サイバー攻撃グループ「REvil」がサプライサイド攻撃でMSPとその顧客を攻撃

Cyberattack group REvil targets Kaseya VSA powered MSPs and their clients

先週末、Kaseya VSAソフトウェアを使用しているマネージドサービスプロバイダー(MSP)は、リモート管理ソフトウェアに対するサプライチェーン攻撃の疑いがあるためオンプレミスのVSAサーバをシャットダウンするよう、通知を受けました。Kaseya社は、VSAを使用しているパートナーに対して、SaaSサーバを積極的にシャットダウンしました。

Twitterや英語圏の投稿型ソーシャルサイトのReddit には活発なスレッドがあり、また、Kaseya社のwebsiteの記事は継続的に更新されています。

BleepingComputer.comは、セキュリティリサーチャーから、この攻撃はKaseya VSA Agent Hot-fixと呼ばれる、Kaseya VSAエージェントの悪意のあるアップデートによって行われた可能性が高いと報告を受けました。このアップデートでは、agent.crtファイルが削除され、正規のWindowsのcertuil.exeファイルを使用してペイロードが復号化されます。次に、攻撃者は正規のMicrosoft Defenderの実行ファイルを使用して、ランサムウェアのペイロードをサイドロードします。この方法に関するさらなる詳細は、Redditのスレッドに記載されています。

Kaseya社へのサプライチェーン攻撃でMSPが標的となる理由

MSPは価値の高いターゲットであり、顧客企業の多数のエンドポイントのITを管理しているため、サイバー犯罪者にとって、興味深い攻撃対象となっています。

この攻撃は、MSPにサービスを提供するソフトウェアベンダーに対する攻撃の規模、範囲、および巧妙さにおいて、さらなる飛躍を意味しています。民間企業、公的機関、技術ベンダー、サービスプロバイダーのいずれも、今回の攻撃の最初の被害者あるいは、結果として構成されたソフトウェアサプライチェーンのメンバーを笑ったり、指差ししたりしてはなりません。

被害者にならないための方法

今回の事件を受けて、同様の攻撃の被害に遭うリスクを減らすためにはどうすれば良いのでしょうか。パートナーや顧客にマルウェアを渡す同線となってしまった場合、企業の評判に大きな傷をつけることになります。推奨事項をいくつかご紹介します。

  • まず、自社のバックヤードを守るため、多層構造の徹底的なセキュリティアーキテクチャを構築することに改めて取り組んでください。NIST 800-171やISO/IEC 27001のような一般的なセキュリティのフレームワークを利用して、さまざまな潜在リスクを洗い出し、最も脆弱な部分を特定し、保護を強化することを検討してください。
  • 次に、取引のあるベンダーやサービスプロバイダーを潜在的なリスク要因として評価します。彼らのセキュリティ対策を精査しない限り、いずれの組織もソフトウェアサプライチェーンの弱点となる可能性があります。アクロニスは、 サプライチェーン攻撃に関する電子書籍を公開しています。ここには、サプライチェーンに含まれるベンダーやプロバイダーを評価する方法に関する具体的な推奨事項が記載されています。 この電子書籍はhttps://www.acronis.com/ja-jp/resource-center/resource/561/からダウンロードいただけます(英語のみ)。 
     
  • インシデント対応に関する管理ポリシーを再確認します。ポリシーがない場合、すぐに策定してください。包括的な保護を導入し、強固なセキュリティポリシーを策定し、優秀な人材を採用するという最善の努力を尽くしたとしても、ある時、サイバーセキュリティ攻撃が成功することを想定してください。よく練られ、定期的な対応訓練(演習)が組み込まれたインシデント対応計画は、このようなサイバー攻撃による被害を大幅に抑制し、投資家やパートナー、顧客などの外部からの非難を抑え、特定の攻撃の再発を防ぐために必要な証拠を保存することができます。

その他のリソース

  • アクロニスが安全なソフトウェア開発手法を用いて、顧客をどのように、ソフトウェアサプライチェーン攻撃から保護しているか、以下の資料でご確認ください(英語のみ)。https://www.acronis.com/en-us/resource-center/resource/561/
  • Keep abreast of Acronis Smart Alerts distributed through Acronis Cyber Protection Operations Centers (CPOCs)
  • アクロニス リソースセンターおよび、アクロニスブログに掲載されているサイバーセキュリティに関する無料のアドバイザリや分析、ホワイトペーパー、サイバープロテクションウェビナーをご覧ください。
  • アクロニス#CyberFitアカデミートレーニングコースを利用して、Acronis Cyber Protectおよびその他の製品の安全な導入、運用、サポートに関する認定を取得することができます。
  • アクロニスのサイバーセキュリティ、脆弱性報奨金制度( bug bounty program)、暗号化技術、安全なコード開発や自己防衛技術などについては、https://www.acronis.com/ja-jp/security/をご覧ください。