Kaseya製品が招いたランサムウェア攻撃から企業が実施するべき対策を考える

投稿日:2021年7月15日
脅威カテゴリ:ランサムウェア攻撃
執筆者:ISRセキュリティニュース編集局
Kaseya製品が招いたランサムウェア攻撃から企業が実施するべき対策を考える

IT管理ソフトウェアを提供するKaseyaは、2021年7月3日、自社のサイトで『巧妙なサイバー攻撃の被害に遭った』と発表しました。現在は、このサイバー攻撃の原因となったサーバーの脆弱性を修正するためのパッチが同社から発行されていますが、このハッキングにより世界中の何百もの企業や組織がランサムウェアによる影響を受けています。

本記事では、Kaseyaの『史上最大のランサムウェア攻撃』と呼ばれるまでに拡大したサイバー攻撃の概要をご紹介し、記事の後半では、ISR顧問であり認証ビジネスのパイオニアである専門家に聞いた企業が実施すべきランサムウェア対策をご紹介します。

認証ビジネスのパイオニア ジョン・ハガード氏

ジョンは30年以上にわたり、商用セキュリティ製品の開発や、セキュリティITサービス企業のリーダー、そして情報セキュリティ、認証、ブロックチェーン技術などの企業戦略幹部として成功を収め、最先端の情報セキュリティ製品を提供してきたパイオニアです。現在ISRの顧問を務めています。

事件の概要

マイアミに本拠を置くKaseyaは、Virtual System Administrator(VSA)というサーバーを利用してクライアントにネットワーク上のコンピューターへのリモートコントロールアクセスを提供しています。ハッカーは、VSAソフトウェアのいくつかの脆弱性を利用してランサムウェアを配布したと、Kaseyaの広報担当者は述べています。

被害にあったKaseyaのクライアントの中には、マネージドサービスプロバイダー(MSP)も多く、直接Kaseya製品を使用していない利用者であっても、MSP経由で同様の被害を受けることが、この事件を大きくした要因になりました。つまり、KaseyaのVSAをターゲットにした、いわゆるサプライチェーン攻撃により、より多くのコンピューターをランサムウェアに感染させるバックドアを開くことになってしまったのです。

2021年7月5日、Kaseyaはランサムウェア攻撃を受けた可能性のある企業は全体で1,500社以下であると発表しました。これらの企業の多くは、消費者に直接関わることの少ない中小企業ですが、スウェーデンのスーパーマーケットチェーンは、この攻撃のために週末に一部の店舗の閉鎖を余儀なくされました。

今回のサイバー攻撃では、ロシアを拠点に犯行を重ねるランサムウェアグループ『REvil』を名乗るハッカーが犯行声明を出しています。REvilは、広範囲にわたるハッキングで影響を受けたすべてのシステムを解除するために7,000万ドルを要求しましたが、ウォール・ストリート・ジャーナルの記事によると、被害を受けた企業が2万5,000ドルから500万ドルの間で直接個別に身代金を支払うことができるとも述べているとのことです。そのうち、身代金を支払った、もしくは支払う予定の企業がどれくらいあるのかは不明です。

REvilは今年、食肉メーカーのJBS社を標的としたランサムウェア攻撃でも注目を集め、アメリカの食肉供給量の5分の1を処理する工場を停止させました。同社の幹部によると、JBSのアメリカ法人は攻撃者に1,100万ドルの身代金を支払ったといいます。

企業がすべきランサムウェア対策

ジョン・ハガード氏に今回のランサムウェア攻撃も含め、企業がするべきランサムウェア対策について聞きました。

企業を脅威から守るためにするべき対策とは?

企業がランサムウェア攻撃への対策としてできることは、「認証におけるパスワード依存を今すぐやめること」だとハガード氏は指摘します。

「またしてもランサムウェアの攻撃を目の当たりにしていますが、そのたびに “このような脅威から組織を守るためにはどうしたらいいのか?” という質問を受けます。 私は最初に決まって、“認証におけるパスワード依存を今すぐやめること、待っている暇はない” と回答しています。そして最後に既知の脆弱性は、自動化されたツールによって悪用される可能性があるので、パッチ管理に注意するよう伝えています。」

認証におけるパスワード依存を今すぐやめるべき理由とは?

