次にサイバー攻撃に狙われるのは
米国では本年6月下旬頃、自動車小売サプライチェーンにおける自動車ディーラーなどの販売店向けに顧客管理や部品管理、在庫管理、会計機能をクラウドベースにて提供している企業がサイバー攻撃を受け、システムの全面停止事態に陥り、各方面に莫大な損害を生じたことが報じられています。
被害状況
狙われたのは社会保障番号や銀行口座番号、クレジットカード情報などを含む顧客情報。
北米各地の自動車販売店や従業員、利用客にも甚大な影響を与えた混乱は7月4日独立記念日の連休中にその多くが回復。販売店管理システムを始め復旧が進みましたが、顧客管理プラットフォームを含む一部サービスの復旧は遅れが生じたことが判明しています。
北米1万5000以上のディーラーに利用されているサービスであり、攻撃直後から多くの自動車ディーラーで業務・サービスが中断され、販売、在庫管理、顧客関係管理、会計等の幅広い業務・サービスに支障をきたす事態に陥りました。
なかでも米国自動車小売りチェーン最大手AutoNation社では、全米各地の販売拠点にて業務ストップを余儀なくされ、多額の損失を計上したことを発表。証券取引委員会への提出書類においても「ディーラー管理システムと中核機能は復旧したが、スケジューリングや注文、支払い、報告機能には影響が残る」として、その被害の甚大さを浮き彫りにしています。
お粗末な対策状況からの脱却には
翻って日本における状況を考えると、米国以上に無防備でお寒い状態が垣間見えます。ソフトウェアの脆弱性は、一般的にバッファオーバーフローやSQLインジェクションなどが知られていますが、被害対策について少しずつ学んでいけば、脆弱性を悪用しようとする攻撃者に対する防御力は上がっていくことが予測できます。
米政府はテクノロジー業界と教育機関等に向けて、ソフトウェアの脆弱性を判断できる専門家からの正式なトレーニングや初期の開発ライフサイクルにセキュリティ診断を組み込むよう促しており、米企業では製品ライフサイクルにセキュアバイデザイン思想を取り入れる動きが急速に進んでいるのです。