2023 年の SaaS 脅威調査:97% の組織がサイバー攻撃のリスクに直面 – Wing Security 調査

Compromised SaaS Supply Chain Apps: 97% Of Organizations At Risk Of Cyber Attacks

2024/03/29 GBHackers — SaaS (Software as a Service) アプリケーションに依存することで、効率性/イノベーション/成長を促進する企業が増えている。しかし、相互接続が多様化/複雑化するデジタル・エコシステムへのシフトには、リスクも伴うことになる。Wing Security の “2024 State of SaaS Security Report” によると、2023年には 97% もの組織が、侵害された SaaS サプライチェーン・アプリケーションを介した攻撃に直面しているという。この事実は、現代の企業のデジタル・インフラにおける、深刻な脆弱性を浮き彫りにしている。


Wing Security のレポートは、2023 Q4 において 493社のデータを分析したものであり、SaaS のセキュリティ脅威の多面的な性質を明らかにしている。この調査結果は、サプライチェーン攻撃から、暴露された認証情報の悪用トレンドにいたるまでをカバーし、強固なセキュリティ対策の緊急の必要性を強調している。

サプライチェーン攻撃:ドミノ効果

サプライチェーン攻撃が、深刻な脅威として浮上している。少なくとも1つのアプリを使用している企業のうちの 96.7%で、過去1年間にセキュリティ・インシデントが発生している。

2,500 を超える企業に直接的/間接的な影響を与えた MOVEit の侵害や、JumpCloud のクライアントに対する北朝鮮からの標的型攻撃は、1つの脆弱性がサプライチェーン全体に対して、連鎖的な影響を及ぼし得ることを痛感させるものだ。

また、クレデンシャル・スタッフィング攻撃の単純さと、安全でないクレデンシャルの広範な問題は、引き続き重大なリスクをもたらしている。

このレポートでは、Norton LifeLock や PayPal の顧客に影響を与えた侵害を含めて、盗み出された認証情報を悪用する攻撃者が、機密情報に不正アクセスしていた、いくつかの有名なインシデントが取り上げられている。

MFA バイパスとトークンの盗難

攻撃者たちは、多要素認証 (MFA) などのセキュリティ対策を回避する方法を発見し、高位の幹部を標的とした、高度なフィッシング・キャンペーンを展開している。

さらに、トークンの盗難も増加している。未使用のトークンが数多く存在しているため、多数の企業が不必要なリスクにさらされている。

2024年の SaaS 脅威予測

2024年には、SaaS を介した脅威が進化し、AI が新たな脅威となると予想される。このレポートでは、SaaS 領域における AI に関連する2つの主要なリスクとして、SaaS アプリケーションにおける膨大な AI モデルと、不適切なデータの管理を挙げている。

さらに、クレデンシャル・ベースの攻撃の持続と、異なるドメインにまたがる相互接続された脅威の台頭が浮き彫りにするのは、包括的なサイバー・セキュリティ・アプローチの必要性である。

SaaS セキュリティ強化のための実践的なヒント

このレポートでは、こうした脅威の増大に対抗する組織にとって有用な、8つの実践的なヒントが提示されている。それらのヒントの中には、サードパーティ製アプリケーションにおけるリスクの発見と管理/脅威インテリジェンスの活用/MFA の実施などが含まれる。

さらに、AI-SaaS の状況をコントロールし、効果的なオフボーディング手順を確立することが、組織の SaaS セキュリティを強化する上で、極めて重要なステップとなると指摘している。

Wing Security のレポート “2024 State of SaaS Security Report” は、SaaS セキュリティ戦略を見直すよう、企業に対して警鐘を鳴らすものである。

冒頭でも述べたように、97% の組織が、侵害された SaaS サプライチェーン・アプリ経由の攻撃にさらされており、警戒と予防的なセキュリティ対策の必要性が、かつてないほど高まっている。

デジタル環境が日々進化し続ける中で、それを保護するためのアプローチも、進化し続けることが求められている。

この記事は、Wing Security の “2024 State of SaaS Security Report” をベースにして、2023年の SaaS 利用状況を解説するものです。PDF レポートの方は、各種のデータがグラフで提供され、とても見やすいものとなっています。つい先日の 2024/03/27 には、「サイバー攻撃とレジリエンス:成熟している組織は3%に過ぎない – Cisco 調査」をポストしていますが、どちらも興味深い対象ですね。よろしければ、カテゴリ Statistics も。ご利用ください。