昨年確認されたデータ漏えいのうち、サードパーティが関わるインシデントの割合が倍増した。サイバー犯罪者たちが、サプライチェーンやパートナーエコシステムにおける脆弱な部分を悪用する事例が増えているためだ。
このことは、Veriszon の『データ漏えい調査報告書(DBIR)』によって明らかになった。DBIR は、情報セキュリティ分野で実際に起こっている問題に関するその詳しい分析により、業界で最も注目されている報告書の 1 つである。水曜に発表された今年度版は、2023 年 11 月 1 日から 2024 年 10 月 31 日までの間に発生したインシデントをカバーしている。
この報告書の分析により、サードパーティが関与するデータ漏えいの割合が、昨年の 15 %から今年は 30 %に増加したことがわかった。この数字には、ソフトウェアの脆弱性の悪用やサプライチェーンのセキュリティ侵害によって引き起こされたデータ侵害(データの損失が確認されたインシデント)が含まれる。
この報告書の発表イベントで、英国コンピュータ協会のフェローを務めるイミュニウェブ(ImmuniWeb)社のイリア・コロチェンコ CEO は、サイバー犯罪者たちは設定したターゲットにリーチするための方法として、会計士や法律事務所といった組織にますます目を向けるようになっていると述べた。
「犯罪者たちは賢く実利的です。1 セント単位で価値を評価し、コストにも敏感です」とコロチェンコ氏は言い、より脆弱な企業が、はるかに大きなターゲットの環境へとつながる確実なゲートウェイとして機能する理由を説明した。
Veriszon によると、ベンダーやその他のビジネスパートナーが、認証情報の悪用防止などの適切なアクセス制御を実施していないことが、攻撃対象領域が拡大する要因となっているという。特に、サードパーティのセキュリティ実践の脆弱さが組織をリスクにさらし続けている。
