サイバー防衛力の評価ツールを手掛ける米セキュリティ・スコアカード(SSC)は、企業のサイバー被害に関する調査をまとめた。日本国内の被害のうち取引先が原因だった割合は48%に上り、全世界平均(29%)を大きく上回った。背景には中小企業の対策が進まず、サプライチェーン(供給網)を管理しづらい日本企業の課題がある。
調査は2023年10〜12月に世界全体で公表された約490件の被害について、被害企業からの発表や第三者によるリポートなどをSSCが分析した。
被害のうち、取引先から送られたファイルでマルウエア(悪意のあるプログラム)に感染したり自社の認証情報が流出したりといった、取引先が直接の原因となった事案を調べた。各国の被害全体における割合は、日本が48%、オーストラリアが40%と突出して高く、米国は29%、英国は9%などだった。
取引先による被害で主に糸口となったのは、他社とのデータ共有などに使われる 「ファイル転送ソフト」(26%)だ。23年以降にはロシア系の攻撃集団「クロップ」が、ファイル転送ソフト「MOVEit(ムービット)」の脆弱性を悪用し大規模攻撃を繰り返している。
SSC日本法人の藤本大社長は「国内では米欧に比べて取引先への法規制やサイバーガバナンス(統治)が進んでおらず供給網の統制が効かせづらい。取引先の対策状況について、相手任せとせずに自らチェックする必要がある」と話している。
鄭重声明:本文の著作権は原作者に帰属します。記事の転載は情報の伝達のみを目的としており、投資の助言を構成するものではありません。もし侵害行為があれば、すぐにご連絡ください。修正または削除いたします。ありがとうございます。
