サードパーティ攻撃ベクター
専門的なサービスをサードパーティベンダーに依頼することが多くなったことで、サイバー攻撃の標的になる頻度が高まりました。多くの企業が複数のベンダーと関わっているため、攻撃側にとっては潜在的なエントリポイントが複数できることになります。
例
- たとえば2013年に、大規模なデータ侵害によって1億人以上の顧客の決済および個人情報が漏えいした事例がありましたが、ハッカー達はHVACサービスを提供していたサードパーティベンダー経由で被害企業のシステムにアクセスしていました。
- 2020年のSolarWindsへのハッキングでは、サードパーティのリスク管理の重要性が明確になりました。SolarWindsのOrionソフトウェアの脆弱性に対するエクスプロイトが発生し、政府機関や民間企業が攻撃されました。
- 日産は2023年に同社のサードパーティソフトウェアベンダー、CarGurusがデータ侵害の被害に遭い、約18,000人の顧客の個人情報が漏えいしたと発表しました。
- 2023年3月にファーストフードチェーンのChick-fil-Aを攻撃したハッカー達が、Chick-fil-A Oneにアクセスするためのログイン情報をサードパーティから入手しました。これにより同社のウェブサイトやアプリに対して「自動的に攻撃」を仕掛け、顧客の機密情報を盗み出しました。
こうしたインシデントは企業がサードパーティベンダーとの関係を慎重に評価、管理し、潜在的なリスクやサイバー攻撃を回避する必要があることを示唆しています。
サードパーティ攻撃ベクター
専門的なサービスをサードパーティベンダーに依頼することが多くなったことで、サイバー攻撃の標的になる頻度が高まりました。多くの企業が複数のベンダーと関わっているため、攻撃側にとっては潜在的なエントリポイントが複数できることになります。
例
- たとえば2013年に、大規模なデータ侵害によって1億人以上の顧客の決済および個人情報が漏えいした事例がありましたが、ハッカー達はHVACサービスを提供していたサードパーティベンダー経由で被害企業のシステムにアクセスしていました。
- 2020年のSolarWindsへのハッキングでは、サードパーティのリスク管理の重要性が明確になりました。SolarWindsのOrionソフトウェアの脆弱性に対するエクスプロイトが発生し、政府機関や民間企業が攻撃されました。
- 日産は2023年に同社のサードパーティソフトウェアベンダー、CarGurusがデータ侵害の被害に遭い、約18,000人の顧客の個人情報が漏えいしたと発表しました。
- 2023年3月にファーストフードチェーンのChick-fil-Aを攻撃したハッカー達が、Chick-fil-A Oneにアクセスするためのログイン情報をサードパーティから入手しました。これにより同社のウェブサイトやアプリに対して「自動的に攻撃」を仕掛け、顧客の機密情報を盗み出しました。
こうしたインシデントは企業がサードパーティベンダーとの関係を慎重に評価、管理し、潜在的なリスクやサイバー攻撃を回避する必要があることを示唆しています。
