Bay Area Tech Blog #26

Jul 12, 2021

kaseya ransomeware attack — RevilによるKaseya社へのRansomware攻撃の概要

Ransomwareの現状について本NewsletterのTech Blog #22 (6/14発行) でもお伝えしましたが、またまた大規模な被害が出てしまいました。今回の攻撃はサプライチェーンを利用した攻撃となっていまして、こちらも防ぐことが非常に難しいものになっています。

事件の概要

今回攻撃を受けたのはKaseya社(カセヤと発音するようです)、および同社ソフトウェアを利用するマネージドサービスプロバイダー(MSP：Managegd Service Provider)や、MSPのユーザー企業です。同社が提供するIT管理サービス『VSA』の脆弱性を利用され、VSAを利用しているユーザーが被害に合いました。報道によると、ニュージーランドにある学校内のコンピュータ、スウェーデンの食料品チェーンのレジ、アメリカの中小企業、合わせて1,500近い企業・組織に影響を及ぼしているとのことです。また、ESETの研究チームによると被害に合った企業は17ヶ国にも渡っており、まさにサプライチェーン攻撃の怖さを体現しているような被害状況といえます。日本も入っているようですが、調べたかぎでは被害報告を見つけることはできませんでした。
(以下、ESET research のツイートです。日本も含まれています。)

ESET research @ESETresearch

Based on #ESET’s telemetry, we have identified victims in the 🇬🇧UK, 🇿🇦South Africa, 🇨🇦Canada, 🇩🇪Germany, 🇺🇸USA, 🇨🇴Colombia, 🇸🇪Sweden, 🇰🇪Kenya, 🇦🇷Argentina, 🇲🇽Mexico, 🇳🇱the Netherlands, 🇮🇩Indonesia, 🇯🇵Japan, 🇲🇺Mauritius, 🇳🇿New Zealand, 🇪🇸Spain and 🇹🇷Turkey so far. 2/3

なお、攻撃をしかけたのはロシアの有名なハッカー集団『Revil』によるもので、彼らは、ビジネスを再開させたければ身代金として7,000万ドル支払うよう要求しています。

Kaseya社は、エンタープライズ企業やMSPに同社のソフトウェアを提供し、ユーザーのネットワークやコンピューティングの管理を支援しています。攻撃者は、この管理支援ソフトに目をつけ、脆弱性(具体的にはCVE-2021–30116のようです )を利用してSQLインジェクション攻撃を仕掛けて、VSAサーバーのアクセス権を奪い、サーバー経由で組織のITシステムにスクリプトを流し込み、ファイルを勝手に暗号化してシステム停止に追い込んだようです。

Kaseya社と米国当局の対応

Kaseya社は、IoC (Indicator of compromise)検知ツールを公開し、侵害されているかどうか判断できるようにしています。

FBIは、Kaseya社およびCISAからのガイダンスにしたがって、VSAのサーバーをシャットダウンし、侵害されていることをFBI(ic3.gov)に報告することを推奨しています。報告になるべく多くの情報を投稿してもらえることで捜査を促進できるとのことです。また、アナウンスの中に、今回の事件は規模が大きいため個別に対応できない可能性があることを示唆しており、被害の大きさがうかがえます。

出典：FBI『FBI Statement on Kaseya Ransomware Attack』

CISAとFBIは共同で被害にあったMSPが取るべき対策と、MSPの顧客が取るべき対策の2つについて、それぞれアナウンスしています

CISA Guidance for Kaseya — 出典：CISA『CISA-FBI Guidance for MSPs and their Customers Affected by the Kaseya VSA Supply-Chain Ransomware Attack』

❙ 影響を受けたMSP側が取るべき対策

Kaseya VSA検出ツールをダウンロードする
すべてのアカウントで多要素認証 (MFA) を有効にする
可能であれば顧客向けサービスでもMFA を実施する
許可リストを導入して、リモート監視管理機能(RMM)との通信を既知のIPアドレスのみに制限する
RMM の管理インターフェースを、VPNまたは専用の管理ネットワーク上のファイアウォールの背後に配置する

❙ MSPの顧客が取るべき対策

バックアップが最新になっていて、かつ、組織のネットワークから隔離されたところで簡単に取り出すことができる場所に保存されているかを確認する
ベンダーの修正ガイダンスに従う手動のパッチ管理手順を実施する(この際、利用可能になった新しいパッチをインストールすることも考慮に入れる)
多要素認証 (MFA)の導入
主要なネットワークの管理者アカウントを必要最小限の権限にしておく

米国政府の対処について

ホワイトハウスのJen Psaki報道官によると、米国とロシアの国家安全保障に関わる政府間での話し合いが継続して行われているとしています。ただし、この問題は米国とロシアの2ヶ国間で完結するものではなく、中国、イラン、北朝鮮といった複数の政権が対処しなければならい複雑な問題だという見方があり、すぐに解決できるような楽観的なものではないようです。

実際にどのような対策を取るべきか

Ransomwareの問題はますます対処しづらくなっています。本NewsletterのTech Blog #22 (6/14発行) でもご紹介したように、組織化され、高度化されています。さらに今回のKaseya社の攻撃のようにサプライチェーンまで利用してくるようになりました。サプライチェーン攻撃は、ソフトウェアやSaaSの脆弱性を利用して被害を波及させるため、自分たちがネットワークに対して防御を徹底していたとしても、防ぎづらいという側面があります。今回もKaseya社のVSAはリモートからシステムを管理するという特性があったため、ここが乗っ取られてしまうとバックドアのようにスクリプトを流し込めるようになっていました。

ではどうすればいいのかということですが、もしまだ導入されていないようであれば、バックアップソフトを導入するのはいかがでしょうか？バックアップソフトはRansomwareそのものを防ぐことはできませんが、バックアップからすぐにシステムを復旧できるようにしてあれば、攻撃されシステムが停止したとしても被害を最小限に食い止められる可能性があります。

バックアップもどこまで(ファイル単位なのかシステム全体なのかなど)、どれぐらいの頻度で(1時間ごと、1日ごと、1週間)、どういう形で保存するか(クラウド、オンプレ、リモートサイトなど)を検討して、自分たちの組織に見合ったコストと照らし合わせて構築することが重要です。

自社だけで構成することが難しければ外部のセキュリティコンサルタントを利用することも含めて、一度検討してみることをおすすめいたします。

Bay Area Newsletter / シリコンバレー・ニュース

Discussion about this post