電話1本で数百億円の損害 17歳の犯人が突いた「人間の脆弱性」

　ウィルソン氏によれば、M&Sへの攻撃事例は小売業界に警鐘を鳴らしたという。同氏の顧客の大半はサプライチェーンの精査を始めているという。 　「自社のセキュリティ強度は、取引先や委託先、サプライヤーを含めたエコシステム全体で決まる。エコシステムの中で最もセキュリティが弱い企業や箇所が侵入口になり得る。これが残酷な真実だ。多くの小売業者は、この事実を真剣に捉えてこなかった。18カ月前にはなかったサプライチェーンのリスクについての議論が、いまや役員会議で交わされている」（ウィルソン氏） 　サイバーリスクは、もはや現場レベルではなく経営課題として認識されるようになった。この文化的な変革こそが、事件が残した遺産だ。

　パテル氏は、M&Sの事件から得られた最高情報セキュリティ責任者（CISO）向けの教訓を5つ挙げている。 ・「人間の脆弱性」が最大の攻撃対象だと理解する 　攻撃者は悪意のあるメールすら送っていなかった。自社や委託先のヘルプデスクに電話1本で特権アカウントの認証情報のリセットを依頼できる状態は許容できない欠陥だ。 ・ADを「至宝」として扱う 　「ADのセキュリティを後回しにする組織が多過ぎる」とパテル氏は強調する。ドメインコントローラーのデータベースを奪われたら、その時点で「詰み」だ。検知やアクセス制御を最優先事項にすべきだ。 ・レガシーインフラは「技術的負債」ではなく「リスク」 　M&Sは新旧のシステムが混在し、攻撃者の横移動（ラテラルムーブメント）を容易にしていた。これは多くの組織が抱える普遍的な問題だ。 ・サードパーティーのリスクを過小評価しない 　委託先のエコシステムにも、自社システムと同等の厳格な精査が必要だ。さもなければ、直面している真のリスクを把握することはできない。 ・侵入を前提とし、対応力を構築する 　M&SとCo-opの事例を比較すると、被害の結末は大きく異なる。Co-opの方が復旧までの時間は短かった。「防御には限界がある。回復力（レジリエンス）は対応の速さに宿る」（パテル氏） 　レッドチーム（攻撃側を演じる検証チーム）を率いるドミニク・モルティマー氏も、ソーシャルエンジニアリングへの警戒感が高まっていることに同意する。 　「M&Sの事件後、同様のシナリオをテストに含めたいという要望が急増した。最新のテストの8割で、ヘルプデスクを狙った音声詐欺（ビッシング）のシミュレーションを実施している。これまで軽視されていた領域に光が当たったことは、不幸中の幸いといえる」（モルティマー氏）