SecurityScorecard最新調査：攻撃者はサードパーティの脆弱性を悪用してランサムウェア攻撃のステルス性、スピード、インパクトを最大化

世界で攻撃対象となったテクノロジー製品とサービスの90％を150社で占める
上記企業のうち41%において、過去1年間に少なくとも1台でもデバイスが不正アクセスを受けたと判明
11％が過去1年間にランサムウェアに感染
世界における攻撃対象の62％が、わずか15社の製品とサービスに集中
上位15社のサードパーティのサイバーセキュリティリスク評価は平均以下であり、侵害される可能性が高いことが判明
ランサムウェアを悪用している攻撃者集団であるC10p、LockBit、BlackCatは、サードパーティの脆弱性を組織的に大規模に狙っています。インターネットに接続されたデバイスは、5分以内に国家に支援を受けている攻撃者集団の脅威にさらされる可能性が


これら企業はその規模の大きさゆえに、侵害のリスクを増幅させ、広範な顧客層に重大なサードパーティリスクをもたらしています。広範な攻撃対象領域を防御することは、最も強固なセキュリティ・チームにとっても手ごわい課題となります。これら企業は、常に完璧なセキュリティ態勢を維持しなければならない一方で、攻撃者は、その広大な攻撃対象領域内のたった一つの脆弱性を悪用するだけでよいのです。

サードパーティ起因のリスクに備える
McKinsey & Companyによると、企業は年間数十万ドルをベンダーやサードパーティのエコシステムのサイバーリスクの管理に費やし、数百万ドルをサイバープログラムに費やしていますが、10億ドル規模のビジネスを成り立たせるには、最も小規模なベンダーのサイバーセキュリティですらおろそかにすることは出来ないと言うことです。

サプライチェーンのサイバーセキュリティ対策には、4つの重要なステップが必要です：

脆弱なポイントの特定
外部からの攻撃を継続的に監視
新規ベンダーの自動検出
ベンダーのサイバーセキュリティ管理の運用


Mckinsey & Companyのパートナーであるチャーリー・ルイス（Charlie Lews）氏は、上記に加え、次のように述べています。「デジタル環境における相互接続性は、企業のサイバーエコシステムリスクに対する考え方の転換を求めています。もはや自社の回復力だけでなく、より広範なシステムを考慮し、従業員、競合他社、ベンダーとの相互支援をどのように構築するかを検討する必要があります」


追加資料：


SecurityScorecard最新調査 「2024年版レジリエンスの再定義：グローバル経済におけるサイバーリスクの集中 ( https://securityscorecard.com/resource/redefining-resilience-concentrated-cyber-risk-in-a-global-economy/
)
SecurityScorecardの脅威インテリジェンスの詳細については、当社のウェブサイト ( https://securityscorecard.com/platform/
) をご覧ください。