SecurityScorecardは、2024年11月20日に『小売業界における脅威インテリジェンスレポート』を発表した。
レポートでは、米国の小売業者上位100社の97%が過去1年間にサードパーティ由来のデータ侵害を経験していることがわかり、繁忙期となるショッピングシーズンを迎える中、重大な脆弱性が存在していることを明らかにしているという。
機密性の高い支払い情報や個人識別情報(PII)を含む膨大な量の顧客データを保有している小売業者は、サードパーティ由来の侵害に対して特に脆弱だという。価値の高い顧客データは、サイバー犯罪者にとって「宝の山」であり、個人情報盗難、金融詐欺、その他の悪意ある目的に悪用されているとのことだ。
主な調査結果
米国大手小売業者の97%が、サードパーティ由来の情報漏洩を経験。侵害を受けたサードパーティベンダーは全体の4%にすぎず、サードバーティの脆弱性による影響が広範囲に及んでいることが明らかになったという。自社が要因での漏洩を経験した小売業者は12社。
- 97%の企業がフォースパーティベンダー由来の侵害を経験しており、その原因はフォースパーティベンダー全社のわずか2%のみに起因
- 米国の小売業者上位20社はいずれも、サードパーティ由来の情報漏洩を経験
- 小売業者の22%がセキュリティ評価「A」を獲得している 一方、評価「B」の小売業者はデータ漏洩のリスクが2.9倍高くなっている
小売業界向けのサイバーセキュリティに関する推奨事項
この分析に基づいて、SecurityScorecard STRIKEチームは、小売業界のサイバーセキュリティを強化するための以下のインサイトを提供している。
- 外部攻撃対象の継続的な監視:自動スキャンを導入し、ベンダーおよびパートナー環境におけるITインフラとサイバーセキュリティリスクを検出する
- 単一の障害点を特定:重要な業務プロセスやテクノロジーをマッピングし、単一の障害点を特定する。これらのベンダーをリスト化し、重点的に監視する
- 新規ベンダーを自動検出:ベンダーのIT環境を受動的に監視し、潜在的なサプライ チェーンにおけるリスクを特定して解決する
- eコマースサイトをサポートする外部テクノロジーを精査:サードパーティ製品やサービスは、攻撃者がeコマースサイトに侵入し、クレジットカード情報を収集する手段となっているため注意が必要
調査方法
SecurityScorecardの研究者は、2023年の世界の小売売上高を基に米国トップ100社の小売業者を分析し、サードパーティおよびフォースパーティのベンダーを含む 14,000以上のドメインを評価したという。
【関連記事】
・国内データ侵害の4割がサードパーティー由来の攻撃に起因──SecurityScorecard調査
・エネルギー業界のサイバー攻撃被害、45%はサードパーティに起因──SecurityScorecard
・SecurityScorecard、「SCDR」に本格参入へ サービスを拡充
