Home Blog Covid-19 ワクチンのサプライチェーンがサイバーセキュリティ攻撃のターゲットに。その脅威はどの程度現実的なのか？

Covid-19 ワクチンのサプライチェーンがサイバーセキュリティ攻撃のターゲットに。その脅威はどの程度現実的なのか？

PQE グループダミアーノ・ペルッツィ

サイバーセキュリティ

概要

常に進化を続けるサイバー犯罪のシナリオの中で、2つの主要な側面から、サイバー脅威がもたらす課題への取り組みの緊急性が高まっていることが明らかになりました。1つは、サイバー犯罪の標的が急速に拡大していることです。ここ数年の間に、単一の特定のコンピュータから、分散システムや企業ネットワークへと変化しています。もうひとつは、サイバー脅威の性質が、もはや独立した犯罪者だけでなく、国家による専門部隊に代表されるようになりつつあることであります。特にCovid-19ワクチンの製造と流通を標的としたサイバーセキュリティ事件に関する最近のニュースは、この傾向が非常に急速にエスカレートしており、サイバーセキュリティ文化がまだ有効性を欠いていることを示しています。

Covid-19 vaccines supply chain has become a target for cybersecurity attacks. How real is the threat - int

国際的なワクチンのサプライチェーンがサイバーエスピオンの標的に、IBMが報告

2020年12月3日、BBC Newsはウェブサイト上で記事を発表し[1]、それによると、国際的なワクチン供給チェーンがサイバースパイの標的となり、特にCOVID19ワクチンの低温供給チェーンが注目されているというIBMの声明を報じました。IBMによると、国際的なフィッシングキャンペーンが2020年9月に始まり、国際ワクチンアライアンスであるGaviのCold Chain Equipment Optimization Platform（CCEOP）につながる6カ国の組織が偽メールで標的にされました。攻撃者は、CCEOPの供給コールドチェーンに関わる正規の中国企業の経営者になりすまし、ログイン認証情報を取得し、ワクチンに関するインフラ、購入、移動に関する情報を得ました。この影響は、安定した電力が得られない場所でのワクチン保冷に使用されるソーラーパネルの製造に携わる企業、韓国のソフトウェア開発会社、ドイツのウェブサイト開発会社など、ワクチンに関する運営に関わる幅広い企業におよびました。これらの企業は製薬メーカー、コンテナ輸送、バイオテクノロジー、通信用電気部品メーカーなどをサポートする企業です。

国家レベルにまで及ぶサイバー犯罪のシステム的アプローチ

このインパクトの強いニュースは、今日、心に留めておくべき2つの最も重要な側面を示しています：第一に、ますます多くの場合、「ターゲット」はサイバースペースにおける「一点」とみなされないということです。例えるなら、ある特定の家が、そこに侵入しようとする泥棒に狙われるようなことはないのです。今日、多くの貴重な情報が、相互に接続されたネットワーク上のさまざまな関係者間で交換されています。つまり、泥棒が家全体を観察し、目的を達成するために最も簡単な方法で基本的な情報を得るようなものです。そのため、今回は製薬会社単体ではなく、サプライチェーンネットワーク全体がターゲットとなり、インパクトのある情報収集をする事件となりました。

第二に、精密な標的設定と特定の標的組織の性質から、潜在的に国家の活動ではないかと指摘している、とIBMは述べています。そして、そこがポイントです。サイバー脅威の多くは、独立したハッカー（またはハッカー集団）ではなく、外国の国家に由来しており、これらの攻撃の危険性は、その攻撃力とともに飛躍的に高くなります。無差別に侵入してくる強盗よりも、SWATが襲ってくるようなものです。

McAfeeの報告によると、サイバー犯罪は全世界で1兆ドル以上の隠れたコストに相当するそうです

しかし、これは何を意味するのでしょうか。世界の状況をより現実的に見ようと、The Washington Post[2]は最近、サイバー犯罪の世界的コストに関するMcAfeeの調査[3]を報じました。

2018年以降、世界のサイバー犯罪のコストは世界全体で1兆ドル以上に達したとMcAfeeは推定しています。サイバー犯罪による金銭的損失は、約9,450億ドルと推定されています。これにサイバーセキュリティに対する世界の支出が加わり、2020年には1450億ドルを超えると予想されました。現在、これは世界経済にとって1兆ドルの足かせとなっています。彼らの2018年のレポートでは、サイバー犯罪が世界経済に与えるコストは6000億ドル以上とされています。新しい試算では、2年間で50％以上増加していることが示唆されています。

McAfeeの上級副社長兼最高技術責任者であるGrobman氏は、「サイバー犯罪の増加は、過去2年間に脅威の状況が劇的に変化したことが一因です」と述べ、「ハッカーの標的が特定のマシンやユーザーから組織全体へと移行したため、組織のネットワークも標的になっています」と補足しています。「企業がサプライチェーンの一部である場合、影響が残る可能性もあります」とGrobman氏は指摘します。2017年にデンマークの海運会社Maerskに攻撃があり、2週間にわたって業務が中断され、3億ドルの損害が発生しました。そして「ワクチン事件」は、残念ながらこの傾向を裏付けています。

さらに、ワシントン・ポスト紙は、サイバーセキュリティ当局は、中国のハッカーによる米国の企業秘密や研究を盗むための取り組みが増加していることを警告している、と述べています。具体的な事例はさておき、ワクチンのサプライチェーンに導かれたサイバー攻撃が示す進化の傾向を裏付けるものであります。

サイバー犯罪に対するサイバーセキュリティ計画のような対策が欠けている企業

この新しいシナリオに対して、企業は、それが公的なものであれ私的なものであれ、準備ができているのだろうかという厄介な疑問が自然発生します。この疑問は厄介ですが、答えは簡単です。犯罪が急増しているにもかかわらず、多くの企業はサイバー攻撃に対処するための明確な計画を持っていないことが、McAfeeの報告書で確認されています。このレポートのために調査した1,500の組織の半数以上が、インシデントの予防と対応の両方の計画が欠けていると回答しています。また、計画がある組織のうち、その計画が実際に有効であったと答えたのは、わずか3分の1でありました。ということは、家への侵入を防ぐための優れた警報システムさえない、という意味になります。