攻撃者は、ソフトウェア「Kaseya VSA」を媒介にして世界中の組織にランサムウェアを拡散しました。
Kaseyaは 「攻撃者は、VSA製品のゼロデイ脆弱性を悪用して、認証をバイパスし、任意のコマンド実行を行うことができました。これにより、攻撃者は標準的なVSA製品の機能を利用して、顧客企業にランサムウェアが拡散できました。 VSA製品のコードベースが悪意を持って改ざんされた証拠はありません」と述べています。
今回の攻撃は、今年初めに起こったSolarWinds社へのサプライチェーン攻撃とは異なる攻撃です。サプライチェーン攻撃は、サプライヤーのハードウェアやソフトウェアを操作して、取引関係にある組織を危険にさらす攻撃です。どちらも組織がサプライヤーに寄せている信頼を悪用するという点では類似していますが、後者がランサムウェアグループの間で普及してきていることから、この2つを別の手法として考える必要があります (MITREによるそれぞれの攻撃に関する説明はこちらとこちらを参照ください)。 Kaseyaは2019年に同様の攻撃を受けています。
実際に起こったこと
2021年7月2日、Kaseyaは、彼らの顧客が VSA リモートモニタリング・マネジメント (RMM) ソフトウェアの悪用によるサイバー攻撃を受けていることを報告しました。影響を受けた顧客は、VSAソフトウェアをオンプレミスで展開しているお客様に限定されており、Kaseya のSaaS 型 VSA を利用している顧客は影響を受けていませんでした。
「Kaseya VSA」は、企業にITサービスを提供するMSP (マネージドサービスプロバイダー)の間で使われており、自社のITインフラの運営を外部委託したいと考える考える企業に、こうしたサービスを提供する際に使われているソフトウェアです。 攻撃者は、企業向けにITサービスを提供するMSPを標的にすることで、その顧客企業のデータをも暗号化することができました。
このサイバー攻撃は、以前Pulse Secure VPN サーバーの脆弱性を悪用して話題になったランサムウェアグループ「REvil」であると公表されています。 この攻撃の被害者は、このグループに関連するランサムウェアによってシステムが暗号化されたことを報告しています。REvil は、この攻撃によって100万台以上のデバイスが影響を受けたと主張しています。
予測不可能な影響
被害を受けた組織の正確な数は、現在のところ不明ですが、ある分析では、1,500社が被害を受けた述べています。
エフセキュアのチーフリサーチオフィサーであるミッコ・ヒッポネンによると、REvilが主張する影響を受けたデバイスが100万台以上ある点に関して、あり得ない話ではないと述べています。
「食料品店のような小売チェーンを考えてみてください」 とミッコは言います。”通常のパソコン以外に、店舗に設置されているすべてのPOSレジシステムもエンドポイントであり、200から300店舗規模の小売企業でも、何千ものエンドポイントを所有していることになります。仮に1000社の小売企業が感染したとしたら、100万のエンドポイントに相当することになります。」
これが正しければ、今回の攻撃は史上最大のランサムウェア攻撃となる可能性があります (または、2017年のWannaCryに次ぐ被害規模となります)。
If Revil’s claim of one million infected systems is true, what we’re currently experiencing is the biggest ransomware case in history.
— @mikko (@mikko) July 5, 2021
今回の攻撃におけるREvilのアプローチの結果の一つは、その影響の全容を事前に知ることができないという点です。
エフセキュア製品ユーザーへの影響
エフセキュアでは、このランサムウェアが6カ国 (アルゼンチン、アイルランド、イタリア、ノルウェー、スウェーデン、米国) での被害を確認しています。
エフセキュアのEPPおよびEDRサービスを利用している企業は、今回の事件に関連するランサムウェア攻撃から企業を保護する多くのセキュリティ機能を利用できるため保護されています。
7月2日から7月6日までのKaseya関連の検出結果エフセキュアの製品・サービスは、さまざまな方法でこの攻撃に対する保護を提供しています。どのように保護されているか、また技術的な詳細や指標については、この事件に関するエフセキュアの最初の声明をご覧ください。
Kaseya製品を利用していた企業がすべきこと
Kaseya VSAをオンプレミスで使用している場合、これらの脆弱性の悪用リスクが軽減されたことが保証されるまで、オフラインにして隔離してください。エフセキュアでは、Kaseya SaaSのお客様は、エクスポージャーを見直し、悪用される可能性のあるリスクを軽減するようアドバイスしています。
また、エフセキュアでは、自社の環境でKaseya VSA製品にアクセスできる認証情報や秘密情報を確認することを推奨しています。また、可能な限りそれらをリセットするように薦めています。現時点では、これらのいずれかが侵害されたという証拠はありませんが、調査は急速に進展しています。
Kaseyaは、彼らのWebサイトでアップデートを提供しています。
得られた教訓
今回の事件の影響については、現在も調査中です。しかし、今回の事件から得られた教訓と、常に適用できるアドバイスをご紹介します。
Kaseyaの透明性、SaaSインフラ全体をもシャットダウンするという大胆な決断、顧客への適切なコミュニケーションは、同社がこの種の攻撃に備えた対応計画を準備しており、それを速やかに実行していることを示しています。さらに、この計画の実施は迅速に展開されていますが、これはこれまでの社内での準備とトレーニングの成果によるものでしょう。
すべての企業は、Kaseyaの対応から学ぶことができます。すなわち、対応プランを用意し、さらに重要な点は、そのプランが攻撃された場合にどのように実行されるかをトレーニングすることです。
ここでは、世界中で話題になっているサイバー攻撃について、企業が懸念を抱く際に自問自答できる質問をまとめました。
- 攻撃者は社内のどのようなデータを狙っているのか?
- 脅威となるグループまたは一般的なプロフィールとして特定しているのか?
- すでに公開されている進捗状況や影響は?
- 社内の対応プランは、この種のインシデントを抑制・軽減する準備が整っているか?
今後のランサムウェア攻撃への対策
根本的な問題は、防御側がすべてを正しく理解しなければならないことです。攻撃者は1つのミスを発見すればいいのです。防御側は厳しいポリシーやプロセスを守らなければなりませんが、攻撃者は、当然ながらルールを守る必要はありません。
サードパーティ製ソフトウェアやベンダーへの依存度が高まっていることもあり、セキュリティは常に進化し続けています。とはいえ、企業は攻撃ベクターを減らすことで、見通しを大きく改善することができます。
ここでは、ランサムウェアの攻撃から身を守るために、すべての組織が今すぐできる対策をご紹介します。
- 質の高いデータのバックアップを行い、その整合性を検証するための一貫したテストの実施
- ソフトウェアのパッチ適用と適切なパッチ管理評価の実施。 特に公開されているシステムには優先的に対応
- ユーザー管理、資産リスト、ソフトウェア管理など、すべてのセキュリティポリシーの見直しと脅威状況に合わせた監査の実施。 常に変更が加えられるシステムのポリシーは、継続的な見直しの実施
