組織の大小を問わず、事業を成功させるための商品やサービスの供給は、契約ベンダーに依存している。それに伴い、ビジネスとベンダーの間のデジタル相互接続はますます増えている。
御社のビジネスはサイバーセキュリティの模範であり、ベストプラクティスを導入し、ダイナミックな脅威の状況に対応するために常に進化しているかもしれませんが、御社のサプライチェーンやサービスチェーンのサードパーティ・ベンダーは同じセキュリティスタンスではないかもしれません。フィッシング攻撃が急増している今、企業はサプライチェーン・パートナーがEメール・セキュリティのベスト・プラクティスを遵守していることを確認する必要があります。清掃サービスのベンダー、小売製品の卸売業者、マネージド・サービス・プロバイダーなど、サードパーティのパートナーを管理することが重要です。
代表的な例として、ベンダーの1社が情報漏洩した結果発生したターゲットのデータ流出事件を挙げてみよう。ターゲットの冷凍請負業者の従業員が、ベンダーのネットワークにマルウェアをインストールするフィッシングメールをクリックしたのだ。やがて、サイバー犯罪者はベンダーからログイン情報を盗み出し、ターゲットのネットワークにアクセスすることに成功した。言うまでもなく、冷蔵請負業者は、フィッシング・インシデントを認識し、防止するために必要なサイバーセキュリティ保護を導入していなかった。
ターゲットのネットワークにアクセスした攻撃者は、POS端末をハッキングし、POS取引を通じて数千万件のクレジットカード記録を収集した。サードパーティ・ベンダーを経由した攻撃による被害は、追加セキュリティから弁護士費用、数百万人の顧客の信用監視に至るまで、大規模な後始末をターゲットに負わせた。ベンダーの管理面では、ベンダーのネットワーク権限を見直し、制限したほか、POS監視システムの改善やパスワード管理に関する従業員教育も行った。
あらゆる規模の組織が影響を受ける
他の例の詳細には触れないが、ソーラー・ウィンズ、Kaseya、ドミノ・ピザは思い当たるかもしれない。また、すべてのサプライチェーン攻撃が、必ずしもTargetの大規模な情報漏洩のような規模ではないことにも触れておきたい。例えば、小さな自転車店を経営していて、ある業者から電子メールで請求書を受け取ったとする。その業者がSPF、DKIM、DMARCのような適切な電子メール認証を行っていない場合、犯罪者は電子メールのドメインを悪用し、偽の請求書と銀行口座に資金を振り向ける支払いリンクを送ることができる。DMARCとその基礎となる認証チェックがなければ、攻撃者は合法的な組織になりすまし、金銭的な損失を引き起こし、ブランドの信頼を損なう可能性があります。
ブルーボヤントの2021年の調査は、安全でないサードパーティー・ベンダーに関連するリスクを示している。サードパーティのサイバーリスク管理に関する同社の第2回年次グローバル調査では、「調査対象企業の97%が、自社のサプライチェーンで発生したサイバーセキュリティ侵害によって悪影響を受けたことがある」ことが判明した。また、過去12カ月間に経験した侵害の平均件数は、2020年の2.7件から2021年には3.7件に増加し、前年比37%増となっている。
「サプライチェーンに対する監査やアンケートの送付は重要ですが、敏捷で粘り強い攻撃者に先んじるためには十分ではありません」とブルーボイアントのCEOは述べています。「新たに発見された重大な脆弱性に対する継続的な監視と迅速な対応は、効果的なサードパーティリスク管理における不可欠な要素です。」
フィッシングは、サイバー犯罪者が選択する攻撃手法であり続けています。貴社と貴社のサプライチェーンのベンダーが、この蔓延するジレンマに対抗する1つの方法は、ベンダー管理戦略の一環として、基盤となる電子メール認証を有効にすることです。DMARCを導入し、サプライチェーン・ベンダーにも同じことをさせることは、貴社と貴社のビジネス・パートナーの間を流れる機密性の高い電子メール・メッセージを誰もが信頼できるようにする一つの方法です。
DMARCを理解し、導入するためのお手伝いをさせていただきますので、DMARCやベンダーの電子メール認証についてご質問がありましたらお知らせください。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
