Web担当者に求められるサプライチェーンセキュリティ
大手自動車会社の国内工場の操業停止や、海外グループ会社の工場操業停止など、サプライチェーン攻撃による被害が後を絶ちません。
サプライチェーン攻撃に対しては、端末のセキュリティ対策や監視の体制、従業員の教育等で、サプライチェーン全体のセキュリティの底上げが必要と言われます。
ここでは、一見関係の無さそうに見える、サプライチェーン企業のWebサイトが、サプライチェーン攻撃に対してどのように影響をしているか、担当者として注意すべきポイントについてご説明いたします。
・サプライチェーン攻撃とは
セキュリティの強固な大企業を直接狙わず、サプライヤーや子会社、グループ会社など大企業とつながりのある、セキュリティのより弱い組織を足掛かりとして大企業に侵入する攻撃です。 IPAの「情報セキュリティ10大脅威」(組織)では、2019年に4位で登場して以来2023年では2位に位置づけられており、ここ数年で定番化している組織を狙う攻撃です。
・サプライチェーン攻撃の手法
攻撃者は標的である大企業等へ、以下のような流れで侵入を試みます。
①標的(大企業)のWebサイト等の公開情報から関連会社・取引先等を調査
②セキュリティの脆弱な中小企業を調査し攻撃対象を選定
③サプライチェーンの中小企業へ攻撃開始
④中小企業から窃取した情報や侵入したネットワークから標的(大企業)へ攻撃
・Webサイト担当者として注意すべきポイントと対策
セキュリティ的により弱く攻撃しやすいサプライチェーン企業を選定するために、攻撃者は様々な方法で情報を収集します。
公開Webサイトは、攻撃者視点では企業のセキュリティレベルを推測する上で重要な情報を得る事ができます。
Webサイトは、公開したいコンテンツだけではなく、Webサーバの設定や、構成するソフトウェアやミドルウェア情報、バージョン情報なども容易に得られます。
これらの情報から、設定の不備や脆弱性の含まれるソフトウェアの情報等が見つかれば、そのWebサイトを管理する企業は、セキュリティレベルが比較的低く攻撃のターゲットになり易いです。また、Webサイト自体が攻撃を受けると、他のサプライチェーン企業へのマルウェア配布等に悪用され、被害が拡大する恐れがあります。
以上より、対策としては以下の2点が重要になります。
①管理するWebサイトが外部から(攻撃者視点で)どのように見えているかを把握し攻撃者に弱点となる情報を与えない事で攻撃を諦めさせる
②攻撃に早期に気付き被害を拡大させない
まとめ
①公開Webサイトは企業のセキュリティレベルを測る重要な指標
②対策が甘ければ企業全体のセキュリティ意識が低く攻撃しやすいと判断される
③Webサイトに脆弱性があればサイト自体が攻撃対象となり、改ざんされマルウェア配布等に使われる恐れがある
④Webサイトでは脆弱な情報を与えずセキュリティレベルの高さを示し攻撃ターゲットにならないようにする
⑤攻撃に早期に気付き被害を拡大しないようにする
セキュアブレインの提供する、Webサイト自動脆弱性診断サービス「GRED Webセキュリティ診断 Cloud」では、インターネット経由で攻撃者目線での脆弱性の点検が行えますので、点検結果をもと脆弱性や攻撃者へ与える情報を極力抑えるよう対策を行う事が出来ます。また、Web改ざん検知サービス「GRED Web改ざんチェック Cloud」では、Web改ざん被害を常時監視し、改ざんを検知するとアラートを発報し、早期に気付き被害を最小限に抑えることが出来ます。「GRED Webセキュリティ診断 Cloud」と「GRED Web改ざんチェック Cloud」には無料トライアルがございます。両サービスともクラウドサービスなので、検査するWebサイトのURLを登録するだけで、サービスの開始が可能です。お気軽にお申込みください。
■「GRED Webセキュリティ診断 Cloud」詳細ページ
https://www.securebrain.co.jp/products/gwsvc/index.html
脆弱性診断 無料トライアルはこちら
https://www.securebrain.co.jp/campaign/form-lite/
■「GRED Web改ざんチェック Cloud」詳細ページ
https://www.securebrain.co.jp/products/gred/index.html
改ざんチェック無料トライアルはこちら
https://www.securebrain.co.jp/products/gred/trial/index.html
