サプライチェーンが注目された2022年のセキュリティ環境
サイバー攻撃が例年なく注目された2022年。徳丸氏はまずIPAが毎年公表している「情報セキュリティ10大脅威」を引用し、今年を振り返る。
サイバー攻撃の手法は進化が早いと指摘されながらも、ここで登場する各項目は例年それほど変化がないという。それでも、今年特に問題となったのが事業側だとランサムウェア、サプライチェーン攻撃、そして個人側ではクレジットカード情報の不正利用について挙げた。
サプライチェーン攻撃の経路については、主として子会社・外部委託業者の脆弱な危機にマルウェアが感染するか、使用している脆弱なOSSが狙われているという。
徳丸氏は例として、2020年に不正アクセスの被害を受けたカプコンの例を引用した。同社の被害原因としては、北米現地法人内に置かれた旧型のVPN装置が攻撃され、ネットワークへ不正侵入された結果、日米拠点の一部機器が乗っ取られる結果になったという。
旧型のVPN装置が設置された理由については、当時コロナ禍初期対応にあたって在宅勤務対応に追われ、増設したVPNに脆弱性が存在していたという。もっとも、社内ネットワークに侵入されたとしても、攻撃を受けた北米の社内ネットワークで本来はとどまり、日本本社サーバーなどへの侵入はパスワード保護などのため難しいはずだと徳丸氏は指摘する。
だが本社サーバーへの侵入も簡単に許してしまったことから、「脆弱性やパスワード設定など、セキュリティの甘さなどがあったのではないか」と推察している。
結果としてカプコンでは、情報流出のほかファイルの暗号化も行われてしまい、ランサムウェアによる情報の窃取とファイルの暗号化という二重脅迫につながる典型的な事例となった。
