サイバー犯罪は、自社の関連会社やパートナー、つまりサプライチェーンの隙を狙う傾向にある。セキュリティ対策に投資している企業よりも、脆弱性をかかえた企業を狙ったほうがより容易にクラック(※1)できるからだ。
(※1)ネットワークに繋がれたシステムへ不正に侵入し、コンピュータシステムを破壊・改竄するなど、コンピュータを不正に利用すること。
サプライチェーンを狙う犯罪者は、盗み出した情報を分析し、見積書・請求書などはコストに関わる情報、仕様書や設計図などは秘密情報、または人事情報などは個人情報として理解して、直接被害企業やその取引先に直接連絡し、インターネットに暴露するなどと恐喝する材料にし始めている。
これまでのように身代金要求ウイルスを仕込み、被害企業に対して暗号解除やウイルス駆除の為の現金の要求もしており、2重に恐喝される事件も発生している。
さらにダークウェブ(※2)上にはこうした流出情報を企業名・業種・入手日・データ量・データ内容の特徴など整理して売買されているサイトが登場しており、次の犯罪の手掛かりにされてしまう危険がある。
(※2)インターネットを使用するが、一般的な検索エンジンでは検索できないWebサイト。特定のソフトウェアによるオーバーレイ・ネットワーク上に存在しておりアクセス元情報を秘匿できる。