2024.08.05 岡山 大
先月号で触れた、ニコニコ動画を提供するKADOKAWAグループへのサイバー攻撃から約2か月。2024年8月5日にサービス再開との発表があり、同動画サービス利用者の一人である筆者も喜びに絶えないのですが、その一方で、それと同様に、先月7月、ランサムウェアによる情報漏洩が、主要なメディアでも報じられました。その被害は、豊田市や徳島県といった地方公共団体から、銀行、保険、製造業者と、多岐の業種に渡り、合計で150万件あまりに及ぶとのことです。この漏洩は、そのような被害組織の委託業務を行っている委託先企業が、ランサムウェア攻撃を受けたことに起因しています。
このランサムウェア攻撃は、昨今では、RaaS(Ronsomware as a Service / ラース )というランサムウェア攻撃が分業化されることで、今後も増加が見込まれます。また、ISMS(ISO27001)やPCI DSS(クレジットカードのセキュリティ基準)などの、主要なサイバーセキュリティ規格や基準では、セキュリティ対策の強化に、委託先の管理強化がうたわれています。
このランサムウェア攻撃の起点(アタックサーフェス)として、よく悪用されるのがクレデンシャル(ID/パスワードといった認証情報)です。このクレデンシャルを入手し、パスワードリスト攻撃などで、アカウントをのっとり、「なりすまし」によってマルウェアの埋め込み・拡散から、情報詐取など、さまざま攻撃が行えてしまいます。
そこで、そのような委託先のセキュリティ管理の一環として、サプライチェーンを含めたアタックサーフェス・マネージメント(ASM)が注目されていますが、年間や複数年の契約を前提としているものが多く、コスト的にハードルが高いのが実情です。
そこで、弊社として委託先管理の第一歩としてのお勧めが、クレデンシャル情報の漏洩チェックです。弊社では、従来の自社社員に加え、委託先のクレデンシャル漏洩のチェックも提供可能です。また、クレデンシャル以外のIPドメイン、機密情報漏洩を含めた脅威情報漏洩を、ワンタイム及び継続的に提供することも可能です。
ご興味のおありの方は、是非お問い合わせください。
この記事が気に入ったら
いいねしよう!
