的なエクスプロイトの一環として、お客様のデータを大量にダウンロードする可能性があります」と呼びかけました。声明はさらに、MOVEitソフトウェアのユーザーに対し、提供されたメールアドレスを使用してグループに連絡するよう求めています。連絡を取ると、匿名ブラウザネットワーク上で交渉を開始するためのチャットURLが送信されます。Clop氏は、この手続きは6月14日までに完了する必要があると強調しています。期限を過ぎた場合、このランサムウェアグループは応じない企業の名前を公表するとしています。
サプライチェーン攻撃の増加
近年、サイバーセキュリティ分野において、サプライチェーン攻撃への懸念が高まっています。SolarWinds、Log4j、Codecovへの攻撃は特に注目に値します。サプライチェーン攻撃は、一度の侵害で複数の利益を得られるため、サイバー犯罪者にとって特に魅力的です。
Statistaは最近のソフトウェアサプライチェーン攻撃に関するレポートで、サプライチェーン攻撃の影響を受けたソフトウェアパッケージの世界的な発生件数が2019年から2022年にかけて702件から185,572件に急増したと指摘しています(図A)。さらに、2023年1月から3月にかけて、サプライチェーンサイバー攻撃は約17,150件のソフトウェアパッケージに影響を与えました。
図A
組織がサイバー攻撃を軽減するためにできること
サプライチェーン攻撃の増加を踏まえ、組織は安全を確保するためにベストプラクティスを導入することが推奨されます。以下は、組織が導入できるベストプラクティスの一部です。
ゼロトラストアーキテクチャを実装する
ゼロトラスト・アーキテクチャは、すべてのネットワーク活動が潜在的に悪意のあるものであるという前提に基づいて設計されています。このアーキテクチャでは、すべての接続要求が一連の厳格なポリシーを満たした場合にのみ、組織リソースへのアクセスが許可されるという厳格なアプローチを採用しています。
ZTAの中核は、ポリシーエンジン、ポリシー管理者、ポリシー適用ポイントという3つの主要コンポーネントです。これらのコンポーネントは連携して意思決定システムとして機能し、信頼アルゴリズムによって定義されたルールに基づいてネットワークトラフィックを評価します。ZTAを実装することで、組織は堅牢なセキュリティフレームワークを構築できます。このフレームワークは、固有の信頼を前提とせず、貴重なリソースへのアクセスを許可する前に、各ネットワークアクティビティを一連の事前定義されたポリシーに照らして検証します。
ハニートークンを展開する
ハニートークンは、ネットワーク内での不審な行動を組織に通知する検知メカニズムとして機能します。これらの偽装リソースは貴重なデータを模倣し、攻撃者に貴重な資産にアクセスしたと思わせます。ハニートークンは、偽のデータベースデータ、メールアドレス、実行ファイルなどの形で提供されます。攻撃者がこれらの偽装リソースにアクセスすると、アラートがトリガーされ、標的の組織に侵入の試みが通知されます。
ハニートークンを活用することで、組織は潜在的なデータ侵害の兆候を早期に把握し、攻撃者が用いる具体的な攻撃手法に関する洞察を得ることができます。この貴重な情報を活用することで、組織は標的となるリソースを特定し、それぞれのサイバー攻撃手法に効果的に対抗するための、カスタマイズされたインシデント対応戦略を実行することができます。
参照:このセキュリティインシデント対応ポリシーを TechRepublic Premium からダウンロードしてください
定期的に第三者によるリスク評価を実施する
サードパーティのソフトウェアベンダーは、顧客である組織ほどサイバーセキュリティを真剣に考えていない場合があります。これは、セキュリティを最優先とする組織にとって逆効果となる可能性があります。そのため、組織はサードパーティのソフトウェアサプライヤーにも、悪用可能なセキュリティ脆弱性をすべて排除していることを確認する必要があります。また、信頼できるガバナンス、リスク、コンプライアンス機関が実施したベンダーのリスク評価レポートを評価することも重要です。これにより、各ベンダーのセキュリティ体制が明らかになり、修正が必要な脆弱性に関する詳細情報が得られます。
参照: TechRepublic Premiumからセキュリティリスク評価チェックリストをダウンロードしてください
サードパーティの攻撃対象領域の監視を自動化
組織の攻撃対象領域には、ハッカーが不正なネットワークアクセス、機密データの漏洩、サイバー攻撃の実行に悪用できる脆弱性、経路、手法が含まれます。この攻撃対象領域によって、サードパーティの脅威環境はより複雑になります。しかし、自動化された攻撃対象領域監視ソリューションを導入することで、こうした複雑さを軽減し、隠れた脆弱性をより容易に検出できるようになります。サードパーティの攻撃対象領域監視を自動化できるリスク管理ソリューションには、OneTrust、Venminder、BitSight、UpGuardなどがあります。
サードパーティベンダーを選択する際にはデューデリジェンスを適用し、強力な契約を締結する
サードパーティベンダーまたはパートナーを選定する際には、厳格なデューデリジェンスプロセスを実施してください。これには、ベンダーのセキュリティ管理、ポリシー、およびプラクティスの評価が含まれます。業界によっては、ベンダーがISO 27001、NIST SP 800-171、PCI DSSなどの特定のセキュリティ要件を満たしているかどうかを確認する必要があります。これにより、ベンダーの情報セキュリティ基準へのコミットメントが明確になります。
ソフトウェアサプライヤーの選定においてデューデリジェンスを実施することに加え、組織はサードパーティベンダーやパートナーと確固たる契約を締結する必要があります。セキュリティ要件、データ保護義務、そしてコンプライアンス違反の責任を明確に規定し、継続的なコンプライアンス確保のために定期的な監査と評価を実施する規定も盛り込む必要があります。