ハガード氏はやめるべき理由を2つ挙げています。

「まず、1つ目の理由としてアメリカのサイバー保険を事例で挙げると、 保険申請者がMFA(多要素認証)を利用していることが、加入・更新の条件としています。MFAを導入することは、もはやオプションではなく、必須条件です。

そしてその背景となっている2つ目の理由が、数ある攻撃手段の中で、アカウントを元にした侵害は一番多いということです。通信事業会社Verizonがまとめた「2020 Data Breach Investigations Report」(2020年度版データ漏洩/侵害調査報告書)によると、ハッキングによるデータ漏洩/侵害の80%以上は、ブルートフォースか紛失または窃取された認証情報の悪用に関係しているとのことです。そして、マイクロソフトの記事では、MFAを使用すると、アカウントは99.9%以上侵害されにくくなると書かれています。」

実際に今年5月に起こった、コロニアル・パイプライン社へのランサムウェア攻撃はパスワードのみによる不正アクセスから始まったとされており、これらの事実からもパスワード依存を今すぐにやめるべきなのではないでしょうか。

企業がMFAを適切に導入する方法と詳しい対策とは?

具体的にどのようなMFAを導入するべきなのか、ハガード氏はそのポイントを挙げています。

「私がお勧めするのは、認証においてFIDOなどの最新のMFA標準をサポートするSSO製品を利用することです。もちろんユーザーに、さまざまなユーザーエクスペリエンスや実装を持つ何十もの異なるアプリケーションへのMFAを利用したサインオンの操作方法を教えることができればいいのですが、それは大変困難なことです。そのため、SSO製品は企業が利用する複数のテクノロジーに対し不可欠な要素となっているといえます。ISRのSSO製品であるCloudGate UNOは、FIDO認証のリーダー的存在であり、最近では認証フローにゼロトラストの考えを取り入れたことで、ユーザーの導入を加速させています。

そしてMFAだけでなく、組織がすべての特権アカウント、特にMFAの対象とならないアカウントを棚卸しすることも提案します。これらのアカウントについては、厳格なアクセスポリシーとローテーションポリシーを導入する必要があります。複雑な環境では、PAM(Privileged Access Management、特権アクセス管理)製品を利用することをお勧めします。これらのアカウントは「王国への鍵(=企業のシステムへ侵入する鍵)」となるため、保護されていることが非常に重要です。

さらにリポジトリ内の認証情報を発見することも必要です。これには、ユーザー名、パスワード、APIトークンなどが含まれます。開発者や管理者は人間であるため、期限を守って仕事を終わらせるためには手順を省いてしまうこともあります。MFAの対象とならない認証情報を Github やその他のリポジトリに保存し、それを消去することを忘れてしまうことも普通に起こります。

したがって、この脅威を見過ごさず、基本的な検索ツールを使用して、管理者や開発者が使用するさまざまなリポジトリを照会してください。PAMベンダーの中には、この手順を自動化するための検索機能を提供(*1)しているところもあります。

パスワードに対処した後は、パッチマネジメントについての注意事項です。
Kaseyaの侵害事件は皮肉なことに、彼らのVSA製品はまさにこのパッチ問題に対処するためのパッチマネジメントソリューションです。彼ら自身が自分たちのシステム/製品にパッチを当てなかったという話が出回っていますが、誰もがガラスの家に住んでいるように、これは注目すべきメッセージではありません。ここで重要なのは、脆弱性は常に存在し、パッチと悪用の間には常に競争が存在するということです。たとえパッチ戦略を持っていても、それを見直す時期に来ているのかもしれません。」

FIDOなど最新のMFA標準をサポートするSSO製品の導入から、パッチマネジメントまで企業として対応すべき具体的なステップが分かりました。

最後に

今回はKaseyaへの事件を挙げ、ランサムウェア攻撃の被害を最小限に抑えるために実施できる対策をご紹介しましたが、アメリカだけでなく日本の企業もまた新型コロナウイルスの影響によって、リモートワークを継続していくことを考えると、今回ご紹介したパスワード依存の認証をやめることなどの対策を始めていくことが必要なのではないでしょうか。

実際にIT管理資産ツールを提供するIvanti Softwareのサイバー攻撃に関する実態調査によると、日本企業の約50%が1年以内に自社がフィッシングやランサムウェア攻撃の被害にあったと回答しています。

私たちISRは、CloudGate UNOにてゼロトラストMFA(FIDO認証や生体情報を使った本人検証で突破されにくい強固な認証)、そしてゼロトラストSSO(クラウドサービスにアクセスする度に確認/認証)の提供を通じ、このようなサイバー攻撃から企業の情報資産を守っていきたいと考えています。

*1 <関連情報>

パスワードレス認証をもっと詳しく知るには?

資料請求 セミナー・イベント情報はこちら
ページの先頭へ