予防の一手 - スケーラブルな攻撃のベクトルとしてのクラウド・インフラ・プロバイダー
エコノミック・タイムズ紙は、ウィプロ社のコメントとして、「高度なフィッシング・キャンペーンのため、当社のネットワーク上の数人の従業員アカウントで異常な活動が行われた可能性があることを検知しました。このインシデントを知り、速やかに調査を開始し、影響を受けたユーザーを特定し、潜在的な影響を封じ込め、軽減するための改善策を講じました" と述べている。
これまでのニュースを見る限り、攻撃者の意図は、ウィプロをウィプロの顧客に対する攻撃の中継地として利用し、事実上信頼できるドアから侵入することだったようだ。ベライゾン・データ侵害報告書が示唆するところであれば、この侵害が攻撃ベクトルとして選択したのは、従業員と管理者クレデンシャルの漏洩である確率は80%以上である。
ウィプロのような有名ブランドの中には、フィッシング対策や攻撃検知のための最高のトレーニングにお金を費やすところもあるが、それはそれが十分な対策であるという誤った信念に基づくものである。実際、正当なリクエストと詐欺的なリクエストの区別をエンドユーザーに依存するセキュリティ対策は、失敗に終わる運命にある。ウィプロのような企業やそのサービス・プロバイダーのコミュニティは、FIDO標準に基づくようなフィッシング防止認証のような予防的対策に投資するのではなく、攻撃後の検知に頼ることがあまりにも多い。
皮肉なことに、米国国家防諜・安全保障センター(NCSC)は4月初め、民間部門と米国政府のサプライチェーンに対する脅威の増大について認識を高めるため、「全米サプライチェーン・インテグリティ月間」を立ち上げた。
「外国の諜報機関やその他の敵対勢力は、サプライチェーンの脆弱性を悪用して、米国の知的財産を盗み、ソフトウェアを改ざんし、重要なインフラを監視するケースが増えている。
「我々のセキュリティ境界線を迂回し、信頼できるサプライヤーに侵入し、政府、企業、個人が毎日使用する機器、システム、情報を狙っている。わが国にとっての代償は、米国の技術革新、雇用、経済的優位性の喪失だけでなく、米軍の即応性の低下にも及ぶ」と付け加えた。
歴史から学ぶことがあるとすれば、ウィプロの攻撃は氷山の一角だということだろう。数年前、グーグルは「オーロラ作戦」によって攻撃された。ソースコードの改ざんを目的としたグーグルのシステムに対する広範な侵害であり、中国の反体制活動家のアカウントにアクセスする目的で管理者アカウントに侵入した。クラウドやインフラ・サービス・プロバイダーへの依存度が高まっていることを考えると、このような攻撃は、大きな見返りを伴う「スケーラブル」な攻撃ベクトルであるため、今後も増え続けるだろう。
私たちは、顧客とサービス・プロバイダーの両方が、フィッシングに強く、多要素で、標準に基づき、広くサポートされ、スケールで実証された最新の認証に深く投資することを強く推奨します。Nok Nok Labsが開拓しているFIDO標準は、ウィプロのようなプロバイダーに対する攻撃の壊滅的な結果を軽減するために必要な、セキュリティに対する予防的アプローチの不可欠な構成要素の1つです。
